Hwan. 001

테라폼 backend용 s3 버킷 생성

provider "aws" {
    region = "ap-northeast-2"
}

resource "aws_s3_bucket" "example" {
  bucket = "iac-serverce1"

  tags = {
    Name        = "iac-service1"
    Environment = "Dev"
    Management  = "Terraform"
    CreatedBy   = "hwan001"
  }
}

label 필드

레이블 필드를 추가해두면 지라 검색 시 관련된 이슈를 편하게 찾을 수 있다.

티켓의 수가 많을 경우, 레이블을 하나씩 손으로 작성해주기는 귀찮기 때문에 파이썬의 JIRA Package를 활용해서 추가해줬다.

from jira import JIRA

class JiraAPI:
    def __init__(self, url:str, auth:set):
        self.options = {'server': url}
        self.jira = JIRA(self.options, basic_auth=auth)
        
    def set_labels(self, issue_ids:str, labels:list):
    	for issue_id in issue_ids:
	    	issue = self.jira.issue(issue_id)
            
    		for label in labels:
        	    issue.update(labels= [ {'add': str(label)} ] )
        
    def delete_labels(self, issue_ids:str, labels:list):
    	for issue_id in issue_ids:
	    	issue = self.jira.issue(issue_id)
            
    		for label in labels:
        	    issue.update(labels= [ {'remove': str(label)} ] )


if __name__ == "__main__":
    jira = JiraAPI(url="https://company.atlassian.net", auth=("email", "token"))
    
    dev_labels = ["개발팀", "DEV"]
    stg_labels = ["개발팀", "STG"]
    prd_labels = ["DevOps팀", "PRD"]
    dev_issueids = ["DEV-1234"]
    prd_issueids = ["DEVOPS-1234", "DEVOPS-1235"]

    jira.set_labels(dev_issueids, dev_lables)
    jira.set_labels(prd_issueids, prd_labels)

Dockerfile?

• Dockerfile은 원하는 Docker Container Image를 생성하기 위한 스크립트 파일이다.
• Docker는 build 옵션을 통해 Dockerfile에 나열된 명령문을 차례대로 수행하며 Container Image를 생성해준다.
• Dockerfile을 읽을 줄 안다는 것은 해당 이미지가 어떻게 구성되어 있는지 알 수 있다는 의미이다.

Dockerfile 작성 방법

키워드

FROM: 시작점이 될 베이스 이미지를 지정한다.

MAINTAINER: 이미지를 생성한 개발자의 정보를 표시한다. (1.13.0 이후에는 권장되지 않고, LABEL을 사용하는 것이 좋다.)

LABEL: 이미지에 메타데이터를 추가한다. key-value 형태로 지정된다.

RUN:
이미지 내에서 명령어를 실행한다. 실행 결과는 새로운 레이어에 기록되고, 이 레이어는 최종 이미지에 포함된다.
각 RUN 명령은 새로운 레이어를 생성하며, 이러한 레이어들은 캐시되어 재사용될 수 있다.

WORKDIR:
컨테이너 내에서의 작업 디렉토리를 지정한다.
해당 디렉토리가 없으면 자동으로 생성되며, 이후의 작업들은 이 디렉토리 내에서 실행된다.

EXPOSE:
이미지를 실행할 때 열려야 하는 포트를 지정한다.
이 포트는 컨테이너 실행 시 -p 옵션으로 호스트와 매핑될 수 있다.

USER: 컨테이너가 실행될 때 사용될 사용자를 지정한다. (기본값 root)

COPY / ADD:
호스트 시스템의 파일이나 디렉토리를 이미지에 복사한다.
ADD는 COPY보다 확장된 기능을 제공한다. ADD는 URL로부터 파일을 가져오거나 압축 해제 기능도 제공한다.
특별한 기능이 필요하지 않은 경우, COPY를 사용하는 것이 권장된다.

ENV: 컨테이너 내에서 사용될 환경 변수를 설정한다.

CMD / ENTRYPOINT:
컨테이너를 생성하거나 실행할 때 수행될 명령어를 정의한다.
docker run 명령으로 새 컨테이너를 생성하거나, docker start 명령으로 정지된 컨테이너를 시작할 때 해당 명령어가 실행된다.
주로 컨테이너 내부에서 지속적으로 실행되어야 하는 서버나 애플리케이션을 시작할 때 사용된다.

CMD:
CMD는 docker run 실행 시 추가적인 명령어가 주어지면, 해당 명령어를 ENTRYPOINT에 지정된 명령어의 인자로 사용한다. 만약 ENTRYPOINT가 정의되어 있지 않다면, CMD에서 지정한 명령어를 실행한다.

Dockerfile 내에서 CMD를 여러 번 정의할 수 있지만, 마지막으로 정의된 CMD만 최종적으로 사용된다.

CMD는 3가지 형태로 작성될 수 있다:
- CMD ["executable", "param1", "param2"]: 실행할 프로그램과 그에 대한 인자를 지정한다.
- CMD ["param1", "param2"]: ENTRYPOINT로 지정된 실행 가능한 파일의 인자로 사용된다.
- CMD command param1 param2: shell 형태로 명령어를 실행한다. 여기서는 /bin/sh -c를 사용하여 해당 명령어를 실행한다.

ENTRYPOINT :
ENTRYPOINT는 docker run 실행 시, 추가적인 명령어가 주어지면 이 명령어는 ENTRYPOINT에 지정된 명령어에 대한 인자로 사용된다. CMD에서 기본 인자가 제공되었을 때 docker run에서 명령어를 추가로 주게 되면, CMD의 인자는 덮어쓰여진다.

ENTRYPOINT 명령은 2가지 형태로 제공된다:
- exec 형태: ENTRYPOINT ["executable", "param1", "param2"]. 이 형태는 명령어가 PID 1로 실행되어 신호 처리가 올바르게 이루어진다.
- shell 형태: ENTRYPOINT command param1 param2. 이 형태를 사용할 때, 명령어는 실제로 /bin/sh -c 내에서 실행되므로 신호 처리에 주의가 필요하다.

ENTRYPOINT는 CMD와 함께 사용될 때, ENTRYPOINT는 실행할 명령어를, CMD는 그 명령어의 기본 인자로 사용된다.

Docker 빌드

• Dockerfile의 기본이름은 Dockerfile이다.
  파일명을 이렇게 설정하면 파일이 위치한 경로에서 docker build . 만 해도 빌드가 가능하다.
  하지만 이렇게 생성하면  이미지의 이름과 태그가 없기 때문에 -t 옵션으로 태그와 파일명 지정이 가능하다.

docker build . -t container_name:tag

• Dockerfile은 파일명 변경이 가능하다.
  위에서 파일명을 다르게 지정했다면  -f 옵션으로 지정이 가능하다.

docker build -t container_name:tag -f my.Dockerfile .

네임스페이스 확인

kubectl get namespace

네임스페이스 변경하기

kubectl config set-context --current --namespace={NAMESPCE}

Git과 PR(Pull Request)을 활용한 협업

 인프라의 규모가 확장되면서 여러 팀원들과 함께 작업하는 상황에서는 동일한 상태 파일을 공유하고 동기화하는 것이 중요해졌다.

유형 1은 직접 .tf 파일과 tfstate 파일을 공유하는 방식이다. 이런 방식으로 파일을 공유할 수는 있지만, 수동으로 관리하는 데에는 여러 번거로운 작업들이 포함된다. 이 과정에서 인간의 실수나 정보의 누락이 발생할 수 있기 때문에 이러한 문제점을 해결하고자 버전 관리 시스템(VCS)의 도입이 필요해졌다.

유형 2에서는 VCS(예: git, svn)를 사용하여 해당 파일들을 효율적으로 관리한다. 이를 통해 변경 이력을 체계적으로 추적할 수 있으며, 필요한 경우 이전 버전으로 쉽게 롤백할 수 있게 되었다.

유형 3은 git을 사용하여 .tf 파일을 관리하는 동시에, s3와 같은 백엔드 서비스를 활용하여 tfstate 파일을 안전하게 저장하고 관리하는 방식이다. 이 구조를 사용하면 각 파일의 특성에 맞는 최적화된 관리 방식을 선택할 수 있다.

 일반적으로는 유형 3의 구조에서 Git 저장소에 브랜치를 생성한 후 PR을 보내서 작업을 진행하게 된다.

PR은 git으로 코드를 관리할 때 주로 사용되는 브랜치 branch를 이용하는 방법으로 작업자가 코드 수정을 위해 새로운 브랜치를 생성하고 작업한 후 본인의 브랜치를 push하여 코드리뷰 후 Merge를 요청하는 방식이다.

Push와 Pull만으로도 코드 협업이 가능하긴 하지만 이렇게 할 경우, 다른 사람이 작성한 커밋을 확인하기가 쉽지 않고 리모트 저장소에 푸시할 때가 되어야 충돌 상황을 확인 할 수 있다.
PR을 사용하면 작업된 테라폼 코드에 대한 자연스러운 리뷰와 메인스트림 main branch의 병합을 관리하기 수월해진다.

이전에 만들었던 Terraform VPC Module에 PR을 보내기 위해 feature 브랜치를 생성했다.

작업 후에 PR을 생성하고 main 브랜치에 Merge 해보자.

위 과정을 거치면 다른 브랜치를 통해서 작업한 내용을 main브랜치에 합칠 수 있다.

Hashcorp TFC (Terraform Cloud) 백엔드

  위에서 VCS와 PR을 활용하는 방법을 확인했다. 하지만 유형3에서 코드의 관리만큼 중요한 상태 파일의 관리를 해결하지 못했는데,

s3 등의 시스템들을 활용하면 백엔드로 관리하면 상태 파일을 안정적으로 공유할 수 있다. 

그 중 TFC 백엔드에 대해서 정리해보려고 한다.

하시코프에서 프로비저닝 대상과 별개로 State를 관리할 수 있도록 SaaS 환경인 TFC를 무상 제공한다.

• 제공 기능 : 기본 기능 무료, State 히스토리 관리, State lock 기본 제공, State 변경에 대한 비교 기능
• Free Plan 업데이트 : 사용자 5명 → 리소스 500개, 보안 기능(SSO, Sentinel/OPA로 Policy 사용) -> 링크
• HashiCorp Terraform: Enterprise Pricing, Packages & Feature

TFC는 아래 링크로 접속할 수있다. 

https://app.terraform.io/session

먼저, email로 계정을 생성한 뒤 로그인하여 Organizations를 생성한다.

hwan001-test-org라는 이름으로 Organizations를 생성했다.

이제 아래의 코드로 테라폼 파일을 만들어주자.

terraform{
  cloud{
    organization = "hwan001-test-org"      # 생성한 ORG 이름 지정
    hostname     = "app.terraform.io"      # default

    workspaces {
      name = "terraform-aws-collaboration"  # 없으면 생성됨
    }
  }
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = ">= 4.0"
    }
  }
}

provider "aws" {
  region  = "ap-northeast-2"
  # shared_config_files      = ["~/.aws/config"]
  # shared_credentials_files = ["~/.aws/credentials"]
}

module "vpc" {
  source = "git::https://github.com/aws-hwan-001/vpc.git"

  cidr_block             = "10.10.0.0/16"
  tags                   = { Name = "hwan001-vpc" }
  public_subnet_cidr    = "10.10.1.0/24"
  public_subnet_tags    = { Name = "hwan001-public-subnet" }
  private_subnet_cidr    = "10.10.2.0/24"
  private_subnet_tags    = { Name = "hwan001-private-subnet" }
}

terraform init을 실행하면 login이 필요하다는 경고가 나온다.

terraform login 명령어를 실행하고 yes를 입력하면 아래처럼 토큰을 생성하는 페이지가 생성(웹에 로그인되어 있을 경우)된다.

해당 페이지에서 토큰을 생성한 후 복사하고, shell에 입력해주면 아래와 같은 화면이 나오면서 login 된다.

로그인 후 다시 terraform init을 진행하면 정상적으로 진행되면서 웹UI에서 새로운 프로젝트가 생긴걸 볼 수 있다.

배포를 원하는 AWS 계정의 Credential  정보를 아래 경로에 Variable Sets으로 설정해주자.

이 상태에서 Terraform plan과 apply가 아래처럼 성공하면 아래처럼 state를 TFC에서 확인할 수 있다.

젠킨스에 설치된 Plugin 목록 얻기

 아래 명령어로 젠킨스에 설치된 플러그인의 목록을 얻을 수 있다.

USERNAME과 PASSWORD은 젠킨스에 로그인이 가능한 계정 정보, SERVER IP와 PORT는 조회를 원하는 젠킨스 서버의 정보이다.

 위 내용에 특수기호가 들어가는 경우는 \를 붙여 사용한다. (PASSWORD가 passwd! 일 경우, passwd\!) 
SERVER IP에는 https등을 제외하고 아이피만 넣어주어야 한다.

