금융기관간 서비스 연결을 위한 지속가능한 진화 경로

금융기관간 서비스 연결을 위한 지속가능한 진화 경로

타임 스탬프 : 8 년 2024 월 5 일 오전 29:XNUMX
금융 기관 간 서비스 연결을 위한 지속 가능한 진화 경로 PlatoBlockchain Data Intelligence. 수직 검색. 일체 포함.

생태계 기반 기회를 활용하려는 금융 기관에는 보안, 탄력성, 확장성 및 민첩성 요구 사항을 해결하는 강력한 시스템과 서비스가 필요합니다. 최신 클라우드 네이티브 아키텍처는 API 관리, 마이크로서비스, 자동화 및 클라우드 기능을 활용하여 이러한 문제를 해결하려고 합니다.

금융 기관에서는 확장성, 비즈니스 및 운영 민첩성 요구 사항을 개선하기 위해 도메인 정렬 마이크로서비스를 점점 더 많이 구현하고 있습니다. 마이크로서비스는 금융 기관 생태계 통합 패브릭의 핵심 구성 요소가 되었습니다.

그러나 마이크로서비스 간의 서비스 간 통신에는 해결해야 할 서비스 검색, 보안, 정책 관리 및 관찰 가능성과 같은 많은 교차 문제가 있습니다. 공통 라이브러리부터 다양한 종류의 서비스 메시에 이르기까지 마이크로서비스 아키텍처 교차 문제를 해결하기 위해 발전해 온 여러 접근 방식이 있습니다.

금융 기관의 마이크로서비스 수가 증가함에 따라 교차 문제를 처리하기 위한 최적의 경로를 식별하는 것이 필수적입니다. 적절한 고려 사항과 함께 진화하는 옵션은 거의 강조되지 않습니다.

공용 라이브러리:

코드 중복을 피하기 위해 초기 금융 기관의 마이크로서비스 구현에서는 교차 기능을 캡슐화한 공통 라이브러리를 활용했습니다. 그러나 이러한 공통 라이브러리에는 프로그래밍 언어에 대한 종속성이 있습니다.

사이드카가 포함된 서비스 메시:

서비스 메시는 서비스 검색, 관찰 가능성, 트래픽 라우팅 및 보안을 포함하는 애플리케이션 네트워킹 기능을 제공합니다. 사이드카 접근 방식을 통한 서비스 메시는 제어 평면 및 프로그래밍 가능한 데이터 평면 개념을 통해 이 기능을 제공합니다. 제어 평면은 메시의 중앙 관리 및 정책 구성에 도움이 됩니다. 서비스 통신에 대한 런타임 서비스는 데이터 플레인 사이드카 프록시를 통해 라우팅됩니다.

인기 있는 서비스 메시 제품으로는 Istio, Linkerd, Consul 및 Kuma가 있습니다. Istio는 특사 기반 데이터 플레인을 사용하고 Linkerd는 대상 서비스 메시 기능을 데이터 플레인으로 갖춘 자체 맞춤형 마이크로 프록시를 사용합니다.

그러나 사이드카 기반 서비스 메시 접근 방식에는 몇 가지 문제가 있습니다.

사이드카 접근 방식을 사용하는 서비스 메시는 비즈니스 로직과 네트워킹 기능을 깔끔하게 분리하고 세분화된 보안을 제공하지만 각 Kubernetes 애플리케이션 포드에 사이드카 프록시를 주입해야 할 필요성을 부과합니다. 네트워크 통신이 이루어지려면 먼저 사이드카 프록시를 사용할 수 있어야 합니다. 사이드카에 의한 HTTP 트래픽 처리에는 계산 비용이 많이 듭니다. 따라서 사이드카 기반 접근 방식은 리소스 소비, 운영 오버헤드 및 비용이 높아지는 경향이 있습니다.

 사이드카리스 서비스 메시:

사이드카와 관련된 데이터 플레인이 가치를 제공하는 반면, 그 한계를 완화하기 위해 여러 업계 주체에서는 사이드카 없는 데이터 플레인과 같은 다양한 혁신적인 옵션을 시도하고 있습니다.

이러한 사이드카리스 서비스 메시 옵션 중 하나는 eBPF(Extended Berkeley Pocket Filter) 및 특사 프록시를 사용하는 Cilium 서비스 메시입니다. Cilium은 커널 수준에서 eBPF 기능을 사용하여 Kubernetes 클러스터에 있는 컨테이너의 네트워킹, 보안 및 관찰 가능성 요구 사항을 지원하는 CNI(컨테이너 네트워킹 인터페이스)이기도 합니다.

eBPF는 이벤트를 기반으로 커널 내부에서 사용자 정의 프로그램을 실행할 수 있도록 해줍니다. eBPF는 네트워크 포켓을 처리하므로 관찰 가능성, 보안 및 네트워킹 측정 항목에 도움이 될 수 있습니다. eBPF를 사용하면 네트워크 포켓이 통과하는 경로가 더 짧아지고 경로에 iptable 규칙을 거치지 않으므로 대기 시간이 낮아집니다. eBPF는 노드 수준에서 네트워크 계층 암호화에도 도움이 될 수 있습니다. eBPF 검증자는 eBPF 프로그램이 커널에서 안전하게 실행되도록 보장합니다.

