마이크로서비스 아키텍처는 서비스 간의 신뢰할 수 있는 통신, 외부 API 요청 보호 및 로드 밸런싱을 요구합니다. 프록시 서버는 서비스, 외부 API 및 클라이언트 간의 중개자로서 이러한 문제를 해결합니다. 이 가이드에서는 마이크로서비스 인프라에 프록시를 올바르게 통합하는 방법, 다양한 시나리오에 사용할 프록시 유형 및 안전한 통신 설정 방법을 살펴보겠습니다.
마이크로서비스 아키텍처에서의 프록시 역할
마이크로서비스 아키텍처에서 프록시 서버는 전통적인 프록시 사용과는 다른 몇 가지 중요한 기능을 수행합니다. 여기서 프록시는 시스템 구성 요소 간의 신뢰할 수 있고 안전한 통신을 보장하는 인프라의 필수 요소가 됩니다.
마이크로서비스에서 프록시의 주요 역할:
- API 게이트웨이 — 모든 클라이언트 요청의 단일 진입점으로, 이를 해당 마이크로서비스로 라우팅하며 시스템의 내부 아키텍처를 숨깁니다.
- 사이드카 프록시 — 각 서비스 옆에서 작동하는 프록시 컨테이너(서비스 메쉬 패턴)로, 모든 수신 및 송신 트래픽을 가로챕니다.
- 리버스 프록시 — 하나의 서비스의 여러 인스턴스 간에 부하를 분산시키고 장애 내성을 보장합니다.
- 포워드 프록시 — 외부 API에 대한 송신 요청을 제어하고 보호하며 내부 IP 주소를 숨깁니다.
- 보안 프록시 — SSL/TLS 종료, 인증, 권한 부여, DDoS 및 기타 공격으로부터 보호합니다.
프록시는 중요한 아키텍처 패턴을 구현할 수 있게 합니다: 회로 차단기(작동하지 않는 서비스 자동 종료), 재시도 로직(오류 발생 시 재시도), 속도 제한(요청 빈도 제한), 요청/응답 변환(데이터 형식 변환). 이러한 모든 요소는 시스템을 장애에 더 강하게 만들고 복잡한 분산 인프라 관리를 단순화합니다.
중요: 마이크로서비스 아키텍처에서 프록시는 두 가지 수준에서 작동합니다 — 클라이언트를 위한 외부 게이트웨이(API 게이트웨이)와 서비스 간의 내부 프록시(서비스 메쉬). 두 수준 모두 시스템의 보안과 신뢰성에 매우 중요합니다.
다양한 사용 시나리오에 대한 프록시 유형
프록시 유형의 선택은 마이크로서비스 아키텍처 내의 특정 작업에 따라 달라집니다. 다양한 시나리오는 속도, 신뢰성, 익명성 또는 지리적 분산과 같은 다양한 특성을 요구합니다.
| 시나리오 | 프록시 유형 | 이유 |
|---|---|---|
| 서비스 간 내부 통신 | HTTP/HTTPS 프록시 (Envoy, NGINX) | 최대 속도, 낮은 지연, HTTP/2 지원 |
| 제한이 있는 외부 API 요청 | 레지던셜 프록시 | 속도 제한 우회, 실제 사용자 IP, 차단 위험 감소 |
| 분석을 위한 데이터 파싱 | 데이터 센터 프록시 | 높은 속도, 낮은 비용, 대량 요청에 적합 |
| 모바일 API 작업 | 모바일 프록시 | 실제 모바일 사용자 모방, 모바일 전용 API 접근 |
| 로드 밸런싱 | 리버스 프록시 (HAProxy, NGINX) | 트래픽 분산, 헬스 체크, 장애 시 자동 전환 |
| 지리적으로 분산된 시스템 | 지오 타겟팅이 있는 레지던셜 프록시 | 지역 API 접근, 데이터 현지화 요구 사항 준수 |
마이크로서비스 간의 내부 통신에는 일반적으로 낮은 지연과 높은 대역폭을 위해 최적화된 Envoy Proxy 또는 NGINX와 같은 전문 프록시 솔루션이 사용됩니다. 이들은 최신 프로토콜(HTTP/2, gRPC)을 지원하며 서비스 메쉬 시스템과 통합됩니다.