JENKINS_HOST="USERNAME:PASSWORD@SERVER_IP:PORT";
curl -sSL "http://$JENKINS_HOST/pluginManager/api/xml?depth=1&xpath=/*/*/shortName|/*/*/version&wrapper=plugins" | perl -pe 's/.*?<shortName>([\w-]+).*?<version>([^<]+)()(<\/\w+>)+/\1 \2\n/g'|sed 's/ /:/'

# ex)
# JENKINS_HOST="admin:1234@0.0.0.0:8080";
# curl -sSL "http://$JENKINS_HOST/pluginManager/api/xml?depth=1&xpath=/*/*/shortName|/*/*/version&wrapper=plugins" | perl -pe 's/.*?<shortName>([\w-]+).*?<version>([^<]+)()(<\/\w+>)+/\1 \2\n/g'|sed 's/ /:/'

State  file

 상태 파일은 terraform apply시에 생성되는 .tfstate 파일이다.

해당 파일은 인프라의 상태를 json 형태로 가지고 있는데, 테라폼 내부에서만 사용하기 위한 파일이기 때문에 테라폼 상태 파일을 직접 편집하거나 직접 읽는 코드로 작성해서는 안된다.

팀 단위로 작업하는 경우 아래 조건이 갖춰져야 한다.

1. 상태 파일을 저장하는 공유 스토리지 (Shared storage for state files)
   • 각 팀원이 동일한 테라폼 상태 파일 사용을 위해서, 공유 위치에 저장이 필요
2. 상태 파일 잠금 (Locking state files)
   • 잠금 기능 없이 동시에 테라폼 실행 시 여러 테라폼 프로세스가 상태 파일을 동시에 업데이트하여 경쟁 상태(race condition)로 인한 충돌 가능
3. 상태 파일 격리 (Isolating state files)
   • 테스트(dev), 검증(stage), 상용(prodction) 등 각 환경에 대한 상태 파일의 격리가 필요

AWS S3, Azure Blob Storage, Google Cloud Storage 등이 원격 백엔드를 지원하기 때문에 많이 쓰인다.

이런 백엔드를 사용할 경우 일반적으로 발생하는 아래 문제들을 해결할 수 있다.

1. 수동 오류: plan/apply 실행 시 마다 해당 백엔드에서 파일을 자동을 로드, apply 후 상태 파일을 백엔드에 자동 저장
2. 잠금: apply 실행 시 테라폼은 자동으로 잠금을 활성화, -lock-timout=<TIME> 로 대기 시간 설정 지정 가능
3. 보안: 대부분 원격 백엔드는 기본적으로 데이터를 보내거나 상태 파일을 저장할 때 암호화 기능을 지원

아래 코드를 사용하면 DynamoDB로 잠금 상태를 제어하는 AWS S3 Backend를 만들수 있다.

provider "aws" {
  region = "ap-northeast-2"
}

resource "aws_s3_bucket" "mys3bucket" {
  bucket = "hwan001-t101study-tfstate"
}

resource "aws_s3_bucket_versioning" "mys3bucket_versioning" {
  bucket = aws_s3_bucket.mys3bucket.id
  versioning_configuration {
    status = "Enabled"
  }
}

resource "aws_dynamodb_table" "mydynamodbtable" {
  name         = "terraform-locks"
  billing_mode = "PAY_PER_REQUEST"
  hash_key     = "LockID"

  attribute {
    name = "LockID"
    type = "S"
  }
}

만들어진 백엔드와 DynamoDB 잠금은 아래처럼 사용할 수 있다.

provider "aws" {
  region  = "ap-northeast-2"
}

terraform {
  backend "s3" {
    bucket = "hwan001-t101study-tfstate"
    key    = "dev/terraform.tfstate"
    region = "ap-northeast-2"
    dynamodb_table = "terraform-locks"
    # encrypt        = true
  }
}

Module

 모듈은 대부분의 프로그래밍 언어에서 쓰이는 라이브러리나 패키지와 역할이 비슷하다.

모듈은 기본적으로 아래와 같은 구조를 가지며 이렇게 모듈화를 할 경우 재활용성이 높아진다.

Root-Module과 Child-Module로 나누어지고, root 모듈 내부에서  child 모듈을 불러서 사용할 수 있다.

모듈을 사용하는 방법은 로컬 디렉토리, 테라폼 레지스트리와 github에 있는 모듈 사용 등이 있다.

아래는 깃허브를 사용한 방식으로 ec2 인스턴스를 띄워봤다.

먼저 github에 public 리포지토리를 생성한다. 생성 시 .gitignore에서 Terraform을 선택하면 .terraform 등의 과정에서 생성된 파일들이 github push 시에 올라가지 않는다.

VPC Module

• url : https://github.com/aws-hwan-001/vpc

data "aws_availability_zones" "available" {
  state = "available"
}
# variables.tf
variable "cidr_block" {
  description = "The CIDR block for the VPC"
  type        = string
}

variable "tags" {
  description = "Tags for the VPC"
  type        = map(string)
  default     = {}
}

variable "primary_subnet_cidr" {
  description = "CIDR block for the primary subnet"
  type        = string
}

variable "primary_subnet_tags" {
  description = "Tags for the primary subnet"
  type        = map(string)
  default     = {}
}

variable "secondary_subnet_cidr" {
  description = "CIDR block for the secondary subnet"
  type        = string
}

variable "secondary_subnet_tags" {
  description = "Tags for the secondary subnet"
  type        = map(string)
  default     = {}
}


# main.tf
resource "aws_vpc" "this" {
  cidr_block = var.cidr_block
  tags       = var.tags
}

resource "aws_subnet" "primary" {
  vpc_id            = aws_vpc.this.id
  cidr_block        = var.primary_subnet_cidr
  availability_zone = data.aws_availability_zones.available.names[0]
  tags              = var.primary_subnet_tags
}

resource "aws_subnet" "secondary" {
  vpc_id            = aws_vpc.this.id
  cidr_block        = var.secondary_subnet_cidr
  availability_zone = data.aws_availability_zones.available.names[1]
  tags              = var.secondary_subnet_tags
}

# output.tf
output "vpc_id" {
  description = "The ID of the VPC"
  value       = aws_vpc.this.id
}

output "primary_subnet_id" {
  description = "The ID of the primary subnet"
  value       = aws_subnet.primary.id
}

output "secondary_subnet_id" {
  description = "The ID of the secondary subnet"
  value       = aws_subnet.secondary.id
}

Security Group Module

• url : https://github.com/aws-hwan-001/sg

# variables.tf
variable "description" {
  description = "Description of the security group"
  type        = string
}

variable "vpc_id" {
  description = "VPC ID to associate the security group with"
  type        = string
}

variable "ingress_rules" {
  description = "List of ingress rules"
  type        = list(object({
    from_port   = number
    to_port     = number
    protocol    = string
    cidr_blocks = list(string)
  }))
}

variable "name" {
  description = "Name of the security group"
  type        = string
}

# main.tf
resource "aws_security_group" "this" {
  description = var.description
  vpc_id      = var.vpc_id

  dynamic "ingress" {
    for_each = var.ingress_rules
    content {
      from_port   = ingress.value.from_port
      to_port     = ingress.value.to_port
      protocol    = ingress.value.protocol
      cidr_blocks = ingress.value.cidr_blocks
    }
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name = var.name
  }
}

# output.tf
output "security_group_id" {
  description = "The ID of the security group"
  value       = aws_security_group.this.id
}

EC2 Module

• url : https://github.com/aws-hwan-001/ec2

# variables.tf
variable "instance_type" {
  description = "EC2 instance type"
  type        = string
}

variable "subnet_id" {
  description = "Subnet id to launch the instance in"
  type        = string
}

variable "security_group_ids" {
  description = "List of security group ids to associate with the instance"
  type        = list(string)
}

variable "instance_name" {
  description = "Name to be used on all resources as prefix"
  type        = string
}

variable "associate_public_ip_address" {
  description = "Associate a public ip address with the instance"
  type        = bool
  default     = false
}

# main.tf
data "aws_ami" "ubuntu" {
  most_recent = true

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }

  owners = ["099720109477"]  # Canonical
}

resource "aws_instance" "this" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = var.instance_type
  subnet_id     = var.subnet_id
  vpc_security_group_ids = var.security_group_ids
  associate_public_ip_address = var.associate_public_ip_address

  tags = {
    Name = var.instance_name
  }
}

# output.tf
output "instance_id" {
  description = "The ID of the instance"
  value       = aws_instance.this.id
}

이제 만들어진 모듈을 사용해 리소스를 생성해보자.

ec2 모듈에 count = 3을 넣어주어 3개의 인스턴스를 생성했다.

provider "aws" {
  region  = "ap-northeast-2"
}

terraform {
  backend "s3" {
    bucket = "hwan001-t101study-tfstate"
    key    = "dev/terraform.tfstate"
    region = "ap-northeast-2"
    dynamodb_table = "terraform-locks"
    # encrypt        = true
  }
}


module "vpc" {
  source = "git::https://github.com/aws-hwan-001/vpc.git"

  cidr_block             = "10.10.0.0/16"
  tags                   = { Name = "hwan001-vpc" }
  primary_subnet_cidr    = "10.10.1.0/24"
  primary_subnet_tags    = { Name = "hwan001-subnet-1" }
  secondary_subnet_cidr  = "10.10.2.0/24"
  secondary_subnet_tags  = { Name = "hwan001-subnet-2" }
}


module "security_group" {
  source  = "git::https://github.com/aws-hwan-001/sg.git"
  
  description = "hwan001 Security Group"
  vpc_id      = module.vpc.vpc_id
  name        = "hwan001-sg"
  ingress_rules = [
    {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    },
    {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    },
    {
      from_port   = 443
      to_port     = 443
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    },
    {
      from_port   = 8080
      to_port     = 8080
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }
  ]
}


module "ec2_instance" {
  source  = "git::https://github.com/aws-hwan-001/ec2.git"
  count = 3
  
  instance_type = "t2.micro"
  subnet_id     = module.vpc.primary_subnet_id
  security_group_ids = [module.security_group.security_group_id]
  instance_name = "hwan001-ec2"
  associate_public_ip_address = true
}

상태파일은 위에서 만든 백엔드를 사용하고 있는 걸 볼 수 있다.

조건문

 Terraform에는 다른 언어처럼 조건문을 위한 if 키워드가 없기 때문에 3항 연산자를 사용하여 조건문을 작성해야 한다.

예를들면 아래처럼 환경에 대한 정보를 변수로 입력받아 product 환경일 경우 5번, 아닐 경우 1번만 리소스를 생성하도록 할 수 있다.

resource "aws_instance" "hwan001_instance" {
  count = var.env == "prod" ? 5 : 1
}

만약 dev 환경일 경우에만 리소스를 생성하고 싶다면 아래처럼 작성할 수 있다.

provider "aws" {
  region = "ap-northeast-2" 
}

data "aws_ami" "ubuntu" {
  most_recent = true

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }

  owners = ["099720109477"]  # Canonical
}

resource "aws_instance" "hwan001-ec2-dev" {
  count				= var.env == "dev" ? 1 : 0
  ami				= data.aws_ami.ubuntu.id
  instance_type			= "t2.micro"
  subnet_id			= aws_subnet.primary_az.id
  vpc_security_group_ids	= [aws_security_group.hwan001-sg.id]
  associate_public_ip_address	= true

  tags = {
    Name = "hwan001-ec2"
    env  = var.env
  }
}

resource "aws_instance" "hwan001-ec2-prod" {
  count				= var.env == "prod" ? 3 : 0
  ami				= data.aws_ami.ubuntu.id
  instance_type			= "t2.micro"
  subnet_id			= aws_subnet.primary_az.id
  vpc_security_group_ids	= [aws_security_group.hwan001-sg.id]
  associate_public_ip_address	= true

  tags = {
    Name = "hwan001-ec2"
    env  = var.env
  }
}

내장함수

 내장 함수는 테라폼에 내장되어 있는 함수들로 여러 상황에서 유용하게 사용될 수 있으며, 아래와 같은 여러 이점들이 있다. 

• 간결성 : 코드를 훨씬 간결하고 읽기 쉽게 만들 수 있다. 
• 확장성 : 인프라 구조를 보다 쉽게 확장하거나 수정할 수 있다.
• 유연성 : 다양한 데이터 타입(문자열, 숫자, 목록, 맵 등)을 처리하는데 유연성을 제공합니다.
• 유효성 검사 : 내장 함수를 사용하면 입력값의 유효성을 쉽게 검사할 수 있다.
• 기능성 : file이나 timestamp같은 일부 내장 함수는 특정 기능을 제공합니다.