Cilium에는 더 많은 서비스 메시 기능이 추가되고 있으며 서비스 메시의 L4 연결 문제에 eBPF를 사용하고 카나리아 롤아웃 및 재시도와 같은 레이어 7 트래픽 관리 기능에 특사 프록시를 사용합니다. Istio와 같은 업계에서 널리 사용되는 많은 제어 평면과 함께 작동합니다.

Istio의 경우 Istio 앰비언트 메시는 사이드카리스 접근 방식에 맞춰진 데이터 평면으로 진화하고 있습니다. Istio 앰비언트 메시는 보안 레이어 4 기능과 레이어 7 정책 및 동작을 분리하여 서비스 간 통신을 처리합니다.

Istio 앰비언트 메시는 kubernetes 클러스터의 각 노드에서 포드로 실행되는 보안 오버레이 레이어인 ztunnel이라는 공유 에이전트를 통해 두 서비스 간의 레이어 4 연결 문제를 처리합니다. Ztunnel은 레이어 4 서비스 인증, mTLS를 통한 보안, TCP 로그를 통한 관찰 가능성 및 TCP 트래픽 관리를 관리합니다.  

Istio 주변 메시 계층 7 기능은 웨이포인트 프록시에 의해 처리됩니다. 특사를 기반으로 하는 웨이포인트 프록시는 풍부한 레이어7 인증 정책을 통해 보호하고 http 측정항목 및 추적은 물론 카나리아 테스트 및 카오스 테스트와 같은 트래픽 관리 정책을 통해 관찰 가능성을 지원합니다. 레이어 7 처리는 웨이포인트 프록시에서 공유 네임스페이스 리소스로 별도로 예약된 포드에서 발생하며 자동 크기 조정이 가능합니다.

Istio 제어 평면은 사이드카 및 사이드카 없는 주변 메시 데이터 평면을 모두 지원하므로 선택성을 제공합니다. 앰비언트 메시는 많은 서비스 메시 사용 사례에 유용하지만 규정 준수 및 성능 조정과 같이 사이드카가 여전히 유용한 시나리오도 있습니다.

 운영에 미치는 영향:

금융 기관은 서비스 메시 옵션에 대한 적절한 절충안을 파악하기 위해 마이크로서비스 수, 팀의 기술, 다양한 서비스 품질 요구 사항을 고려해야 합니다. 

공통 라이브러리 접근 방식을 통해 마이크로서비스의 교차 문제를 처리하는 것은 사용 편의성을 제공하지만 프로그래밍 언어에 의존하며 업그레이드에 보조를 맞추기 위해 운영 노력이 필요합니다. 사이드카 기반 접근 방식은 다중 언어 마이크로서비스 시나리오에 도움이 되며 대규모 마이크로서비스 자산 전체에서 일관된 구성을 촉진합니다. 사이드카로 인해 더 높은 리소스 소비와 운영 오버헤드가 발생합니다. 사이드카리스 옵션은 트래픽 라우팅 기능에 대해 노드 수준에서 L4 수준 처리, 네임스페이스 수준에서 L7 처리라는 이점을 제공합니다. 사이드카리스 옵션은 상대적으로 적은 리소스 소비와 함께 규모에 따라 운영 노력을 단순화할 수 있는 잠재력을 가지고 있습니다.

금융 기관에서 다중 언어 클라우드 네이티브 마이크로서비스의 수가 증가함에 따라 운영 확장성은 공통 라이브러리 접근 방식에서 사이드카 접근 방식을 사용하는 서비스 메시, 사이드카 없는 접근 방식을 사용하는 서비스 메시로 점진적으로 증가할 것입니다.

결론 :

공통 라이브러리와 사이드카 기반 접근 방식을 사용한 서비스 메시 구현이 금융 기관의 주요 클라우드 네이티브 이니셔티브에서 채택되고 있는 반면, 사이드카 없는 옵션은 단점을 완화하기 위해 빠르게 발전하고 있습니다.

따라서 혁신적인 금융 기관은 서비스 통합 접근 방식을 발전시키면서 더 나은 운영 효율성, 보안 및 TCO(총 소유 비용)라는 최적의 이점을 실현하기 위해 새로운 eBPF 기반 서비스 메시 옵션을 실험해야 합니다. eBPF 기술로 구현된 사이드카 없는 서비스 메시는 금융 기관의 서비스 인프라를 지속 가능한 경로에 배치하는 데 도움이 될 것입니다.

타임 스탬프 :

더보기 핀텍스라