외부 API와 작업할 때 선택은 특정 서비스의 요구 사항에 따라 달라집니다. API에 엄격한 속도 제한이 있거나 데이터 센터 IP에서 요청을 차단하는 경우 레지던셜 프록시가 필요합니다. 속도가 익명성보다 중요한 대량 데이터 수집의 경우 데이터 센터 프록시가 적합합니다. 모바일 IP 주소가 필요한 API와 작업할 때는 모바일 프록시가 필요합니다.
API 게이트웨이로서의 프록시: 보호 및 라우팅
API 게이트웨이는 모든 클라이언트 요청에 대한 단일 진입점 역할을 하는 전문 프록시 서버입니다. 클라이언트가 수십 개의 다양한 서비스에 직접 접근하는 대신, 모든 요청을 하나의 API 게이트웨이 주소로 보내고, 이 게이트웨이가 필요한 서비스로 라우팅합니다.
API 게이트웨이의 주요 기능:
- 요청 라우팅 — URL, 헤더 또는 기타 매개변수를 기반으로 어떤 마이크로서비스가 요청을 처리해야 하는지 결정합니다.
- 인증 및 권한 부여 — 토큰(JWT, OAuth) 검증, 다양한 서비스에 대한 접근 제어 관리.
- 속도 제한 — 과부하 및 DDoS로부터 보호하기 위해 단일 클라이언트의 요청 수를 제한합니다.
- 응답 집계 — 여러 서비스의 데이터를 하나의 응답으로 통합합니다.
- 프로토콜 변환 — REST를 gRPC로, HTTP/1.1을 HTTP/2로 변환합니다.
- 캐싱 — 서비스에 대한 부하를 줄이기 위해 자주 요청되는 데이터를 저장합니다.
- 로깅 및 모니터링 — 모든 요청의 메트릭 및 로그를 중앙 집중식으로 수집합니다.
인기 있는 API 게이트웨이 솔루션: Kong, Tyk, AWS API Gateway, Azure API Management, NGINX Plus, Traefik. 선택은 시스템의 규모, 성능 요구 사항 및 사용하는 클라우드 플랫폼에 따라 달라집니다.
// API 게이트웨이로서 NGINX 구성 예제
upstream auth_service {
server auth:8001;
}
upstream user_service {
server user:8002;
}
upstream order_service {
server order:8003;
}
server {
listen 80;
server_name api.example.com;
# 요청 속도 제한
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;
location /api/auth/ {
limit_req zone=api_limit burst=20;
proxy_pass http://auth_service/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /api/users/ {
# 프록시 전 토큰 검증
auth_request /auth/verify;
proxy_pass http://user_service/;
}
location /api/orders/ {
auth_request /auth/verify;
proxy_pass http://order_service/;
}
# 토큰 검증을 위한 내부 엔드포인트
location = /auth/verify {
internal;
proxy_pass http://auth_service/verify;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
}
}
API 게이트웨이는 시스템의 내부 아키텍처를 외부 클라이언트로부터 숨깁니다. 클라이언트는 얼마나 많은 마이크로서비스가 존재하는지, 이들이 어떻게 상호작용하는지 알지 못하고 단일 API만을 보게 됩니다. 이는 버전 관리를 단순화하고, 내부 구조를 변경하더라도 클라이언트에 영향을 주지 않으며, 내부 서비스가 인터넷에서 직접 접근할 수 없도록 하여 보안을 강화합니다.
서비스 메쉬(Istio, Linkerd)와의 통합
서비스 메쉬는 프록시 서버를 사용하여 마이크로서비스 간의 통신을 관리하는 인프라 계층입니다. 각 서비스 옆에 배치된 프록시(사이드카 패턴)를 통해 이루어집니다. API 게이트웨이가 외부 트래픽만 처리하는 것과 달리, 서비스 메쉬는 서비스 간의 모든 내부 트래픽을 제어합니다.
가장 인기 있는 서비스 메쉬 솔루션은 Istio(Envoy Proxy를 사이드카로 사용)와 Linkerd(자체 경량 프록시 사용)입니다. 이들은 Kubernetes의 각 pod 옆에 프록시 컨테이너를 자동으로 배치하여 모든 수신 및 송신 트래픽을 가로챕니다.
