ztunnel과 Waypoint Proxy로 L4/L7 분리 설계하여 메모리 70% 절감 달성함

Context

66% 조직이 Kubernetes에서 GenAI 워크로드를 실행하지만 일일 배포 속도를 달성하는 조직은 7%에 불과함. 서비스 메시 복잡성과 리소스 오버헤드가 주요 원인임. 기존 사이드카 모드는 모든 파드에 Envoy 프록시를 주입하여 파드당 추가 메모리/CPU를 소비함.

Technical Solution

• ztunnel (L4 프록시): 노드당 1개 DaemonSet으로 배포되어 모든 파드 간 mTLS 암호화, Identity 기반 인증, TCP 레벨 로드밸런싱을 처리함
• Waypoint Proxy (L7 프록시): 네임스페이스당 선택적 Deployment로 HTTP 라우팅, 요청별 로드밸런싱, 카나리 배포, 분산 트레이싱, 요청 레벨 인증을 지원함
• Ambient Multicluster Beta: 사이드카 없는 크로스 클러스터 트래픽 라우팅 지원함. 클러스터 장애 시 자동 failover와 ztunnel 간 mTLS 유지함
• Gateway API Inference Extension: ML 추론을 서비스 메시 트래픽 플로우에 직접 통합함

Impact

평균 지연시간 p90 0.63ms에서 0.16ms로 74% 감소함. p99는 0.88ms에서 0.20ms로 77% 감소함. 메모리 사용량 약 70% 절감함. L7 프록시 홉 2개에서 1개로 50% 감소함. 파드 재시작이 불필요해짐.

Key Takeaway

L4와 L7 처리를 분리하면 사이드카 전체 주입 없이 필요한 네임스페이스에만 L7 기능을 선택적으로 활성화할 수 있음.