아래는 많이 사용하는 내장 함수들이다. 

file : 입력받은 파일의 경로를 읽어 반환한다.

resource "aws_iam_policy" "iam_policy" {
  name        = "iam_policy"
  path        = "/"

  policy = file("policy.json")
}

format, formatlist : 문자열의 포맷을 정의 할 수 있다.

output "instance_id" {
  value = format("Instance ID is %s", aws_instance.hwan001-ec2.id)
}

element : 주어진 목록에서 특정 요소를 가져온다.

output "first_subnet" {
  value = element(aws_subnet.hwan001-subnet.*.id, 0)
}

lookup : 주어진 map 에서 특정 값을 찾는다.

output "instance_public_ip" {
  value = lookup(aws_instance.hwan001-ec2.*.attributes, "public_ip")
}

count.index : 현재 인덱스의 번호를 반환하며, 보통 반복적으로 리소스를 사용할 때 count와 같이 사용한다.

resource "aws_instance" "hwan001-ec2" {
  count         = 3
  ami           = "ami-0c55b159cbfafe1f0"
  instance_type = "t2.micro"

  tags = {
    Name = "hwan001-ec2-instance-${count.index}"
  }
}

split, join : 문자열을 특정 구분자로 분리하거나 합칠 때 사용한다.

output "subnet_ids" {
  value = join(", ", aws_subnet.hwan001-subnet.*.id)
}

cidrhost :  네트워킹 설정을 할 때 유용하다. 예를 들면 여러 서브넷이 있는 VPC를 설정할 때, 각 서브넷의 IP 범위를 계산하는데 사용할 수 있다.

output "subnet_ip" {
  value = cidrhost("10.0.0.0/16", 4)
}

위 코드처럼 사용할 경우 10.0.0.0/16 의 4번째 호스트의 IP 주소(10.0.0.4)를 반환한다.

테라폼에서는 사용자가 함수를 직접 정의할 수는 없지만 다양한 함수들을 제공한다. 아래 문서에서 더 많은 정보를 얻을 수 있다.

https://developer.hashicorp.com/terraform/language/functions

프로비저너

 프로바이더에서 제공되지 않는 파일 복사, 커맨드 등의 역할을 수행할 수 있지만 해당 코드로 인한 결과는 tfstate에 동기화되지 않는다.

따라서 실행 시 마다 실행의 결과가 항상 동일하지 않을 수도 있다.

 예를 들어 local-exec 프로비저너를 사용하면 테라폼을 활용해 리소스를 프로비저닝한 후 해당 리소스 내부를 앤서블 플레이북으로 프로비저닝 하는 등의 작업이 가능하다. 

provider "aws" {
  region = "ap-northeast-2"
}

resource "aws_instance" "hwan001-ec2" {
  ami           = "ami-0c94855ba95c574c8"
  instance_type = "t2.micro"

  provisioner "local-exec" {
    command = "ansible-playbook -u ubuntu --private-key=${var.private_key_path} -i '${self.public_ip},' playbook.yml"
  }
}

하지만 해당 방식은 ssh 접속을 위한 정보가 필요하고, 여러 변수로 인해 안정적으로 프로비저닝되지 않을 수도 있다.

테라폼에서는 최근부터 terraform-provider-ansible를 제공한다. 

해당 프로바이더를 사용하면 tfstate 파일을 사용하여 인프라를 추적할 수 있기 때문에 좀 더 안정적으로 앤서블을 사용할 수 있다.

terraform {
  required_providers {
    ansible = {
      source = "ansible/ansible"
      version = "1.1.0"
    }
  }
}

provider "ansible" {}

resource "ansible_playbook" "playbook" {
  playbook   = "playbook.yml"
  name       = "host-1.example.com"
  replayable = true

  extra_vars = {
    var_a = "Some variable"
    var_b = "Another variable"
  }
}

자세한 정보는 아래링크에서 확인할 수 있다.

https://registry.terraform.io/providers/ansible/ansible/latest/docs

https://github.com/ansible/terraform-provider-ansible/tree/main

Null Resource와 Terraform data

Null Resource

 Null Resource는 아무런 액션도 취하지 않는 리소스로 그 자체로는 아무런 효과가 없지만, 특정 조건에 따라 다른 리소스를 트리거하는 등의 복잡한 의존성이 필요한 경우에 유용하게 사용할 수 있다.

예를 들면 특정 조건에 따라 스크립트를 실행하거나, 다른 리소스가 변경될 때마다 새로운 리소스를 생성하는 등의 작업에 사용할 수 있다.

resource "null_resource" "example" {
  triggers = {
    always_run = "${timestamp()}"
  }

  provisioner "local-exec" {
    command = "echo Hello, World!"
  }
}

Null Resource는 주로 아래의 경우에 사용된다.

• 프로비저닝 수행 과정에서 명령어 실행
• 프로비저너와 함께 사용
• 모듈, 반복문, 데이터 소스, 로컬 변수와 함께 사용
• 출력을 위한 데이터 가공

예를 들어, AWS EC2 인스턴스를 프로비저닝하면서 웹서비스를 실행시키고 싶지만, 웹서비스 설정에는 노출되어야 하는 고정된 외부 IP가 포함된 구성이 필요하기 때문에 aws_eip 리소스를 생성해야 한다.

이런 경우 아래처럼 코드를 작성하면 aws_eip 부분에선 aws_instance.example.id가 필요하고, aws_instance 에선 aws_eip.myeip.public_ip가 필요하기 때문에 Cycle이 발생한다.

provider "aws" {
  region = "ap-northeast-2"
}

resource "aws_security_group" "instance" {
  name = "hwan001-sg"

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

resource "aws_instance" "example" {
  ami                    = "ami-0c9c942bd7bf113a2"
  instance_type          = "t2.micro"
  subnet_id              = "subnet-000000" 
  private_ip             = "172.31.1.100"
  vpc_security_group_ids = [aws_security_group.instance.id]

  user_data = <<-EOF
              #!/bin/bash
              echo "Test page" > index.html
              nohup busybox httpd -f -p 80 &
              EOF

  tags = {
    Name = "Single-WebSrv"
  }

  provisioner "remote-exec" {
    inline = [
      "echo ${aws_eip.myeip.public_ip}"
     ]
  }
}

resource "aws_eip" "myeip" {
  instance = aws_instance.example.id
  associate_with_private_ip = "172.31.1.100"
}

output "public_ip" {
  value       = aws_instance.example.public_ip
}

이런 경우 Null Resource를 사용해서 2개의 리소스 생성에 시간 간격을 두어 해결할 수도 있다.

...

resource "aws_instance" "example" {
  ami                    = "ami-0c9c942bd7bf113a2"
  instance_type          = "t2.micro"
  subnet_id              = "subnet-000000" 
  private_ip             = "172.31.1.100"
  vpc_security_group_ids = [aws_security_group.instance.id]

  user_data = <<-EOF
              #!/bin/bash
              echo "Test page" > index.html
              nohup busybox httpd -f -p 80 &
              EOF

  tags = {
    Name = "Single-WebSrv"
  }
}

resource "aws_eip" "myeip" {
  instance = aws_instance.example.id
  associate_with_private_ip = "172.31.1.100"
}

resource "null_resource" "foo" {
  triggers = {
    ec2_id = aws_instance.example.id # instance의 id가 변경되는 경우 재실행
  }

  provisioner "remote-exec" {
    inline = [
      "echo ${aws_eip.myeip.public_ip}"
     ]
  }
}

output "public_ip" {
  value       = aws_instance.example.public_ip
}

Terraform_data

  Terraform 1.4버전 부터는 Null Resource를 대체하기 위해 terraform_data라는 리소스를 지원한다.

Null Resource를 사용하려면 null 공급자를 추가해줘야 한다. 하지만 Terraform Data는 해당 공급자를 추가하지 않아도 동작한다.

resource "terraform_data" "apply" {
  provisioner "local-exec" {
    command     = "echo ${aws_eip.myeip.public_ip}"
  }

  triggers_replace = [
    aws_instance.example.id
  ]
}

좀 더 자세한 정보는 아래 링크 참고

https://developer.hashicorp.com/terraform/language/resources/terraform-data

moved 블록

 테라폼의 tfstate에서 리소스 주소의 이름이 변경되면 기존 리소스는 삭제되고 새로운 리소스가 생성된다. 하지만 기존 리소스의 이름만 변경하고 싶은 경우가 있다.

리소스의 이름은 변경되지만 이미 테라폼으로 프로비저닝된 환경을 그대로 유지하려고 하는 경우엔 moved 블록을 사용할 수 있다. (Terraform 1.1 이상부터 지원)

아래 코드로 ec2 instance를 생성했다.

provider "aws" {
  region = "ap-northeast-2" 
}

data "aws_ami" "ubuntu" {
  most_recent = true

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }

  owners = ["099720109477"]  # Canonical
}

# EC2 Instance 생성
resource "aws_instance" "hwan001-ec2" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t2.micro"
  subnet_id                   = aws_subnet.primary_az.id
  vpc_security_group_ids      = [aws_security_group.hwan001-sg.id]
  associate_public_ip_address = true

  tags = {
    Name = "hwan001-ec2"
  }
}

해당 리소스 태그를 moved로 변경해보자.

resource "aws_instance" "hwan001-ec2-new" {
  ami				= data.aws_ami.ubuntu.id
  instance_type			= "t2.micro"
  subnet_id			= aws_subnet.primary_az.id
  vpc_security_group_ids	= [aws_security_group.hwan001-sg.id]
  associate_public_ip_address	= true

  tags = {
    Name = "hwan001-ec2-new"
  }
}

moved {
  from = aws_instance.hwan001-ec2
  to   = aws_instance.hwan001-ec2-new
}

moved를 사용해서 리소스의 삭제없이 인스턴스의 태그 정보를 변경했다. 

해당 작업 후 moved 부분을 제거해주면 된다.

(cc. moved를 사용해도 associate_public_ip_address이나 instance_type등을 변경하고 apply하면 리소스가 재생성된다.)

CLI를 위한 시스템 환경 변수

 Terraform에서는 환경 변수를 사용하여 다양한 설정을 구성할 수 있다.

• TF_LOG : 로그 레벨 (TRACE, DEBUG, INFO, WARN, ERROR)
• TF_LOG_PATH : 로그 파일의 경로, TF_LOG 환경 변수가 설정되어 있고 TF_LOG_PATH가 설정되어 있으면 로그를 기록한다.
• TF_VAR_name : Terraform 변수의 값 (name은 설정하려는 변수의 이름, ex) TF_VAR_instance_type=t2.micro)
• TF_INPUT : 사용자 입력 요청 여부를 제어, false일 경우 사용자 입력을 요청 안함
• TF_IN_AUTOMATION : 자동화 도구 내에서 실행되고 있는지 여부, 이 환경 변수가 설정되어 있으면 자동화 도구와의 호환성을 향상시킨다.
• AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN : AWS 프로바이더 인증 키
• TF_CLI_ARGS / TF_CLI_ARGS_subcommand : 테라폼 실행 시 추가할 인수를 정의
• TF_DATA_DIR : State 저장 백엔드 설정과 같은 작업 디렉터리별 데이터를 보관하는 위치를 지정

https://developer.hashicorp.com/terraform/cli/config/environment-variables

프로바이더

 테라폼은 terraform 바이너리 파일을 시작으로 로컬 환경에나 배포 서버와 같은 원격 환경에서 원하는 대상(프로바이더가 제공하는 API)을 호출하는 방식으로 실행된다. 각 프로바이더의 API 구현은 서로 다르지만 테라폼의 고유 문법으로 동일한 동작을 수행하도록 구현되어 있다.

다수의 프로바이더를 로컬 이름 지정

 required_providers 블록을 사용하여 다수의 프로바이더를 로컬 이름으로 지정해 사용할 수 있다.

예를 들면 아래는 여러 프로바이더가 제공해주는 동일한 http 관련 data 블록을 사용하는 예제이다.

terraform {
  required_providers {
    http = {
      source = "hashicorp/http"
      version = "3.4.0"
    }
    aws-http = {
      source = "terraform-aws-modules/http"
      version = "2.4.1"
    }
  }
}

data "http" "example1" {
  provider = http
  url = "https://checkpoint-api.hashicorp.com/v1/check/terraform"

  request_headers = {
    Accept = "application/json"
  }
}

data "http" "example2" {
  provider = http
  url = "https://checkpoint-api.hashicorp.com/v1/check/terraform"

  request_headers = {
    Accept = "application/json"
  }
}

해당 코드를 테라폼으로 apply하면 tfstate파일 내에서 해당 요청을 서로 다른 공급자로 얻어오는 걸 볼 수 있다. 