프록시를 통한 서비스 메쉬의 기능:
- 상호 TLS (mTLS) — 서비스 간의 모든 트래픽을 상호 인증으로 자동 암호화합니다.
- 트래픽 관리 — 라우팅 관리, 카나리 배포, A/B 테스트를 지원합니다.
- 가시성 — 코드 변경 없이 메트릭, 트레이스 및 로그를 자동으로 수집합니다.
- 회복력 — 회로 차단, 재시도 로직, 타임아웃 관리, 테스트를 위한 오류 주입을 지원합니다.
- 서비스 발견 — 서비스 자동 발견 및 로드 밸런싱을 지원합니다.
# Istio VirtualService 라우팅 구성 예제
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: user-service
spec:
hosts:
- user-service
http:
- match:
- headers:
version:
exact: "v2"
route:
- destination:
host: user-service
subset: v2
- route:
- destination:
host: user-service
subset: v1
weight: 90
- destination:
host: user-service
subset: v2
weight: 10 # 카나리 배포: v2로 10% 트래픽
---
# 회로 차단기를 통한 연쇄 실패 방지
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
name: user-service
spec:
host: user-service
trafficPolicy:
connectionPool:
tcp:
maxConnections: 100
http:
http1MaxPendingRequests: 50
maxRequestsPerConnection: 2
outlierDetection:
consecutiveErrors: 5
interval: 30s
baseEjectionTime: 30s
maxEjectionPercent: 50
서비스 메쉬는 "분산 모놀리식" 문제를 해결합니다 — 서비스 간의 상호작용 로직(재시도, 타임아웃, 회로 차단)이 각 서비스의 코드에 중복되는 경우입니다. 대신, 모든 로직이 프록시 계층으로 이동하여 서비스 코드를 단순화하고 시스템 전체의 일관된 동작을 보장합니다.
중요한 장점은 트래픽의 완전한 투명성입니다. 서비스 간의 모든 요청은 프록시를 통해 지나가며, 메트릭을 기록합니다: 응답 시간, 오류 코드, 페이로드 크기. 이러한 데이터는 자동으로 모니터링 시스템(Prometheus, Grafana) 및 추적 시스템(Jaeger, Zipkin)으로 전송되어, 각 서비스의 작업을 도구 추가 없이 전체적으로 파악할 수 있게 합니다.
프록시를 통한 외부 API 요청 보호
마이크로서비스는 종종 외부 API와 상호작용합니다: 결제 시스템, 지리 위치 서비스, 소셜 미디어 API, 데이터 공급자. 외부 API에 대한 직접 요청은 여러 가지 문제를 일으킵니다: 내부 IP 주소 노출, 속도 제한 초과 시 차단 위험, 송신 트래픽에 대한 제어 부족.
송신 요청에 프록시를 사용하면 이러한 문제를 해결하고 추가 기능을 제공합니다:
- 인프라 숨기기 — 외부 API는 프록시의 IP 주소만 보고, 서버의 IP 주소는 보지 않습니다.
- 속도 제한 우회 — 요청 분산을 위한 IP 주소 회전.
- 지리적 분산 — 필요한 국가의 프록시를 통한 지역 API 접근.
- 중앙 집중식 관리 — 모든 송신 요청에 대한 단일 제어 지점.
- 응답 캐싱 — 비싼 API에 대한 요청 수 감소.
- 모니터링 및 로깅 — 외부 서비스에 대한 모든 호출 추적.
