eBPF 기반 커널 가시성 확보로 Sidecar CPU 비용 100% 제거

Context

Istio와 같은 Sidecar 기반 Service Mesh는 Pod마다 프록시를 배치하여 가시성을 확보함. 이 구조는 Pod 수 증가에 따라 idle vCPU 소모량이 선형적으로 증가하며, 이는 곧 막대한 인프라 비용 상승과 서비스 시작 지연이라는 아키텍처적 한계로 이어짐.

Technical Solution

• Observability 계층을 Pod 내부에서 Linux Kernel 수준으로 이동시켜 Sidecar-less 구조 구현
• eBPF Hook Point(XDP, TC, kprobes 등)를 활용하여 단일 노드당 하나의 프로그램으로 모든 Pod 트래픽을 캡처
• 패킷 복사 및 User-space round-trip 제거를 통해 데이터 경로 최적화 및 커널 내 직접 검사 수행
• eBPF Verifier를 통한 메모리 안전성 및 종료 보장으로 프로덕션 환경의 안정성 확보
• iptables의 선형 탐색(O(n)) 대신 eBPF Hash Table lookup(O(1))을 적용하여 연결 지연 시간 단축
• DaemonSet 기반의 Hubble 및 Pixie 배포를 통해 L3부터 L7까지의 프로토콜 가시성 확보