824. Calico - BGP 라우팅 기반 고성능/보안 L3 CNI 네트워크 구현 플러그인

핵심 인사이트: 앞서 배운 Flannel(823번)은 편지를 쏠 때마다 VXLAN 박스로 이중 포장(캡슐화)을 하느라 서버 CPU가 뻗고 속도가 느려 터졌다. Calico는 소리쳤다. "택배 이중 포장 그딴 짓 당장 때려치워! 1번 서버랑 2번 서버 사이에 인터넷 최고 존엄 라우팅 기술인 BGP를 쏴서, 스위치 뇌에 컨테이너 IP 주소표를 강제로 다이렉트로 박아버려! 포장 없이 쌩얼(오리지널 IP)로 패킷을 빛의 속도로 꽂아주마!" 클라우드 네트워크 속도의 끝판왕이자 보안의 제왕, 실무 1대장 Calico다.

Ⅰ. Calico(칼리코)의 개념

  • 개념: 쿠버네티스와 클라우드 네이티브 환경에서, 무거운 오버레이 터널링(VXLAN)을 뚫지 않고 표준 BGP(Border Gateway Protocol) 라우팅을 사용하여 컨테이너 간의 순수 L3(네트워크 계층) 다이렉트 통신을 제공하며, 미치도록 강력한 방화벽(Network Policy)을 지원하는 고성능 CNI 플러그인입니다. (Tigera 개발)
  • 현재 전 세계 상용 쿠버네티스 운영망(Production) 구축 시 압도적인 1위로 쓰입니다.

Ⅱ. Calico의 초고속 마법: BGP 라우팅 (Non-Overlay) 🌟

어떻게 이중 포장(캡슐화) 없이 물리망을 뚫고 통신할까요?

  1. BGP 라우터로 변신한 서버 (Node=Router):
    • Calico를 깔면, 수십 대의 쿠버네티스 노드(물리 서버) 안에 BIRD라는 이름의 BGP 라우팅 소프트웨어가 켜집니다. 즉, 모든 서버가 스스로 어엿한 하나의 거대 라우터로 변신하는 기적이 일어납니다.
  2. 동적 라우팅 장부 교환:
    • 1번 서버 안에 새로운 컨테이너(10.0.1.5)가 뿅! 태어납니다.
    • 1번 서버의 BGP 에이전트는 즉시 2번 서버, 3번 서버에게 연락을 돌립니다. "야! 내 밑에 10.0.1.5 생겼어! 여기로 올 패킷은 나한테 쏴!" (BGP Route Reflection)
    • 전국의 모든 서버가 컨테이너 IP 주소가 어디 있는지 적힌 라우팅 테이블(엑셀 장부)을 1초 만에 쫙 동기화합니다.
  3. 빛의 속도 전송 (포장 금지):
    • 패킷을 보낼 때, Flannel처럼 VXLAN 택배 박스로 두껍게 싸지 않습니다. 내 책상에 있는 엑셀 장부(라우팅 테이블)를 펴보고 "아, 쟤는 2번 서버 밑에 있군" 하고 진짜 목적지 IP 그대로 쌩얼로 냅다 던져버립니다(Pure L3 Routing). 속도가 물리 랜선 직결 수준으로 극강입니다.

(※ 단, 사내 물리 스위치가 BGP를 지원하지 않는 옛날 장비라면, Calico도 눈물을 머금고 IPIP나 VXLAN 오버레이 껍데기를 씌우는 모드로 후퇴(Fallback)해서 작동합니다.)

Ⅲ. Calico의 진정한 무기: 방화벽 제왕 (Network Policy) 🌟

속도도 빠르지만, 회사들이 Calico를 쓰는 진짜 이유는 바로 이 '보안 통제' 기능 때문입니다.

  • 문제점: 쿠버네티스 기본 상태는 모든 컨테이너가 서로 마음대로 핑퐁 통신을 합니다. 해커가 찌끄레기 팟 하나를 털면 사내망이 다 털립니다.
  • 마이크로 세그멘테이션 (iptables 장악):
    • 관리자가 쿠버네티스에 NetworkPolicy 규칙을 적습니다. "오직 [라벨: Frontend]가 붙은 팟만, [라벨: DB] 팟의 3306 포트로 접속하게 해!"
    • Calico에 딸려있는 강력한 호위 무사 Felix 요원이 이 명령을 낚아채어, 리눅스 서버 커널 깊숙한 곳의 방화벽(iptables)에 이 차단 룰을 수천 줄씩 빛의 속도로 코딩해 박아버립니다.
    • 조건에 맞지 않는 악성 패킷은 컨테이너에 닿기도 전에 리눅스 밑바닥 커널에서 목이 잘려 나갑니다(Zero-Trust 실현).

📢 섹션 요약 비유: Flannel이 우체국 직원(물리 스위치) 몰래 편지 겉면에 큰 합법 박스를 뒤집어씌워 보내는 '이중 포장 밀수꾼'이라면, Calico는 아예 동네 주민(서버) 전체가 스스로 정식 우체국장(BGP 라우터)으로 취업해 버리는 당당한 '정공법'입니다. 새로 이사 온 사람(컨테이너)이 생길 때마다 전국 우체국장들끼리 주소록을 1초 만에 최신판으로 공유합니다. 포장 박스를 씌울 필요 없이 맨투맨으로 주소를 정확히 아니 편지가 빛의 속도로 날아갑니다(초고속 라우팅). 게다가 각 동네 입구마다 무서운 조폭(Felix 방화벽)을 세워둬서, 초대장(Network Policy)이 없는 불법 패킷은 동네에 발을 들이기도 전에 몽둥이로 다 찢어버리는 완벽한 초고속 요새망입니다.