// Python: 외부 API에 대한 requests 프록시 설정
import requests
from requests.adapters import HTTPAdapter
from urllib3.util.retry import Retry
class ExternalAPIClient:
def __init__(self, proxy_url, proxy_rotation=False):
self.session = requests.Session()
# 프록시 설정
self.proxies = {
'http': proxy_url,
'https': proxy_url
}
# 장애 내성을 위한 재시도 로직
retry_strategy = Retry(
total=3,
backoff_factor=1,
status_forcelist=[429, 500, 502, 503, 504],
allowed_methods=["GET", "POST"]
)
adapter = HTTPAdapter(max_retries=retry_strategy)
self.session.mount("http://", adapter)
self.session.mount("https://", adapter)
def call_payment_api(self, data):
"""프록시를 통한 결제 API 요청"""
try:
response = self.session.post(
'https://api.payment-provider.com/charge',
json=data,
proxies=self.proxies,
timeout=10,
headers={'User-Agent': 'MyService/1.0'}
)
response.raise_for_status()
return response.json()
except requests.exceptions.RequestException as e:
# 오류 로깅
print(f"결제 API 오류: {e}")
raise
# 프록시 풀을 사용한 초기화
class ProxyPool:
def __init__(self, proxy_list):
self.proxies = proxy_list
self.current = 0
def get_next(self):
proxy = self.proxies[self.current]
self.current = (self.current + 1) % len(self.proxies)
return proxy
# 초기화
proxy_pool = ProxyPool([
'http://user:pass@proxy1.example.com:8080',
'http://user:pass@proxy2.example.com:8080',
'http://user:pass@proxy3.example.com:8080'
])
# 각 요청에 대해 다음 프록시 사용
client = ExternalAPIClient(proxy_pool.get_next())
엄격한 제한이 있거나 데이터 센터 IP에서 요청을 차단하는 외부 API와 작업할 때 레지던셜 프록시는 필수적입니다. 이들은 실제 가정 사용자 IP 주소를 제공하여 차단 위험을 줄이고 지리적 제한을 우회할 수 있게 합니다.
// Node.js: 자동 회전이 있는 외부 API 프록시
const axios = require('axios');
const HttpsProxyAgent = require('https-proxy-agent');
class ExternalAPIService {
constructor(proxyList) {
this.proxyList = proxyList;
this.currentProxyIndex = 0;
this.requestCounts = new Map(); // 속도 제한을 위한 요청 카운터
}
getNextProxy() {
const proxy = this.proxyList[this.currentProxyIndex];
this.currentProxyIndex = (this.currentProxyIndex + 1) % this.proxyList.length;
return proxy;
}
async callAPI(endpoint, data, options = {}) {
const proxyUrl = this.getNextProxy();
const agent = new HttpsProxyAgent(proxyUrl);
// 속도 제한: 프록시당 분당 100 요청 이하
const proxyKey = proxyUrl;
const now = Date.now();
const count = this.requestCounts.get(proxyKey) || { count: 0, resetTime: now + 60000 };
if (count.count >= 100 && now < count.resetTime) {
// 다음 프록시로 전환
return this.callAPI(endpoint, data, options);
}
try {
const response = await axios({
method: options.method || 'POST',
url: endpoint,
data: data,
httpsAgent: agent,
timeout: options.timeout || 10000,
headers: {
'User-Agent': 'Mozilla/5.0 (compatible; MyService/1.0)',
...options.headers
}
});
// 카운터 업데이트
if (now >= count.resetTime) {
this.requestCounts.set(proxyKey, { count: 1, resetTime: now + 60000 });
} else {
count.count++;
}
return response.data;
} catch (error) {
if (error.response?.status === 429) {
// 속도 제한 초과 - 다른 프록시로 전환
console.log(`프록시 ${proxyUrl}에서 속도 제한, 프록시 전환`);
return this.callAPI(endpoint, data, options);
}
throw error;
}
}
}
// 사용 예
const apiService = new ExternalAPIService([
'http://user:pass@proxy1.example.com:8080',
'http://user:pass@proxy2.example.com:8080'
]);
module.exports = apiService;
로드 밸런싱 및 장애 내성
프록시 서버는 로드 밸런싱과 장애 발생 시 자동 전환을 통해 마이크로서비스 시스템의 높은 가용성을 보장하는 데 중요한 역할을 합니다. 여러 인스턴스의 서비스가 실행되고 있을 때(수평 확장을 위해), 프록시는 요청을 이들 간에 분산시켜 균형 잡힌 부하를 유지합니다.
주요 로드 밸런싱 알고리즘:
- 라운드 로빈 — 목록의 각 서버에 요청을 순차적으로 전송하며, 동질적인 서버에 대해 간단하고 효과적입니다.
- 최소 연결 — 활성 연결 수가 가장 적은 서버에 요청을 전송하며, 긴 요청에 적합합니다.
- IP 해시 — 클라이언트를 특정 서버에 바인딩하여 sticky sessions을 보장합니다.
- 가중 라운드 로빈 — 서버의 성능을 고려하여 요청을 분산합니다(더 강력한 서버는 더 많은 요청을 받습니다).