{
  ...
  "resources": [
    {
      "mode": "data",
      "type": "http",
      "name": "example1",
      "provider": "provider[\"registry.terraform.io/hashicorp/http\"]",
      "instances": [ ... ]
    },
    {
      "mode": "data",
      "type": "http",
      "name": "example2",
      "provider": "provider[\"registry.terraform.io/terraform-aws-modules/http\"]",
      "instances": [ ... ]
    }
  ],
  ...
}

단일 프로바이더의 다중 정의

 위의 경우와는 반대로 하나의 프로바이더를 여러번 정의해서 사용해야 하는 경우가 있다.

예를 들면 멀티 리전을 정의하는 경우인데, 아래처럼 alias를 활용해 같은 리소스 내부에서 리전을 지정해 줄 수 있다.

provider "aws" {
  region = "ap-southeast-1"
}

provider "aws" {
  alias = "seoul"
  region = "ap-northeast-2"
}

resource "aws_instance" "app_server1" {
  ami           = "ami-06b79cf2aee0d5c92"
  instance_type = "t2.micro"
}

resource "aws_instance" "app_server2" {
  provider      = aws.seoul
  ami           = "ami-0ea4d4b8dc1e46212"
  instance_type = "t2.micro"
}

하지만 해당 방식은 지역간 지연 시간, 고유 ID, 최종 일관성 등 여러가지 고려사항이 많고, 한 리전이 다운되었을 경우 전체 plan과 apply가 실패하기 때문에 다른 리전의 변경 사항도 적용할 수 없게 된다.

프로덕션 수준에서는 환경을 완전히 격리하여 서로 간의 영향도를 최소화하는 방법이 더 좋을 것 같다.

데이터 소스

 Terraform의 데이터 소스는 테라폼 설정 내에서 읽기 전용의 값들을 제공한다. 이 값을 활용하면 이미 존재하는 리소스의 세부사항이나 외부 데이터를 참조할 수 있다.

데이터 소스 블록은 아래처럼 data로 시작하고 ‘데이터 소스 유형’과 '이름'을 정의한다.

data "<리소스 유형>" "<이름>" {
  <인수> = <값>
}

# 참조 : data.<리소스 유형>.<이름>.<속성>
# 사용가능한 메타인수:
# depends_on : 종속성 선언
# count : 선언된 개수만큼 리소스를 생성
# for_each : map또는 set 타입 변수로 리소스 반복 생성
# lifecycle : 리소스 수명주기

예를 들면 아래 코드는 aws의 az 정보를 얻어와 각 az에 subnet을 생성할 수 있다.

data "aws_availability_zones" "available" {
  state = "available"
}

resource "aws_subnet" "primary_AZ" {
  availability_zone = data.aws_availability_zones.available.names[0]
}

resource "aws_subnet" "secondary_AZ" {
  availability_zone = data.aws_availability_zones.available.names[1]
}

연습 코드 : 

• data 모듈로 az 이름 받아와서 vpc, subnet 생성하기

data "aws_availability_zones" "available" {
  state = "available"
}


resource "aws_vpc" "hwan001-vpc" {
    cidr_block = "10.10.0.0/16"

    tags = {
        Name = "hwan001-vpc"
    }
}

resource "aws_subnet" "primary_az" {
    vpc_id = aws_vpc.hwan001-vpc.id
    cidr_block =  "10.10.1.0/24"
    availability_zone = data.aws_availability_zones.available.names[0]
    tags = {
        Name = "hwan001-subnet-1"
    }
}

resource "aws_subnet" "secondary_az" {
    vpc_id = aws_vpc.hwan001-vpc.id
    cidr_block =  "10.10.2.0/24"
    availability_zone = data.aws_availability_zones.available.names[1]
    tags = {
        Name = "hwan001-subnet-2"
    }
}

변수(Variables) 종류 및 우선순위

변수 종류 : 

 변수 종류는 크게 기본 유형과 집합 유형으로 나뉜다.

기본 유형에는 string, number, bool, any가 있고, 집합 유형에는 list, map, set, object, tuple이 있다.

변수 정의할 땐 아래 메타인수가 사용 가능하다.

• default : 값이 전달되지 않은 경우의 기본 값, default가 없으면 apply 시 변수에 대한 정보를 물어봄
• type : 변수 유형 정의, string number bool list map set object tuple 와 유형을 지정하지 않으면 any 유형으로 간주
• description : 입력 변수의 설명
• validation : 변수 선언의 제약조건을 추가해 유효성 검사 규칙을 정의
• sensitive : 민감한 변수 값으로 테라폼의 출력문에서 값 노출을 제한함 (암호 등 민감 데이터의 경우)
• nullable : 변수에 값이 없어도 됨 (null 허용 여부)

사용 예시는 아래와 같다.

variable "string" {
  type        = string
  description = "var String"
  default     = "myString"
}

variable "number" {
  type    = number
  default = 123
}

variable "boolean" {
  default = true
}

variable "list" {
  default = [
    "google",
    "vmware",
    "amazon",
    "microsoft"
  ]
}

output "list_index_0" {
  value = var.list.0 # google, 1이면 vmware
}

output "list_all" {
  value = [
    for name in var.list : upper(name)
  ]
}

variable "map" { # Sorting
  default = {
    aws   = "amazon",
    azure = "microsoft",
    gcp   = "google"
  }
}

variable "set" { # Sorting
  type = set(string)
  default = [
    "google",
    "vmware",
    "amazon",
    "microsoft"
  ]
}

variable "object" {
  type = object({ name = string, age = number })
  default = {
    name = "abc"
    age  = 12
  }
}

variable "tuple" {
  type    = tuple([string, number, bool])
  default = ["abc", 123, true]
}

variable "ingress_rules" { # optional ( >= terraform 1.3.0)
  type = list(object({
    port        = number,
    description = optional(string),
    protocol    = optional(string, "tcp"),
  }))
  default = [
    { port = 80, description = "web" },
  { port = 53, protocol = "udp" }]
}

variable "my_password" {
  default   = "password"
  sensitive = true
}

우선 순위 : 

 변수가 선언되는 방식에 따라 우선순위가 존재한다.

실행 후 입력 < variable 블록의 default 값 < 환경 변수 (TF_VAR 변수 이름) < terraform.tfvars < *.auto.tfvars < *.auto.tfvars.json < CLI 실행 시 -var 인수에 지정 또는 -var-file로 파일 지정

오른쪽으로 갈수록 우선순위가 높다. 예를들어 변수의 값을 출력해주는 코드가 있을 때, terraform.tfvars 내부 변수에 1이라는 값이 정의되어 있고, 실행후에 3이라는 값을 입력 한다면 결과는 1이 나오게 된다.

# main.tf 
variable "my_var" {
  default = "var2"
}

resource "local_file" "abc" {
  content  = var.my_var
  filename = "${path.module}/abc.txt"
}

#terraform.tf
my_var="var4"

기본 문법 

local : 로컬에서만 사용하는 변수

output : 프로비저닝 수행 결과의 속성 값을 출력

반복문 : count, for each, for expression 등 여러개의 데이터를 한개의 리소스로 반복적으로 생성

# count
resource "local_file" "abc" {
  count    = 5
  content  = "abc"
  filename = "${path.module}/abc.txt"
}


# for each
resource "local_file" "abc" {
  for_each = {
    a = "content a"
    b = "content b"
  }
  content  = each.value
  filename = "${path.module}/${each.key}.txt"
}


# for
variable "names" {
  default = ["a", "b", "c"]
}

resource "local_file" "abc" {
  content  = jsonencode([for s in var.names : upper(s)]) # 결과 : ["A", "B", "C"]
  filename = "${path.module}/abc.txt"
}

# for의 다양한 활용
variable "names" {
  type    = list(string)
  default = ["a", "b"]
}

output "A_upper_value" {
  value = [for v in var.names : upper(v)]
}

output "B_index_and_value" {
  value = [for i, v in var.names : "${i} is ${v}"]
}

output "C_make_object" {
  value = { for v in var.names : v => upper(v) }
}

output "D_with_filter" {
  value = [for v in var.names : upper(v) if v != "a"]
}

Dynamic : 리소스 내부 속성 블록을 동적인 블록으로 생성한다. dynamic을 사용할 경우 특정 리소스 블록 내부에서 하나의 속성 블록에서 여러 개의 속성을 부여할 수 있게 된다.

# 일반적인 속성 부여
resource "provider_resource" "name" {
  name = "some_resource"

  some_setting {
    key = a_value
  }

  some_setting {
    key = b_value
  }

  some_setting {
    key = c_value
  }

  some_setting {
    key = d_value
  }
}

# dynamic을 활용한 부여
resource "provider_resource" "name" {
  name = "some_resource"

  dynamic "some_setting" {
    for_each = {
      a_key = a_value
      b_key = b_value
      c_key = c_value
      d_key = d_value
    }

    content {
      key = some_setting.value
    }
  }
}

연습 코드 :

• 입력받은 수 만큼 count로 sqs에 큐 생성하기

provider "aws" {
  region = "ap-northeast-2" 
}

variable "number_of_queue" {
    type = number
}

resource "aws_sqs_queue" "main_queue" {
    count                     = var.number_of_queue
    name                      = "queue-${count.index+1}"
    delay_seconds             = 0
    max_message_size          = 1024
    message_retention_seconds = 345600
    visibility_timeout_seconds = 60
}

• dynamic을 활용한  security group 생성하기

variable "ingress_rules" {
    type = list(object(
        {
            from_port   = number
            to_port     = number
            protocol    = string
            cidr_blocks = list(string)
        }
    ))

    default = [
        {
            from_port   = 22
            to_port     = 22
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 80
            to_port     = 80
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 443
            to_port     = 443
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 8080
            to_port     = 8080
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        }
    ]
}

resource "aws_security_group" "hwan001-sg" {
    description = "hwan001 Security Group"
    vpc_id      = aws_vpc.hwan001-vpc.id
    
    dynamic "ingress" {
        for_each = var.ingress_rules
        content {
            from_port   = ingress.value.from_port
            to_port     = ingress.value.to_port
            protocol    = ingress.value.protocol
            cidr_blocks = ingress.value.cidr_blocks
        }
    }

    egress {
        from_port       = 0
        to_port         = 0
        protocol        = "-1"
        cidr_blocks     = ["0.0.0.0/0"]
    }

    tags = {
        Name = "hwan001-sg"
    }
}

도전 과제

• 리전 내에서 사용 가능한 가용영역 목록 가져오기를 사용한 VPC 리소스 생성 실습 진행
• 위 3개 코드 파일 내용에 리소스의 이름(myvpc, mysubnet1 등)을 반드시! 꼭! 자신의 닉네임으로 변경해서 배포 실습해보세요!
• 입력변수를 활용해서 리소스(어떤 리소스든지 상관없음)를 배포해보고, 해당 코드를 정리해주세요!
• local를 활용해서 리소스(어떤 리소스든지 상관없음)를 배포해보고, 해당 코드를 정리해주세요!
• count, for_each, for, dynamic문 을 활용해서 리소스(어떤 리소스든지 상관없음)를 배포해보고, 해당 코드를 정리해주세요!

network.tf :

• data를 사용해 az 이름 가져오기
• vpc, subnet 생성하기

data "aws_availability_zones" "available" {
  state = "available"
}


resource "aws_vpc" "hwan001-vpc" {
    cidr_block = "10.10.0.0/16"

    tags = {
        Name = "hwan001-vpc"
    }
}

resource "aws_subnet" "primary_az" {
    vpc_id = aws_vpc.hwan001-vpc.id
    cidr_block =  "10.10.1.0/24"
    availability_zone = data.aws_availability_zones.available.names[0]
    tags = {
        Name = "hwan001-subnet-1"
    }
}

resource "aws_subnet" "secondary_az" {
    vpc_id = aws_vpc.hwan001-vpc.id
    cidr_block =  "10.10.2.0/24"
    availability_zone = data.aws_availability_zones.available.names[1]
    tags = {
        Name = "hwan001-subnet-2"
    }
}

sg.tf : 

• 다이나믹을 사용해서 여러 개의  ingress rule 정의하기
• 보안 그룹 생성

variable "ingress_rules" {
    type = list(object(
        {
            from_port   = number
            to_port     = number
            protocol    = string
            cidr_blocks = list(string)
        }
    ))

    default = [
        {
            from_port   = 22
            to_port     = 22
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 80
            to_port     = 80
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 443
            to_port     = 443
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        },
        {
            from_port   = 8080
            to_port     = 8080
            protocol    = "tcp"
            cidr_blocks = ["0.0.0.0/0"]
        }
    ]
}

resource "aws_security_group" "hwan001-sg" {
    description = "hwan001 Security Group"
    vpc_id      = aws_vpc.hwan001-vpc.id
    
    dynamic "ingress" {
        for_each = var.ingress_rules
        content {
            from_port   = ingress.value.from_port
            to_port     = ingress.value.to_port
            protocol    = ingress.value.protocol
            cidr_blocks = ingress.value.cidr_blocks
        }
    }

    egress {
        from_port       = 0
        to_port         = 0
        protocol        = "-1"
        cidr_blocks     = ["0.0.0.0/0"]
    }

    tags = {
        Name = "hwan001-sg"
    }
}

main.tf : 

• ubuntu 20.04 공식 ami 정보를 data로 가져오기
• 해당 ami를 사용해서 ec2 인스턴스 띄우기 (subnet, sg는 위에서 생성한 리소스로 사용)

provider "aws" {
  region = "ap-northeast-2" 
}

data "aws_ami" "ubuntu" {
  most_recent = true

  filter {
    name   = "name"
    values = ["ubuntu/images/hvm-ssd/ubuntu-focal-20.04-amd64-server-*"]
  }

  filter {
    name   = "virtualization-type"
    values = ["hvm"]
  }

  owners = ["099720109477"]  # Canonical
}

# EC2 Instance 생성
resource "aws_instance" "hwan001-ec2" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t2.micro"
  subnet_id                   = aws_subnet.primary_az.id
  vpc_security_group_ids      = [aws_security_group.hwan001-sg.id]
  associate_public_ip_address = true

  tags = {
    Name = "hwan001-ec2"
  }
}

결과 : 

Terraform

 HashiCorp사의 Terraform은 버전화, 재사용 및 공유할 수 있는 사람이 읽을 수 있는 구성 파일에서 클라우드 및 온프레미스 리소스를 모두 정의할 수 있는 코드형 인프라(IaC) 도구로 Amazon Web Services(AWS), Azure, Google Cloud Platform(GCP), Kubernetes, Helm, GitHub, Splunk, DataDog 등 수천여개의 다양한 Provider를 제공한다.

