K8s 1.34 sidecar GA — Istio Ambient와 동시 사용 가능한가요

Question

K8s 1.34로 업그레이드하면서 Istio Ambient(ztunnel)로도 갈아탔습니다. 그런데 일부 워크로드는 여전히 sidecar 패턴이 필요합니다.

혼용 필요한 케이스

OpenTelemetry Collector를 app과 같은 Pod에 sidecar로 (네트워크 격리)
Vault Agent로 secret rotation을 sidecar로
Envoy를 명시적으로 sidecar로 (L7 정책 복잡한 워크로드)

K8s 1.34 sidecar는 initContainers + restartPolicy=Always 방식. Istio Ambient의 ztunnel과 동시에 사용해도 트래픽 충돌 없을까요? 같은 namespace에 ambient label 있는 상태에서 sidecar Pod도 정상 동작하나요?

김영삼 · Accepted Answer

네, K8s 1.34 sidecar와 Istio Ambient는 충돌 없이 공존 가능합니다. 정확한 동작 정리합니다. 트래픽 흐름 Pod의 app container가 outbound 요청 K8s sidecar(예: OTel Collector)가 먼저 traffic 가로채기 OTel Collector가 처리 후 outbound 이 outbound가 ztunnel을 통과 (Ambient L4 mTLS) 목적지 Pod의 ztunnel이 받아서 그 Pod의 app으로 전달 ztunnel은 노드 단위라 sidecar 패턴과 충돌하지 않습니다. mTLS는 자동, L7 정책은 waypoint proxy 별도. 실제 manifest apiVersion: v1 kind: Pod metadata: labels: istio.io/dataplane-mode: ambient # ← Ambient 적용 spec: initContainers: - name: otel-collector image: otel/op

서버지기영호 · Answer

한 가지 주의 — Vault Agent sidecar의 init order. K8s 1.34 sidecar는 init phase 안에서 시작하지만 app container보다 먼저 ready 상태 보장. Vault Agent가 token fetch 실패하면 app도 시작 안 합니다. probe 설정 잘 확인하세요.

댓글 0