- 무작위 — 서버를 무작위로 선택하며, stateless 서비스에 적합합니다.
# HAProxy 구성 예제: 헬스 체크를 통한 로드 밸런싱
global
maxconn 4096
log stdout format raw local0
defaults
mode http
timeout connect 5s
timeout client 50s
timeout server 50s
option httplog
frontend api_frontend
bind *:80
default_backend api_servers
backend api_servers
balance roundrobin
# 헬스 체크: /health를 2초마다 확인
option httpchk GET /health
http-check expect status 200
# 재시도 로직
retries 3
option redispatch
# 가중치가 있는 서버 (server3는 두 배 강력함)
server server1 10.0.1.10:8080 check weight 1 maxconn 500
server server2 10.0.1.11:8080 check weight 1 maxconn 500
server server3 10.0.1.12:8080 check weight 2 maxconn 1000
# 백업 서버 (기본 서버가 사용할 수 없을 때만 사용)
server backup1 10.0.2.10:8080 check backup
헬스 체크는 장애 내성을 위한 중요한 기능입니다. 프록시는 각 서버의 가용성을 정기적으로 확인하며(일반적으로 HTTP 엔드포인트 /health 또는 /ready를 통해), 작동하지 않는 서버를 로드 밸런싱 풀에서 자동으로 제외합니다. 서버가 복구되고 헬스 체크에 응답하기 시작하면 자동으로 풀에 다시 포함됩니다.
프록시를 통한 장애 내성 전략:
- 능동 헬스 체크 — 프록시가 서버의 가용성을 확인하기 위해 능동적으로 요청을 보냅니다.
- 수동 헬스 체크 — 프록시가 실제 요청을 추적하고 오류가 누적되면 서버를 제외합니다.
- 회로 차단기 — 연쇄 실패를 방지하기 위해 문제 있는 서비스를 일시적으로 비활성화합니다.
- 우아한 저하 — 장애 발생 시 간소화된 작업 모드 또는 캐시된 데이터로 전환합니다.
- 백업으로 전환 — 자동으로 백업 서버 또는 지역으로 전환합니다.
// Python: 외부 서비스에 대한 프록시 회로 차단기 구현
from datetime import datetime, timedelta
from enum import Enum
class CircuitState(Enum):
CLOSED = "closed" # 정상 작동
OPEN = "open" # 서비스가 사용 불가능, 요청 차단
HALF_OPEN = "half_open" # 복구 후 테스트 모드
class CircuitBreaker:
def __init__(self, failure_threshold=5, timeout=60, success_threshold=2):
self.failure_threshold = failure_threshold # 열리기 전 오류 수
self.timeout = timeout # 복구 시도 전 대기 시간(초)
self.success_threshold = success_threshold # 닫히기 위한 성공 수
self.state = CircuitState.CLOSED
self.failures = 0
self.successes = 0
self.last_failure_time = None
def call(self, func, *args, **kwargs):
if self.state == CircuitState.OPEN:
if datetime.now() - self.last_failure_time > timedelta(seconds=self.timeout):
self.state = CircuitState.HALF_OPEN
print("회로 차단기: HALF_OPEN으로 전환")
else:
raise Exception("회로 차단기 OPEN: 서비스가 사용 불가능합니다.")
try:
result = func(*args, **kwargs)
self._on_success()
return result
except Exception as e:
self._on_failure()
raise e
def _on_success(self):
self.failures = 0
if self.state == CircuitState.HALF_OPEN:
self.successes += 1
if self.successes >= self.success_threshold:
self.state = CircuitState.CLOSED
self.successes = 0
print("회로 차단기: 복구, CLOSED로 전환")
def _on_failure(self):
self.failures += 1
self.last_failure_time = datetime.now()
if self.failures >= self.failure_threshold:
self.state = CircuitState.OPEN
print(f"회로 차단기 OPEN: {self.failures} 연속 오류 발생")
# 사용 예
breaker = CircuitBreaker(failure_threshold=3, timeout=30)
def call_external_service():
# 프록시를 통한 외부 API 요청 코드
pass
try:
result = breaker.call(call_external_service)
except Exception as e:
# 폴백 로직: 캐시, 기본값 등
print(f"서비스가 사용 불가능합니다: {e}")
서비스 간 통신 보안
마이크로서비스 아키텍처에서 프록시 서버는 여러 보안 수준을 제공합니다: 트래픽 암호화, 서비스 인증, 공격 방지 및 네트워크 세그먼트 격리. 보안 설정이 제대로 이루어지지 않으면 서비스 간의 내부 트래픽이 가로채지거나 변조될 수 있습니다.