Provider

 테라폼을 적용할 대상으로 한번에 하나의 프로비저닝만 가능하며 terraform init을 통해 설치된다. (aws 구성을 azure로 변경하는 등의 작업은 불가함, 프로바이더에 대한 자세한 정보는 아래 링크 참조)

https://registry.terraform.io/browse/providers 

원하는 프로바이터를 선택하고 오른쪽 상단의 USE PROVIDER 버튼을 누르면 간단한 사용방법이 나온다. 

Workflow and Terminology used in Terraform

 테라폼은 크게 write -> plan -> apply의 과정을 거쳐 인프라를 프로비저닝한다.

• write : 여러 클라우드 공급자 및 서비스에 걸쳐 있을 수 있는 리소스를 정의한다. 
• plan : 기존 인프라 및 구성(tfstate)을 기반으로 생성, 업데이트 또는 파괴할 인프라를 설명하는 실행 계획을 생성한다.
• apply : 승인 시 Terraform은 모든 리소스 종속성을 고려하여 올바른 순서로 제안된 작업을 수행한다.

 아래는 테라폼에서 사용하는 용어들이다.

• resourece : 실제로 생성할 인프라 자원을 의미
• output : 인프라를 프로비저닝 한 후에 생성된 자원을 output 부분으로 출력할 수 있음
• backend : terraform의 상태를 저장할 공간 지정 (내부 / 외부 모두 가능 , 이 기능으로 다른사람들과 협업 가능)
• module : 공통적으로 활용할 수 있는 인프라 코드를 한곳으로 모아 정의하는 부분 (변수만 바꿔서 동일한 리소스를 쉽게 생성 가능)
• remote state : VPC , IAM 등과 같이 여러 서비스가 공통으로 사용하는 것이 가능 ( ftstate 파일이 저장돼 있는 backend 정보를 명시하면, trerraform이 backend에서 output 정보들을 가져옴 )
• .tfstate 파일 : 테라폼이 인프라스트럭처의 상태를 추적하고 관리하는 핵심 도구로 아래와 같은 역할을 수행한다.

1. 인프라스트럭처 상태 추적: 파일을 통해 프로비저닝된 리소스의 상태를 기록하고, 변경 사항을 추적하며, 이전 상태와의 차이를 분석하여 필요한 변경을 식별합니다. (plan 시 달라지는 부분을 확인할 수 있음)
2. 변경 관리: 변경 사항을 .tfstate 파일에 반영하고 apply 시 이 파일을 사용하여 변경 사항을 적용한다. 이런 방식으로 인프라스트럭처를 안전하게 변경하고 일관성 있게 유지할 수 있다.
3. 협업 및 공유: .tfstate 파일은 팀 간 협업과 공유를 지원한다. 팀원들은 동일한 .tfstate 파일(백엔드 등)에 액세스하여 상태를 공유하고, 변경 사항을 추적하고 충돌을 방지할 수 있다.
4. 롤백 및 복구: .tfstate 파일은 변경 사항을 롤백하고 이전 상태로 복구하는 데 사용될 수 있다.

환경 구축

테라폼 설치하기

 테라폼은 여러 운영체제에서 사용할 수 있지만, Mac을 사용하기 때문에 brew와 tfenv를 사용해서 설치해보려고 한다.

 ftenv를 사용하면 테라폼의 버전을 쉽게 관리할 수 있다.

# tfenv 설치
brew install tfenv

# 테라폼 설치
tfenv list-remote # 설치 가능 버전 확인
tfenv install 1.5.1
tfenv use 1.5.1
tfenv list # tfenv로 설치한 버전 확인

# 테라폼 버전 정보 확인
terraform version

visual studio code 설치하기

 코드를 수정하기 위한 에디터로 vs code를 사용했다. 설치는 아래처럼 brew를 활용해도 좋지만 웹(https://code.visualstudio.com)에서 다운로드 받아 설치할 수도 있다.

vscode를 설치한 후엔 code 명령어를 사용할 수 있도록 Path에 추가해주면 좋다.(https://velog.io/@mingkyme/VSCode-Command-line-%EC%84%A4%EC%B9%98-code-%EB%AA%85%EB%A0%B9%EC%96%B4)

brew install visual-studio-code

awscli 설치하기

 aws를 cli(command line interface)로 다루기 위한 툴로 brew를 사용해서 설치할 수 있다.

brew install awscli

유용한 도구 설치

 아래 툴들을 추가로 설치하면 작업할 때 좀 더 유용하다.

brew install tree, jq, watch

graphviz (dot) 플러그인 설치하기

 vscode의 마켓플레이스에서 해당 플러그인을 추가로 설치해주면, 오른쪽처럼 .dot파일을 그래프로 볼 수 있다. 

.dot 파일은 terraform graph 명령을 사용해 생성할 수 있기 때문에 위 플러그인을 사용하면 테라폼 코드의 구조를 그래프로 확인할 수 있다.

테라폼 사용

ec2 웹서버 배포하기

 테라폼을 사용해서 ec2에 아파치 웹 서비스를 배포해보자. 

provider "aws" {
  region = "ap-northeast-2"
}

resource "aws_instance" "example" {
  ami                    = "ami-0c9c942bd7bf113a2"
  instance_type          = "t2.micro"
  vpc_security_group_ids = [aws_security_group.instance.id]

  user_data = <<-EOF
              #!/bin/bash
              echo "Hello, T1012 Study 8080" > index.html
              nohup busybox httpd -f -p 8080 &
              EOF

  user_data_replace_on_change = true # true일 경우 인스턴스를 재생성한다.

  tags = {
    Name = "Single-WebSrv"
  }
}

resource "aws_security_group" "instance" {
  name = var.security_group_name

  ingress {
    from_port   = 8080
    to_port     = 8080
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

variable "security_group_name" {
  description = "The name of the security group"
  type        = string
  default     = "terraform-example-instance"
}

output "public_ip" {
  value       = aws_instance.example.public_ip
  description = "The public IP of the Instance"
}

 위 코드를 apply하면, aws 서울 리전(ap-northeast-2)에 우분투(ami-0c9c942bd7bf113a2) 이미지를 사용한 t2.micro 유형의 ec2 인스턴스를 Single-WebSrv라는 이름으로 보안 그룹을 적용해서 생성한다.

 user_data에 아래 코드를 넣어 줬기 때문에 인스턴스가 실행되면서 아파치 웹 서버(8080번 포트)로 index.html을 띄운다.

#!/bin/bash
echo "Hello, T1012 Study 8080" > index.html
nohup busybox httpd -f -p 8080 &

 vpc와 subnet은 default를 사용하므로, 해당 리소스가 클라우드 계정 내에 없다면 생성이 실패할 수 도 있다.

이럴 경우 아래 명령을 실행해주자.

# default VPC를 생성
aws ec2 create-default-vpc

# default Subnet 생성
aws ec2 create-default-subnet --availability-zone ap-northeast-2a
aws ec2 create-default-subnet --availability-zone ap-northeast-2b
aws ec2 create-default-subnet --availability-zone ap-northeast-2c
aws ec2 create-default-subnet --availability-zone ap-northeast-2d

위의 모든 과정은 ~/.aws/credential에 크레덴셜 정보가 있어야 가능하다.

만약 없다면 aws configre 명령어로 설정해주면 된다.

lifecycle

 테라폼은 기본적으로 immutable한 인프라스트럭쳐 관리를 지향하기 때문에 기본 수명주기는 삭제 후 생성이지만, 작업 시 리소스를 제거하면 안되는 경우가 종종 있다.

lifecyle은 이런 경우에 리소스의 기본 수명주기를 작업자가 의도적으로 변경할 수 있도록하는 메타인수다.

메타인수를 사용하면 아래 기능들이 가능하다.

• create_before_destroy (bool): 리소스 수정 시 신규 리소스를 우선 생성하고 기존 리소스를 삭제
• prevent_destroy (bool): 해당 리소스를 삭제 Destroy 하려 할 때 명시적으로 거부
• ignore_changes (list): 리소스 요소에 선언된 인수의 변경 사항을 테라폼 실행 시 무시
• precondition: 리소스 요소에 선언해 인수의 조건을 검증
• postcondition: Plan과 Apply 이후의 결과를 속성 값으로 검증

하지만 위의 메타인수들을 잘못 사용하면 적용은 잘 되지만 실제로는 리소스가 사라지는 경우가 있다.

 ex) 동일한 리소스를 수정할 때 create_before_destroy 옵션을 키고 적용하면 생성 후 삭제하게 되는데, 이 때 기존 리소스가 삭제됨

제대로 이해하고 사용하면 유용하지만, 잘못 사용할 경우 리스크가 있는 기능인 것 같다.

경로를 입력받아 폴더인지 파일인지 확인하기

 C++ 17로 윈도우에서 프로그램을 만들면서 폴더와 파일을 구분해야하는 경우가 생겨 아래 코드를 찾게되었다.

찾은 코드는 테스트 시 작동에는 문제가 없었지만 문자열을 LPCWSTR (WCHAR *)로 받아야 한다는 사소한 단점이 있었다. 혹시 String 클래스를 사용해 입력받은 경로가 폴더인지 파일인지 구분할 수 있는 방법이 있는지도 찾아봤지만, 검색을 해봐도 찾지 못했다.. 

int isFolder(LPCWSTR path) {
    /*
       args:
           LPCWSTR fileName : 파일의 full path
       return:
            int code : 폴더는 1, 파일은 0, 에러는 -1
        summary:
            폴더인지 파일인지 구분
   */
    WIN32_FIND_DATA wInfo;
    HANDLE hInfo = ::FindFirstFile(path, &wInfo);
    ::FindClose(hInfo);

    if (hInfo != INVALID_HANDLE_VALUE)
    {
        if (wInfo.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
        {
            return 1;
        }
        return 0;
    }
    return -1;
}

출처 : https://jangjy.tistory.com/388

int main() {
    cout << isFolder(L"C:\\Users\\user\\Downloads") << "\n";

    return 0;
}

String to LPCWSTR

 위 내용에서 함수를 찾긴했지만 입력받는 방식이 달라 사용이 어려웠다.

작성중인 프로그램에서는 문자열을 String 클래스를 사용하여 처리하기 때문에 변환이 필요했는데, 구글링을 통해 아래 코드를 알게 되었다.

std::wstring s2ws(const std::string& s)
{
    int len;
    int slength = (int)s.length() + 1;
    len = MultiByteToWideChar(CP_ACP, 0, s.c_str(), slength, 0, 0);
    wchar_t* buf = new wchar_t[len];
    MultiByteToWideChar(CP_ACP, 0, s.c_str(), slength, buf, len);
    std::wstring r(buf);
    delete[] buf;
    return r;
}

출처 : https://wiserloner.tistory.com/316 

위의 코드를 아래처럼 사용하면 변환된 결과를 얻을 수 있다.

int main() {
    std::wstring stemp = s2ws("C:\\Users\\user\\Downloads");
    LPCWSTR result = stemp.c_str();
    
    wprintf(result);
    
    return 0;
}

String으로 폴더 여부 확인하기

 이제 isFolder() 함수가 String을 사용해 경로를 확인할 수 있도록 수정해보자.

