코드형 인프라(IaC)란 무엇인가요?

IaC는 코드를 통해 프로비저닝 프로세스를 자동화하여 Cloud 콘솔에서 수동으로 설정할 필요가 없도록 합니다. 먼저 개발자가 원하는 인프라 사양을 구성 파일에 정의합니다. 이 구성 파일은 일반적으로 버전 제어 시스템에 저장됩니다. 그러면 Terraform과 같은 자동화 도구가 이러한 파일을 처리하고 클라우드 제공업체에 필요한 API 호출을 수행하여 실제 리소스를 생성, 업데이트 또는 삭제합니다. 이 워크플로는 일반적으로 코드(정의)에서 버전 제어, CI/CD 파이프라인을 거쳐 프로비저닝에 이르는 경로를 따릅니다.

IaC를 구현할 때 팀은 일반적으로 선언적 접근 방식과 명령형 접근 방식 중에서 선택합니다. 주요 차이점은 최종 결과에 중점을 두는지 아니면 최종 결과에 도달하기 위한 단계에 중점을 두는지에 있습니다.

인프라 정의가 코드 저장소로 이동함에 따라 보안 관행은 이러한 파일을 보호하기 위해 조정되어야 합니다. 'IaC 보안' 및 'IaC 스캔'은 인프라가 배포되기 전에 구성 파일에서 취약점을 분석하는 관행을 의미하며, 이 개념은 '시프트 레프트' 보안이라고도 합니다. 특수 도구는 코드 파이프라인을 스캔하여 공개적으로 열려 있는 스토리지 버킷이나 암호화되지 않은 데이터베이스와 같은 잘못된 구성을 감지하여 보안 위험이 프로덕션 환경에 도달하지 못하도록 방지합니다.

Google Cloud는 초기 설계부터 배포, 지속적인 관리에 이르기까지 코드형 인프라 여정을 지원하는 포괄적인 도구 모음을 제공합니다. App Design Center는 사전 빌드된 참조 아키텍처를 탐색, 맞춤설정, 빌드할 수 있는 훌륭한 시작점입니다. 이를 통해 단 한 줄의 코드를 작성하기 전에 Google Cloud 권장사항을 기반으로 애플리케이션 스택을 설계하여 처음부터 인프라를 잘 설계할 수 있습니다.

설계가 완료되면 Google Cloud의 개방형 생태계를 통해 코드로 쉽게 구현할 수 있습니다. 이 플랫폼은 Terraform과 같은 오픈소스 표준을 사후 고려 사항이 아닌 핵심 요소로 취급합니다. Infrastructure Manager와 같은 서비스를 사용하면 Terraform을 직접 사용하여 Google Cloud 리소스를 배포하고 관리할 수 있으며, Config Connector를 사용하면 Kubernetes를 통해 Google Cloud 리소스를 관리하여 클라우드 인프라와 컨테이너 조정 간의 격차를 해소할 수 있습니다.

Cloud Resource Manager는 조직, 폴더, 프로젝트를 포함한 Google Cloud 리소스 계층 구조를 프로그래매틱 방식으로 관리하는 서비스 역할을 합니다. 많은 팀이 IaC를 사용하여 가상 머신과 같은 리소스를 배포하는 반면, Cloud Resource Manager를 사용하면 프로젝트 구조 자체를 코드로 정의할 수 있습니다. 이를 통해 팀은 일관된 Identity and Access Management(IAM) 정책과 조직 제약 조건으로 새로운 환경을 자동으로 설정하여 처음부터 인프라에 거버넌스를 적용할 수 있습니다.

IaC를 사용하는 가장 가치 있는 방법 중 하나는 '내 머신에서는 작동했는데 왜 프로덕션에서는 작동하지 않지?'라는 일반적인 개발자 문제를 해결하는 것입니다. 임시 환경을 만들어 이 문제를 해결할 수 있습니다.

이 워크플로에서는 개발자가 pull 요청(PR)을 열면 IaC 도구가 앱의 임시 격리된 사본을 자동으로 가동합니다. PR이 병합되면 환경이 자체적으로 소멸됩니다.

이 기능을 사용하려면 Terraform 코드에 하드 코딩된 이름이 없어야 합니다. 변수를 사용하여 모든 PR에 대해 고유한 리소스를 만들어야 합니다.

main.tf(스니펫)

cloudbuild.yaml에서 Cloud Build가 제공하는 _PR_NUMBER 대체 변수를 사용하여 PR 번호를 Terraform에 삽입합니다.

cloudbuild.yaml(스니펫)

이 워크플로를 사용하면 IaC가 정적인 유지보수 작업에서 검토 주기를 가속화하는 동적인 생산성 도구로 전환됩니다.