프록시를 통한 보안의 주요 측면:
- 상호 TLS (mTLS) — 클라이언트와 서버가 서로의 인증서를 검증하는 양방향 인증. 서비스 메쉬는 모든 서비스 간에 mTLS를 자동으로 설정합니다.
- TLS 종료 — 프록시가 경계에서 HTTPS 트래픽을 복호화하고 검증하여 서비스에 안전한 채널로 전달합니다.
- JWT 검증 — 요청이 서비스에 도달하기 전에 프록시 수준에서 접근 토큰을 검증합니다.
- IP 화이트리스트 — 허용된 IP 주소에서만 서비스에 접근할 수 있도록 제한합니다.
- DDoS 방어 — 속도 제한, 연결 제한, 프록시 수준에서 SYN 플러드 공격 방어.
- WAF (웹 애플리케이션 방화벽) — 악성 요청 필터링, SQL 인젝션, XSS 방어.
# SSL/TLS 및 보안을 갖춘 NGINX 구성
server {
listen 443 ssl http2;
server_name api.internal.example.com;
# SSL 인증서
ssl_certificate /etc/nginx/certs/api.crt;
ssl_certificate_key /etc/nginx/certs/api.key;
# 최신 프로토콜 및 암호
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# mTLS를 위한 클라이언트 인증서
ssl_client_certificate /etc/nginx/certs/ca.crt;
ssl_verify_client on;
# 보안 헤더
add_header Strict-Transport-Security "max-age=31536000" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
# 속도 제한
limit_req_zone $binary_remote_addr zone=api:10m rate=100r/s;
limit_req zone=api burst=200 nodelay;
# 연결 제한
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 10;
# IP 화이트리스트
allow 10.0.0.0/8; # 내부 네트워크
allow 172.16.0.0/12; # VPC
deny all;
location / {
# JWT 토큰 검증
auth_jwt "제한된 API";
auth_jwt_key_file /etc/nginx/jwt_key.json;
proxy_pass http://backend_service;
# 클라이언트 인증서 정보 전달
proxy_set_header X-Client-DN $ssl_client_s_dn;
proxy_set_header X-Client-Verify $ssl_client_verify;
}
}
서비스 메쉬는 mTLS를 위한 인증서를 자동으로 생성하고 회전시키며, 접근 정책을 적용하고 서비스 간의 모든 트래픽을 암호화하여 보안 설정을 크게 단순화합니다. 예를 들어, Istio에서는 "payment" 서비스가 "order" 서비스로부터만 요청을 받을 수 있도록 정책을 설정할 수 있으며, 이는 서비스 코드 변경 없이 프록시 수준에서 자동으로 적용됩니다.
생산 환경에서의 중요 사항: 서비스 간 내부 통신을 위해 항상 mTLS를 사용하십시오. 이는 중간자 공격으로부터 보호하고, 네트워크 수준이 아닌 서비스 수준에서 인증을 보장합니다.
프록시 트래픽 모니터링 및 로깅
프록시 서버는 마이크로서비스 시스템의 모든 트래픽을 중앙 집중식으로 모니터링할 수 있는 독특한 기회를 제공합니다. 모든 트래픽이 프록스를 통해 지나가기 때문에(외부 API 게이트웨이를 통한 트래픽과 내부 서비스 메쉬를 통한 트래픽 모두), 각 서비스에 도구를 추가할 필요 없이 시스템의 작업을 전체적으로 파악할 수 있습니다.
프록시 수준에서 모니터링을 위한 주요 메트릭:
- 지연 시간 — 각 단계에서 요청 처리 시간: 프록시, 서비스, 외부 API.
- 처리량 — 초당 요청 수, 전송된 데이터 양.
- 오류율 — 오류 비율(4xx, 5xx), 오류 유형, 문제 있는 엔드포인트.