#include <windows.h>
#include <iostream>
#include <string>
#include <fstream>
#include <filesystem>
#include <vector>
#include <map>

using namespace std;


wstring s2ws(const string& s) {
    int slength = (int)s.length() + 1;
    int len = MultiByteToWideChar(CP_ACP, 0, s.c_str(), slength, 0, 0);
    wchar_t* buf = new wchar_t[len];

    MultiByteToWideChar(CP_ACP, 0, s.c_str(), slength, buf, len);
    wstring r(buf);
    delete[] buf;

    return r;
}

int isFolder(string path) {
    /*
       args:
           LPCWSTR fileName : 파일의 full path
       return:
            int code : 폴더는 1, 파일은 0, 에러는 -1
        summary:
            폴더인지 파일인지 구분
   */
    WIN32_FIND_DATA wInfo;
    HANDLE hInfo = ::FindFirstFile(s2ws(path).c_str(), &wInfo);
    ::FindClose(hInfo);

    if (hInfo != INVALID_HANDLE_VALUE){
        if (wInfo.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY){
            return 1;
        }
        return 0;
    }
    return -1;
}

int main() {
    cout << isFolder("C:\\Users\\user\\Downloads") << "\n";

    return 0;
}

프로그램을 만들면서 Python 서버와 REST로 연결하기 위해 라이브러리를 찾아봤다.

구글 검색을 통해 C++로 작성된 HTTP 클라이언트/서버 애플리케이션을 개발할 때 도움를 주는 C++ REST SDK (또는 Casablanca) 라이브러리를 찾았다.

 해당 라이브러리는 microsoft의 공식 라이브러리로 깃 허브에 올라와 있었기 때문에, 빌드를 위해 아래 Dockerfile을 작성했다.

casablanka.Dockerfile

FROM ubuntu:latest AS env

RUN apt-get update
RUN apt-get upgrade -y
RUN apt-get install -y sudo
RUN apt-get install -y g++ git libboost-atomic-dev libboost-thread-dev libboost-system-dev libboost-date-time-dev libboost-regex-dev libboost-filesystem-dev libboost-random-dev libboost-chrono-dev libboost-serialization-dev libwebsocketpp-dev openssl libssl-dev ninja-build

RUN git clone https://github.com/microsoft/cpprestsdk.git
RUN apt-get install -y cmake zlib1g-dev

WORKDIR cpprestsdk
RUN mkdir build && cd build
RUN cmake . -DCMAKE_BUILD_TYPE=Release -DBUILD_SHARED_LIBS=1 -DCMAKE_CXX_FLAGS="-Wno-error" -DCMAKE_CXX_FLAGS="-Wno-format-truncation"

RUN make -j$(nproc)
RUN sudo make install

위 코드를 사용해 docker로 빌드하면 .so 파일들이 나온다.

하지만 지금은 윈도우 용 프로그램을 만들고 있기 때문에 visual studio에서 사용할 수 있도록 설정을 다시해봐야 할 것 같다.

python으로 QR-CODE 생성하려면 아래 qrcode[pil] 패키지를 import 한다.

pip install qrcode[pil]

아래 코드를 사용하면 png 형식으로 qrcode를 만들 수 있다.

import qrcode
    
img_url = qrcode.make("https://hwan001.co.kr/")
img_url.save("qrcode.png")

** 아래 내용에 아직 정리 안된 서비스들도 많지만 공부하면서 하나씩 추가로 정리할 예정입니다.

AWS (Amazon Web Services)

 AWS를 공부하면서 어떤 제품들이 있는지 정리를 해보고 싶어졌다.

하지만 아래 이미지에 있는 기초 서비스들 외에도 많은 서비스들이 있고, 새로운 서비스가 계속 출시되기 때문에 모든 서비스를 정리하진 못했다. 추후에 하나씩 공부하면서 정리할 예정이다.

아래 이미지는 AWS 홈페이지의 서비스 카테고리를 기준으로 만들었는데, 정리하면서 같이 업데이트해보려고 한다.

• EC2 : 가상 머신 역할로 Amazon의 가장 중심 서비스이다.
• S3 : 정적 파일 (사진, 비디오, 문서 등 또는 frontend 코드와 Lambda 함수 코드도 해당) 스토리지 서비스의 솔루션
• IAM (Identity and Access Management) : AWS 서비스 관련 액세스와 권한 설정하는 “Key(키/열쇠)” 관리 서비스
• Route 53 : DNS 설정 관련 서비스
• Elastic Beanstalk :  Heroku와 비슷한 PaaS(Platform as a Service) 서비스
• CloudFront (CDN) : 지역적으로 분산된 서버들을 통해 웹 서버와 사용자 사이에 가장 가까운 서버를 활용하여 페이지 콘텐츠 로드 지연을 최소화하는 서비스
• RDS (Relational Database Service) : MySQL, Oracle DB, PostgreSQL과 같은 관계형 데이터베이스 엔진을 제공하는 서비스
• Lambda (serverless compute service) : 백엔드 없이 이벤트가 있을 때마다 function 실행될 수 있는 기능, 호출 시 에만 요금이 부과되어 저렴함
• Lightsail : one-click 서버 세팅 서비스로 저렴한 가격과 확장성, 편의성을 갖춤
• EMR (Elastic MapReduce) :비즈니스, 연구원, 데이터 분석가 및 개발자가 막대한 양의 데이터를 간편하게, 비용 효율적으로 처리할 수 있는 웹 서비스
• KMS (Key Management Service) : 
• Region : AWS의 모든 서비스가 존재하는 물리적인 위치로 실제 위치와 가까울수록 속도가 빠르다
• AZ (Available Zone) : 리전 내에 존재하는 가용 영역으로 실제 데이터가 존재하는 데이터 센터이며, HA를 제공함
• Direct Connect : 외부의 데이터 센터나 시스템과 AWS를 연결하기위한 서비스
• VPC (Virtual Private Cloud) :  사용자가 정의한 가상 네트워크로 데이터 센터에서 운영하는 네트워크와 유사함
• VPC Peering : 두 VPC 간의 트래픽 라우팅을 위한 네트워크, 다른 사용자의 VPC와 연결할 수 있다.
• ELB (Elastic Load Balancer) : 네트워크 트래픽을 제어하며 아래 와같이 나눠짐

• Classic Load Balancer : 

• Cognito : 수백만명의 사용자 인증 관리와 OAuth를 지원하는 서비스 
• Amplify : 프론트/백 엔드, 호스팅, 배포까지 풀스택으로 애플리케이션을 개발하도록 돕는 서비스의 집합
• Appsync : 단일 엔드포인트를 통해 애플리케이션 개발을 간소화하는 서버리스 GraphQL 및 게시/구독 API를 생성하여 데이터를 안전하게 쿼리, 업데이트 또는 게시
• Direct Connect : 표준 이더넷 광섬유 케이블을 통해 내부 네트워크를 AWS Direct Connect 위치에 연결하여 대량의 정보를 사용자의 온프레미스 서버와 안전하고 빠르게 송수신
  https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/Welcome.html

컴퓨팅 서비스

EC2 (Elastic Compute Cloud) 

• 가상의 컴퓨터 자원(인스턴스) 을 제공하는 IaaS(Infrastructure as a Service) 서비스
• 사용한 만큼 비용을 지불하는 형태
• 클라우드에서 자원의 규모를 원하는 대로 변경 가능
• 안정성을 위해 여러 리전과 가용영역에 배포됨

ECS (Elastic Container Service)

• 클러스터에서 컨테이너를 손쉽게 실행, 중지 및 관리할 수 있는 확장성이 뛰어나고 빠른 컨테이너 관리 서비스

Lambda (Serverless)

• 애플리케이션, 백엔드에 대한 코드를 별도의 설정이나 구축없이 실행하는 서비스
• Serverless 아키텍처에 적합
• 사용한 만큼 비용이 지불되어 비교적 저렴하게 서비스 운영이 가능
• 유지 보수, 용량 프로비저닝, 오토 스케일링, 모니터링 및 로깅 같은 자원 관리를 자체적으로 수행

AWS Auto Scailing 

• 부하 예측, 예약된 조정 작업, 최대 용량 동작
• 사용자의 애플리케이션이 고부하 상태일 때 자동으로 추가 인스턴스를 생성하여 부하를 분산할 수 있음
• 애플리케이션의 부하가 감소하면 자동으로 인스턴스를 제거하여 비용을 절감

네트워킹 서비스  (Networking Service)

VPC (Virtual Private Cloud)

• 클라우드 내에서의 가상 네트워크 구축 서비스
• IP주소 범위 선택, 라우팅 테이블/ 게이트웨이 구성, 서브넷 등 가상 네트워킹 환경 제어 (IPv4, IPv6 사용가능)

Route 53 (DNS)

• AWS에서 제공하는 Domain Name System 서비스
• 도메인 이름을 구매하거나 관리할 수 있고, 도메인에 대한 DNS 설정을 자동으로 구성 가능
• 클라우드 내부의 사용자를 외부의 인프라로 전달 가능

CloudFront (CDN)

• 데이터, 동영상, 애플리케이션 및 API를 전 세계 고객에게 안전하게 전송 CDN 서비스
• S3, EC2, Elastic Load Balancing, Route 53 등과 같은 AWS 서비스와 함께 운영

스토리지 서비스  (Storage Service)

S3 (Simple Storage Service)

• 정적 파일 스토리지 서비스 (사진, 비디오, 문서, 코드 등)
• 사용자는 URL을 통해 파일 접근이 가능
• 엑세스 컨트롤 기능 제공
• HTTP 프로토콜과 연동 가능 (파일서버)
• CloudFront와 연동하여 S3에 저장된 파일을 빠르게 전달 가능

데이터 베이스 서비스  (Database Service)

RDS (Relational Database Service)

• 관계형 데이터베이스 이용할 수 있는 서비스
• DB 설정, 패치, 백업 등의 작업을 AWS에서 처리
• Amazon Aurora, MySQL, MariaDB, PostgreSQL, Oracle, SQL Server 등 RDBMS 서비스 지원

DynamoDB

• key-value형태의 NoSQL 데이터베이스 서비스
• 데이터 규모와 관계없이 데이터를 저장 및 검색하고 처리할 수 있는 데이터베이스 테이블을 생성할 수 있음

ElasticCache

• Database Caching 서비스
• Memcached, Redis 호환 가능

관리 도구  (Management Tools)

CloudWatch

• AWS 서비스들과 관련된 모니터링 및 알람 설정 서비스
• 특정 금액 초과, EC2의 CPU 사용률 등의 상황을 설정하여 메일 등으로 알려줄 수 있음

CloudFormation

• AWS 서비스 생성 및 배포 자동화 템플릿 서비스
• 미리 만들어놓은 Json 또는 직접 작성된 템플릿을 이용하여 서비스 생성 및 관리할 수 있음

보안, 자격증명 및 규정 준수

Cognito

• OAuth 2.0, SAML 2.0 및 OpenID Connect와 같은 자격 증명 및 액세스 관리 표준을 지원
• 수백만 명의 사용자로 확장되는 안전한 사용자 디렉터리
• 사용자 풀은 인프라를 사전 구축할 필요 없이 자격 증명 환경에 용량을 제공
• 암호화 및 멀티 팩터 인증(MFA) 기능
• 기본 제공 UI 및 여러 자격 증명 공급자와 연동하여 앱에 사용자 로그인, 가입 및 액세스 제어를 추가 가능

용어

아래는 AWS 공식 용어집이다.

해당 내용도 공부하면서 하나씩 추가할 예정이다.

https://docs.aws.amazon.com/ko_kr/general/latest/gr/glos-chap.html

• 인스턴스 : Amazon EC2 서비스의인스턴스 컴퓨팅 자원으로 EC2 인스턴스와 컨테이너 인스턴스 등 앞에 다른 내용을 붙여 다른 유형의 인스턴스와 구별함
• 온디맨드 : 과금 방식에 대한 용어로 사용한 시간만큼 비용을 지불하는 방식을 의미함

 request와 json 패키지를 사용해서 JSON 데이터를 파싱할 때, 각 키의 데이터를 수정하려면 아래처럼 dictionary 형태로 변환시켜 value를 수정한다.

data = {"key1":"value1"}
data["key1"] = "value2"

 
 전체 데이터를 스캔하여 특정 값을 가진 키를 찾으려고 한다.
아래 코드로 (for, if로) 전체를 확인하면서 원하는 값을 가진 키를 찾았다.

data = {
 "key1":"value1",
 "key2":"value2",
 "key3":"value3",
 "key4":"value4",
 "key5":"value5",
}

for key in data:
  if "value3" == data[key]:
    print(key)
    break

 
 간단한 데이터라면 위 방식으로도 충분히 찾을 수 있다. 하지만 데이터의 수가 매우 많거나 복잡할때도 같은 방식으로 값을 찾고 수정할 수 있을까?
 