- 연결 메트릭 — 활성 연결 수, 연결 풀 사용량.
- 회로 차단기 상태 — 각 서비스에 대한 회로 차단기의 상태.
- SSL/TLS 메트릭 — 인증서 상태, 프로토콜 버전, 핸드쉐이크 오류.
# NGINX 구성: Prometheus에 메트릭 내보내기
server {
listen 9113;
location /metrics {
stub_status;
access_log off;
allow 10.0.0.0/8; # Prometheus 서버 전용
deny all;
}
}
# 구조화된 로깅을 위한 JSON 형식으로 로깅
log_format json_combined escape=json
'{'
'"time_local":"$time_local",'
'"remote_addr":"$remote_addr",'
'"request":"$request",'
'"status": "$status",'
'"body_bytes_sent":"$body_bytes_sent",'
'"request_time":"$request_time",'
'"upstream_response_time":"$upstream_response_time",'
'"upstream_addr":"$upstream_addr",'
'"http_referrer":"$http_referer",'
'"http_user_agent":"$http_user_agent",'
'"http_x_forwarded_for":"$http_x_forwarded_for"'
'}';
access_log /var/log/nginx/access.log json_combined;
분산 추적은 프록스를 통한 모니터링의 가장 강력한 기능 중 하나입니다. 각 요청은 고유한 추적 ID를 부여받으며, 프록스는 이를 헤더에 추가하고 서비스 체인에 전달합니다. 추적 시스템(Jaeger, Zipkin)은 모든 프록스에서 정보를 수집하고 요청의 전체 경로를 구축하여 각 서비스에서 얼마나 오랜 시간을 보냈는지 보여줍니다.
// Node.js: 프록시 미들웨어에 추적 추가
const express = require('express');
const { v4: uuidv4 } = require('uuid');
const axios = require('axios');
const app = express();
// 추적 ID 추가를 위한 미들웨어
app.use((req, res, next) => {
// 헤더에서 추적 ID를 가져오거나 새로 생성
const traceId = req.headers['x-trace-id'] || uuidv4();
const spanId = uuidv4();
// 다음 단계로 전달하기 위해 헤더에 추가
req.traceId = traceId;
req.spanId = spanId;
res.setHeader('x-trace-id', traceId);
// 처리 시작 로깅
const startTime = Date.now();
res.on('finish', () => {
const duration = Date.now() - startTime;
// 분석을 위한 구조화된 로그
console.log(JSON.stringify({
timestamp: new Date().toISOString(),
traceId: traceId,
spanId: spanId,
method: req.method,
path: req.path,
status: res.statusCode,
duration: duration,
userAgent: req.headers['user-agent'],
ip: req.ip
}));
});
next();
});
// 추적 헤더를 전달하는 프록시 엔드포인트
app.all('/api/*', async (req, res) => {
const targetService = determineTargetService(req.path);
try {
const response = await axios({
method: req.method,
url: `http://${targetService}${req.path}`,
data: req.body,
headers: {
...req.headers,
'x-trace-id': req.traceId,
'x-parent-span-id': req.spanId,
'x-span-id': uuidv4() // 다운스트림 요청을 위한 새로운 span
}
});
res.status(response.status).json(response.data);
} catch (error) {
console.error(JSON.stringify({
traceId: req.traceId,
error: error.message,
service: targetService
}));
res.status(500).json({ error: '서비스를 사용할 수 없습니다.' });
}
});
function determineTargetService(path) {
if (path.startsWith('/api/users')) return 'user-service:8080';
if (path.startsWith('/api/orders')) return 'order-service:8080';
return 'default-service:8080';
}
app.listen(3000);
프록시 메트릭을 기반으로 한 알림 설정은 문제를 신속하게 발견할 수 있게 합니다. 예를 들어, 지연 시간이 갑자기 증가하면(어떤 서비스가 저하되고 있을 수 있음), 오류율이 임계값을 초과하면(코드 또는 종속성 문제), 트래픽 패턴이 변경되면(가능한 DDoS 공격 또는 바이러스성 부하) 알림을 설정할 수 있습니다.
Python 및 Node.js 구현 예제
Python 및 Node.js에서 프록시를 마이크로서비스에 통합하는 다양한 시나리오에 대한 실용적인 예제를 살펴보겠습니다: 내부 통신, 외부 API 작업, 로드 밸런싱.
Python: 외부 API를 위한 프록시 서비스
from fastapi import FastAPI, HTTPException
from pydantic import BaseModel
import httpx
import asyncio
from typing import List, Optional
import logging
app = FastAPI()
logging.basicConfig(level=logging.INFO)
logger = logging.getLogger(__name__)
class ProxyConfig(BaseModel):
url: str
max_requests_per_minute: int = 60
class ProxyPool:
def __init__(self, proxies: List[ProxyConfig]):
self.proxies = proxies
self.current_index = 0
self.request_counts = {p.url: 0 for p in proxies}
self.reset_time = asyncio.get_event_loop().time() + 60
async def get_next_proxy(self) -> str:
# 매 분마다 카운터 초기화
current_time = asyncio.get_event_loop().time()
if current_time >= self.reset_time:
self.request_counts = {p.url: 0 for p in self.proxies}
self.reset_time = current_time + 60
# 사용 가능한 요청이 있는 프록시 찾기
for _ in range(len(self.proxies)):
proxy = self.proxies[self.current_index]
self.current_index = (self.current_index + 1) % len(self.proxies)
if self.request_counts[proxy.url] < proxy.max_requests_per_minute:
self.request_counts[proxy.url] += 1
return proxy.url
# 모든 프록시가 한도를 초과함
raise HTTPException(status_code=429, detail="모든 프록시가 속도 제한에 걸렸습니다.")
# 프록시 풀 초기화
proxy_pool = ProxyPool([
ProxyConfig(url="http://user:pass@proxy1.example.com:8080", max_requests_per_minute=100),
ProxyConfig(url="http://user:pass@proxy2.example.com:8080", max_requests_per_minute=100),
ProxyConfig(url="http://user:pass@proxy3.example.com:8080", max_requests_per_minute=100)
])
class ExternalAPIClient:
def __init__(self, proxy_pool: ProxyPool):
self.proxy_pool = proxy_pool
async def fetch_data(self, endpoint: str, params: dict = None) -> dict:
proxy_url = await self.proxy_pool.get_next_proxy()
async with httpx.AsyncClient(proxies={"http://": proxy_url, "https://": proxy_url}) as client:
try:
response = await client.get(
endpoint,
params=params,
timeout=10.0,
headers={"User-Agent": "MyMicroservice/1.0"}
)
response.raise_for_status()
logger.info(f"{proxy_url}를 통해 {endpoint}에서 성공적으로 데이터를 가져왔습니다.")
return response.json()
except httpx.HTTPStatusError as e:
logger.error(f"{endpoint}에서 HTTP 오류 {e.response.status_code} 발생")
raise HTTPException(status_code=e.response.status_code, detail=str(e))
except httpx.RequestError as e:
logger.error(f"{endpoint}에 대한 요청 오류: {e}")
raise HTTPException(status_code=503, detail="외부 API를 사용할 수 없습니다.")
api_client = ExternalAPIClient(proxy_pool)
@app.get("/data/{resource_id}")
async def get_external_data(resource_id: str):
"""프록시를 통해 외부 API에서 데이터를 가져오는 엔드포인트"""
external_endpoint = f"https://api.external-service.com/v1/resources/{resource_id}"
try:
data = await api_client.fetch_data(external_endpoint)
return {"status": "success", "data": data}
except HTTPException:
raise
except Exception as e:
logger.error(f"예상치 못한 오류: {e}")
raise HTTPException(status_code=500, detail="내부 서버 오류")
@app.get("/health")
async def health_check():
return {"status": "healthy", "service": "external-api-proxy"}
# 실행: uvicorn main:app --host 0.0.0.0 --port 8000
Node.js: 로드 밸런싱이 있는 API 게이트웨이
const express = require('express');
const axios = require('axios');
const rateLimit = require('express-rate-limit');
const app = express();
app.use(express.json());
// 마이크로서비스 구성
const services = {
users: [
{ url: 'http://user-service-1:8001', healthy: true, activeConnections: 0 },
{ url: 'http://user-service-2:8001', healthy: true, activeConnections: 0 },
// 추가 서비스...
],
// 추가 서비스...
};
// 로드 밸런싱 및 요청 처리 로직...