아래처럼 사람의 정보를 가진 JSON 데이터에서 "-", "N/A", "" 의 값을 가진 키를 찾아서 제거하려고 하는데 각 자료형도 다르고 형태도 일정하지 않다. 사람 수도 매우 많다고 가정하겠다.

{
 "person_1":{
  "name": {"first":"David", "middle":"", "last":"Smith"},
  "age":12,
  "address":"-",
  "education":{"highschool":"N/A","college":"-"},
  "hobbies":["running", "swimming", "-"],
 },
 "person_2":{
  "name": {"first":"Mason", "middle":"henry", "last":"Thomas"},
  "age":21,
  "address":"-",
  "education":{"highschool":"N/A", "college":"", "Universitry":"Stanford"},
  "hobbies":["coding", "-", ""],
 },
 ...
}

 
 
먼저 위 형태로 랜덤한 데이터가 원하는 만큼 생성되도록 함수를 만들었다.
아래 이미지를 보면 패턴이 있긴하지만 데이터가 잘 생성된거 같다.

def create_random_data(num:int) -> dict:
    import random
    
    data={}
    random_string = lambda x: "".join([chr(random.randint(97, 122)) for tmp in range(x)])

    for i in range(num):
        key = f"person_{i+1}"
        data[key] = {
            "name":{"first":random_string(random.randint(0, 8)), "middle":random_string(random.randint(0, 8)), "last":random_string(random.randint(0, 8))}, 
            "age":random.randint(10, 50),
            "address":"-",
            "education":{"highschool":random_string(random.randint(0, 8)), "college":"", "Universitry":random_string(random.randint(0, 8))},
            "hobbies":["coding", "-", "", random_string(random.randint(0, 8))],
        }

    return data
    
print(create_random_data(5))

 
이제 파싱을 위한 함수를 만들어야하는데 위 데이터의 형태를 봤을 때 가장 문제가 될 것 같은 부분은 데이터의 깊이라고 생각했다.
데이터의 깊이에 상관없이 탐색할 수 있도록 재귀를 사용해 파싱 함수를 작성해보자.
 

def clean(data):
    remove_keyword = ["N/A", "-", ""]

    for key in list(data):
        value = data[key]

        if type(value) == dict: 
            clean(value)
            if value == {}:
                data.pop(key)

        if type(value) == list:
            for x in [keyword for keyword in remove_keyword if keyword in value]:
                for _ in range(value.count(x)):
                    value.remove(x)

        if type(value) == str:
          if value in remove_keyword:
            data.pop(key)

datas = create_random_data(5)
print(datas)
clean(datas.copy())
print(datas)

 
나름 잘 정리 됐다. 그런데 JSON 데이터 100만개를 처리하면 시간이 얼마나 걸릴지 궁금해져서 코드를 좀 더 수정해봤다.
https://hwan001.co.kr/178 글에 함수의 실행 시간을 측정하는 데코레이터가 있다.
재귀를 사용한 clean함수는 따로 작성해야겠지만 해당 코드를 사용해서 100만 건의 생성 시간과 정리 시간을 측정해보자.

def my_decorator(func):
    def wrapped_func(*args):
        import time
        start_r = time.perf_counter()
        start_p = time.process_time()

        ret = func(*args)

        end_r = time.perf_counter()
        end_p = time.process_time()
        
        elapsed_r = end_r - start_r
        elapsed_p = end_p - start_p
        print(f'{func.__name__} : {elapsed_r:.6f}sec (Perf_Counter) / {elapsed_p:.6f}sec (Process Time)')
        
        return ret
    return wrapped_func

@my_decorator
def create_random_data(num:int) -> dict:
    import random

    data={}
    random_string = lambda x: "".join([chr(random.randint(97, 122)) for tmp in range(x)])

    for i in range(num):
        key = f"person_{i+1}"
        data[key] = {
            "name":{"first":random_string(random.randint(0, 8)), "middle":random_string(random.randint(0, 8)), "last":random_string(random.randint(0, 8))}, 
            "age":random.randint(10, 50),
            "address":"-",
            "education":{"highschool":random_string(random.randint(0, 8)), "college":"", "Universitry":random_string(random.randint(0, 8))},
            "hobbies":["coding", "-", "", random_string(random.randint(0, 8))],
        }

    return data

def clean(data):
    remove_keyword = ["N/A", "", "-"]

    for key in list(data):
        value = data[key]

        if type(value) == dict: 
            clean(value)
            if value == {}:
                data.pop(key)

        if type(value) == list:
            for x in [keyword for keyword in remove_keyword if keyword in value]:
                for _ in range(value.count(x)):
                    value.remove(x)

        if type(value) == str:
          if value in remove_keyword:
            data.pop(key)


datas = create_random_data(1000000)
print(len(datas), datas, "\n")

import time
start_r = time.perf_counter()
start_p = time.process_time()

clean(datas.copy())

end_r = time.perf_counter()
end_p = time.process_time()
        
elapsed_r = end_r - start_r
elapsed_p = end_p - start_p
print(f'{"clean"} : {elapsed_r:.6f}sec (Perf_Counter) / {elapsed_p:.6f}sec (Process Time)')
print(len(datas), datas)

 
데이터가 길어서 다 나오지 않았기 때문에 키워드 개수와 데이터 일부를 찍어봤다.(키워드는 줄지 않음)

생성에 129. 3초, 정리에 13초가 걸렸다. 100만 개 정도부터는 확실히 탐색 속도가 느린게 느껴진다.
추가로 예시의 데이터에서는 깊이가 얕아서 재귀로도 문제없이 동작했지만 만약 깊이가 매우 깊다면 탐색 중에 메모리 에러가 발생된다.
재귀가 아닌 큐나 스택을 활용한 방식으로 변경해야 하고 실제로 사용하려면 좀 더 효율적인 알고리즘이 필요할 거 같다.
 

로드맵을 기준으로 DevOps 분야에 대한 공부 방향성과 현재 지식 수준을 점검해보려고 한다.

기준은 구글에 검색해서 나온 이미지 중 정리가 잘 되었다고 생각한 이미지이다.

https://dev.to/ankit01oss/the-complete-devops-roadmap-28n1

기본적인 내용이나 활용 등 어느정도 알고 있다고 생각한 항목은 내용을 작성했고, 애매하게 알고있다고 생각한 내용은 주황색, 잘 모른다고 생각한 항목은 빨간색으로 강조했다.

Learn a Programming Language

• c
  : 포인터, 구조체, 함수 등 기본적인 개념 이해
  : Windows API 활용 및 DLL 작성 가능
• c++
  : 클래스, 템플릿, STD 등 기본 문법 활용이 가능
• Python
  : 기본 문법 및 자료 구조 활용 능숙
  : 리스트 컴프리헨션, 람다 함수, 데코레이터, 비동기 활용 가능
  : 다양한 패키지 활용 경험
• Ruby : 모름
• Go
  : 기본 문법 및 고루틴 이해
  : 예제 수준 작성 가능 
• Rust : 모름
• JavaScript/Node.js
  : 기본적인 JavaSctript  및 Ajax 작성 가능
  : 간단한 Node.js 백엔드 구축 및 기동 가능

Understand difference OS concepts

• Networking
  : 라우터, 스위치, 허브 개념
  : OSI 7 Layer 이해
  : 랜, 구리, 광케이블 융착 가능
  : 채널먹스, MSPP 운용 경험
  : TCP/ UDP 개념 이해
• Sockets
  : c, Python 소켓 프로그래밍 가능
  : Raw 소켓 테스트 수준으로 가능
• I/O Management : 
• Virtualization : 하이퍼바이저, VM?
• Memory/ Storage : 
• File Systems :
• POSIX Basics : 
• Process management : 
• Startup management (initd) : 
• Service management (systemd) : 
• Threads and Concurrency : 

Operating System

• Linux (Debian, SUSE Linux, Fedora, Ubuntu, CentOS, Rocky, RHEL)
  : rpm build.spec 수정/작성 가능, yum repository 구축 가능, rpm/ deb 버전 별 설치 가능
  : 서비스, 네트워크 인터페이스, NTP, locale, iptables 등 명령어 능숙
  : 유저별 그룹관리, 계정 생성 및 ssh 연동, 자원 관리 
  : Clonezilla 활용 가능
  : 쉘 스트립팅 가능
• Unix (FreeBSD, OpenBSD, NetBSD) : OpenBSD만 설치 해봄
• Windows
  : PowerShell 스크립트 가능 (COM 포트 시리얼 통신 등)
  : Windows API 활용 가능
  : DLL injection, Global hooking 코드 작성 경험 있음
  : 커널 디버깅 환경 구축 가능 (windbg, 가상 머신)
  : 필터/HID 드라이버 기초 개념 이해 및 예제 수준 작성 가능
• Windows Server : 설치 및 IIS 서버 구축, 사설 ssl 인증서 발급 가능

Learn to live in Terminal

• Bash Scripting
• Vim/ Nano/ PowerShell/ Emacs
• Compiling apps from source : gcc 
• System Performance : nmon, iostat, sar, vmstat
• Others : strace, dtrace, systemtap, uname, df, history
• Nerwork : nmap, tcpdump, ping, mtr, traceroute, airmon, airodump, dig, iptables, netstat
• Process Monitoring : ps, top, htop, atop, isof
• Text Manipulation Tools : awk, sed, grep, sort, uniq, cat, cut, echo, fmt, tr, ni, egrep, fgrep, wc

Networking, Security and Protocols

• Emails : SMTP, IMAPS, POP3S, DMARC, SPF
  : 툴을 활용한 메일서버 구축, 구글 smtp와 연동 등 작업은 가능, 프로토콜 구조 등을 알지는 못함
  
• Protocols : HTTP, HTTPS, FTP, SSL/TLS, SSH
  : 각자 개념 등에 대해 어느정도 설명이나 이해는 가능하지만 프로토콜 구조를 완벽하게 알지 못함
• Port Forwarding : 공유기, 툴 등을 활용하여 포트포워딩 가능
• Domain Keys : 
  
  

What is and How to setup ___

• reverse Proxy : 대략적으로 이해
• caching server : 
• Load Balancer : 개념 이해 및 간단한 활용 가능
• Forward Proxy :
• firewall : 개념 및 iptables 등 기본 방화벽 활용 가능, inbound/ outbound 정책 추가 가능
• webserver : IIS, Nginx, Apache, Tomcat, caddy
  : 정적 웹서버 구축 및 config 설정 가능

Learn Infrastructure as Code

• Containers : Docker, LXC
  : Docker 사용 가능, Dockerfile 작성 가능, 네트워크 및 특권 설정 가능, docker compose 일부 활용 가능
• Configuration Management : Ansible, Chef, SaltStack, Puppet
  : 어떤 용도이고 각 도구 별 차이점은 대략적으로 알고있지만 실제 사용 경험이 적거나 없음
• Container Orchestration : Kubernetes, Docker swarm, mesos, nomad
  : 쿠버네티스 클러스터, minikube 구축 가능, pod/deployment/service/CNI 등 기본 용어와 개념은 알지만 활용 미숙함
• Infrastructure Procisioning : Terraform, CloudFormation, Pulum
  : Terraform의 Write-> Plan-> Apply 구조와 작성된 tf 파일 활용은 가능하지만 이해도가 낮음

Learn some CI/CD Tools

• Gitlab CI : 구축 및 기본 기능 활용 가능
• Jenkins : 구축, 플러그인, 노드추가, 프로메테우스 연동, 파이프라인 이해 
• Github Actions
• Travis CI
• TeamCity
• Circle CI
• Bamboo
• Azure DevOps

Learn how to monitor software and Infrastructure

• Infrastructure Monitoring :  Prometheus, Nagios, Grafana, Zabbix, Monit, Datadog
• Application Monitoring : Jaeger, New Relic, Instana, AppDynamics, OpenTracing
• Logs Management : Elastic Search, Graylog, Splunk, Papertrail

Cloud Providers

• AWS 
• GCP
• Azure
• Heroku
• Digital Ocean
• Linode
• Vultr
• NCP

Cloud Design Patterns

• Availability
• Data Management
• Design and Implementation
• Management and Monitoring

제텔카스텐 (Zettelaksten)

 제텔카스텐은 독일어로 메모를 뜻하는 제텔과 상자라는 뜻의 카스텐을 합쳐서 만든 단어로, 독일 빌레펠트 대학 사회학 교수인 니클라스 루만이 개발한 지식 관리 시스템이다. 니클라스 루만 교수는 잘 정리된 제텔카스텐 체계를 활용해 약 30년 간 9만 개의 메모를 작성했고, 350편의 논문과 58권의 책을 집필했다고 한다.
 

 블로그나 노션에 내용을 정리하다보면 카테고리를 분류하기 어려운 경우가 종종 있다.
예를들면 Python과 MongoDB 연동하기, Ubuntu에 Docker 설치하기 등 2가지 이상의 주제가 한 개의 글에 겹칠 때인데 블로그나 노션, 책과 같은 일반적인 글들은 목차와 범주가 있어 트리 구조로 글이 분류되어 있기 때문이다. 하지만 제텔카스텐은 원자화된 메모(노드)간의 연결을 통해서 그래프 형태로 관리되기 때문에 Python과 MongoDB, Ubuntu와  Docker처럼 각 주제를 메모하고 각 주제를 통합하는 메모를 작성하고 연결을 지정하여, 직접 분류하지 않아도 서로 연관되는 메모들끼리 모이도록 관리한다.
일종의 군집화나 수동으로 학습시키는 인공지능이라고 생각할 수 있을 것 같다.
내용이 충분하게 축적되어 있고 구조가 복잡할수록 제 2의 뇌라고 불릴만큼 효과적인 체계가 된다.
 
제텔카스텐을 제대로 구축하려면 지켜야할 기본적인 원리들이 있다.

• 원자성 : 각 노트에는 하나의 아이디어만 기록한다.
• 자율성 : 각 노트는 관련있는 다른 노트로 이동, 처리, 분류하고 연결할 수 있어야 한다.
• 항상 다른 노트와 연결하기 : 새로운 노트는 기존 노트와 반드시 연결해줘야 한다.
• 연결 이유 설명하기 : 다른 노트와 연결되는 이유를 항상 설명해야한다.
• 자신의 언어를 사용하기 : 작성할 내용을 내가 이해하고 나만의 언어로 다시 적어야 한다.
• 참고 자료 보관하기 : 자료의 정보와 출처를 기록한다.
• 나의 생각 기록하기 : 아이디어가 떠오를 때 원칙을 지켜 작성한다.
• 직접 분류하지 않기 : 카테고리를 직접 만들지 말고 연결에 더 신경써야 한다.
• 연결 노트 만들기 : 연관성이 없어 보이는 노트의 연관성을 찾았을 때, 노트를 설명해줄수 있는 연결 노트를 만든다.
• 목차 만들기 : 노트가 특정 주제로 통합되는 경우는 목차 노트를 만들어서 서술, 논쟁할 수 있도록 순서를 배치한다.
• 노트 삭제 절대 금지 : 오래된 노트를 삭제하지 말고 왜 문제인지 설명하는 새로운 노트와 연결한다.
• 과감하게 노트 만들기 : 사용하지 않는 노트가 작성된다고 하더라고 시스템에는 문제가 없다.
• 최대한 많이 연결하기

아래 웹 사이트에서는 니클라스 루만이 남긴 실제 노트를 볼 수 있다. 
https://niklas-luhmann-archiv.de/

옵시디언 (Obsidian)

 
 옵시디언은 노션과 같은 마크다운 에디터이다.
다양한 플러그인들과 연동할 수 있고 디스코드나 카카오 오픈 채팅 등 국내 사용자 커뮤티니가 존재한다.
옵시디언의 장점이자 단점은 로컬에서 작동된다는 점인데, 메모가 클라우드에 저장되는 노션과 달리 로컬에만 저장된다는 점은 장점이지만 인터넷을 통한 접근이 어렵다는 것과 백업, 동기화 등의 작업이 따로 필요하다는 점은 단점이라고 볼 수 있을 것 같다. 
 템플릿을 지정하여 노트의 양식을 정의해둘 수 있고 그래프 뷰 기능이 있어 메모간의 연결 구조를 UI로 볼 수 잇다. 제텔카스텐 기법을 적용하기에 적합한 지식 관리 툴이라고 생각한다.
 
아래는 옵시디언 사이트에 접속하면 가장 먼저 보이는 문구이다.

 
 오픈소스는 아니지만 개인이 사용할 경우 무료이고 동기화 기능은 매월 10달러 정도의 비용이 필요하다.
옵시디언을 다루는 내용은 직접 툴을 사용해보고 추가로 작성할 예정이다.
다운로드는 아래 링크에서 할 수 있다.
https://obsidian.md/

개요 및 구성

 웹 페이지에서 여러 대의 SSH 서버가 연결이 가능한지 여부를  UI로 확인하고 싶어서 만들었다.

구성은 Front, Back, SSH Server로 되어 있고 Front, Back은 Ajax를 사용하여 Json으로 데이터를 주고 받는다.

Front는 HTML과 Javascript, jquery-3.6.3.js의 ajax, Back은 FastAPI로 작성해 두었고 서버의 SSH 연결 상태를 확인하기 위해서 paramiko 패키지를 사용한다.

아래는 서버의 1대의 상태를 체크하는 과정을 요약한 그림이다.

Front

 UI는 Server Count에 서버의 대수를 입력하면 아래처럼 해당 수에 맞춰 인터페이스가 추가된다.

localStorage를 사용했기 때문에 페이지가 새로 고침되어도 해당 인터페이스가 유지된다.

 서버 정보를 입력하고 check를 누르면 위 구성에 따라 요청을 보내고, 결과는 아래와 같이 분류되어 Connection Status에 작성된다.

• 진행 중인 경우, Work in progress.
• 제한 시간 내에 연결이 안된 경우, timeout
• 연결이 성공한 경우, ok
• Callback 순서(error > complete > fail > always)에 따라 fail되었는데 응답을 못받은 경우, Fail

ssh_server_status_checker.html 파일 

<!DOCTYPE html>
<html lang="ko">
<head>
    <script src="static/js/jquery-3.6.3.js"></script>
    <link rel="stylesheet" href="test.css">
    <meta charset="UTF-8">
    <title>SSH Server Status Checker</title>

    <script>
        var timerId = null;
        var max_serverCount = localStorage.getItem('max_serverCount');
        const server_url = "http://127.0.0.1:8000";

        function set_ServerCount(){
            max_serverCount = $('#text_server_count').val();
            localStorage.setItem('max_serverCount', max_serverCount);
            window.location.reload();
        }

        function statusTimer() {
            for(var i = 1; i <= max_serverCount; i += 1){
                sshServer_statusCheck(i);
            }
        }
        
        function StartClock(interval=3000) {
            timerId = setInterval(statusTimer, interval);
            statusTimer();
        }
        
        function StopClock() {
            if(timerId != null) {
                clearInterval(timerId);
            }
        }

        function sshServer_statusCheck(target){
            var html_result_id = target + "_status_result";
            var server_ip = $('#text_' + target + '_ip').val();
            var server_port = $('#text_' + target + '_port').val();
            var server_id = $('#text_' + target + '_id').val();
            var server_pw = $('#text_' + target + '_pw').val();
            var send_data = {
                key: target,
                ip: server_ip,
                port: server_port,
                id: server_id,
                pw: server_pw,
            };

            $('#' + html_result_id).html("Work in progress.", status);
            document.getElementById(html_result_id).style.color = "#FFEE11";

            $.ajaxSetup({'cache':true});
            $.ajax({
                url : server_url + "/statusCheck",
                type : "POST",
                dataType : "json",
                timeout : 2000,
                contentType : "application/json",
                data : JSON.stringify(send_data),
                success: function(data){
                    $('#' + html_result_id).html(data.status, status);
                    if(data.status == "ok"){
                        document.getElementById(html_result_id).style.color = "green";
                    }
                    else{
                        document.getElementById(html_result_id).style.color = "red";
                    }
                },
                error: function(request, status, error){
                    if(error == "timeout"){
                        $('#' + html_result_id).html(status, 200);
                        document.getElementById(html_result_id).style.color = "red";
                    }
                }
            })
            .fail(function(xhr, textStatus, errorThrown) {
                if ($('#' + html_result_id).text() == "Work in progress."){
                    $('#' + html_result_id).html("Fail", status);
                    document.getElementById(html_result_id).style.color = "red";
                }
            });
        }
    </script>
</head>
<body>
    <h3>SSH Server Status Checker</h3>
    <form class="my-box">
        <div>
            <label><b>Server Count : </b></label> <input type="text" placeholder="number" id="text_server_count" style="width: 50px;"> <input type="button" value="set" onclick="set_ServerCount();"><br>
            <hr>
            <label><b>Input Data</b></label><br>
            <script>
                var tmp_value;

                for(var i = 1; i <= max_serverCount; i += 1){
                    tmp_value = "server" + i;
                    document.write('<label>' + tmp_value + ' Settings : </label>');
                    document.write('<input type="text" id="text_' + tmp_value + '_ip" placeholder="IP Address" style="width: 100px;"> ');
                    document.write('<input type="text" id="text_' + tmp_value + '_port" placeholder="Port" style="width: 50px;"> ');
                    document.write('<input type="text" id="text_' + tmp_value + '_id" placeholder="ID" style="width: 50px;"> ');
                    document.write('<input type="password" id="text_' + tmp_value + '_pw" placeholder="PW" style="width: 50px;"> ');
                    document.write('<input type="button" value="check" onclick="sshServer_statusCheck(' + "'" + tmp_value + "'" + ');"> ');
                    document.write('<br>');
                }
            </script>
        </div>
        <hr>
        <label><b>Connection Status</b></label><br>
        <script>
            for(var i = 1; i <= max_serverCount; i += 1){
                tmp_value = "server" + i;
                document.write('<label>' + tmp_value + ' : </label><label id="server' + i + '_status_result"></label><br>');
            }
        </script>
        <label>Repeat check : </label>
        <input type="button" value="Start" onclick="StartClock();">
        <input type="button" value="End" onclick="StopClock();">
    </form>
    <br>
    <br>
</body>
</html>

Back

 아래 파이썬 백엔드 서버는 프론트에서 서버로 전달해준 Json을 파싱하여 내부의 서버 정보로 ssh 연결을 시도한다.

MVC 패턴은 적용하지 않았고, DB도 따로 구축하진 않고 dict_server_info라는 딕셔너리 자료구조를 이용했다.

import paramiko

import uvicorn
from fastapi import FastAPI
from pydantic import BaseModel
from starlette.middleware.cors import CORSMiddleware

def ssh_command_sender(ip, port, user, pw, cmds):
    ssh = paramiko.SSHClient()
    ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy)
    ssh.connect(ip, port, user, pw, timeout=1)

    stdin, stdout, stderr = ssh.exec_command(";".join(cmds))

    lines = stdout.read()
    res = ''.join(str(lines))
    
    return res

def _health_check(ip, port, user, pw):
    try:
        ssh_command_sender(ip, port=port, user=user, pw=pw, cmds=[])
        return True
    except:
        return False


origins = ["*"]

app = FastAPI()
app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

class serverSettings(BaseModel):
    key: str
    ip: str
    port: str
    id: str
    pw: str
    
dict_server_info = {
    #"server1":{"ip":"", "port":"22", "id":"", "pw":"", "status":""},
}

@app.post("/statusCheck")
async def statusCheck(info: serverSettings):
    key = info.key
    try:
        dict_server_info[key]["ip"] = info.ip
        dict_server_info[key]["port"] = info.port
        dict_server_info[key]["id"] = info.id
        dict_server_info[key]["pw"] = info.pw
    except:
        dict_server_info[key] = {"ip":info.ip, "port":info.port, "id":info.id, "pw":info.pw, "status":""}
        
    print(dict_server_info[key])

    print(f"{key} health check ...", end="")
    if _health_check(dict_server_info[key]["ip"], dict_server_info[key]["port"] , dict_server_info[key]["id"], dict_server_info[key]["pw"]) == False:
        print("error")
        return {"status":f"fail - {key} connect"}
    
    print("ok")
    dict_server_info[key]["status"] = "ok"
    return {"status":"ok"}
 

if __name__ == "__main__":
    uvicorn.run(app, port=8000, reload=False)

아래는 실제로 SSH 서버 vm을 실행하고 테스트해본 이미지이다.

1개의 서버를 체크할 경우 서버의 상태가 정상적으로 확인되었다.

 여러 개 서버의 경우로 우측 check 버튼을 통해 체크할 경우 다양한 현재 상태가 출력된다.

주기적인 상태 체크

 위에서 체크 기능이 잘 동작하는걸 봤지만 프로그램이 내가 원하는 역할을 수행하게 하려면 입력한 정보를 일정 주기로 반복하여 체크할 수 있어야 한다. Repeat Check는 Timer를 활용하여 일정 주기(interval)로 ssh 연결을 시도한다.

후기

 간단한 기능을 제공하는 서버긴하지만 확장할 수 있는 내용들이 많다.

프론트에서는 html, css, js 파일을 분리하여 관리/ 확장성을 높이거나 React.js를 활용하여 더 깔끔하고 모던한 웹 사이트로 개선할 수 있고, 백엔드에서도 보안(openssl, oauth)과 디자인 패턴(MVC)을 적용하고 NoSQL DB와 연동해 볼 수 있을 듯 하다. 또한 DevOps 관점에서는 컨테이너화 시켜 쿠버네티스에 배포하고 GitOps를 적용해볼 수도 있다.

퇴근 후와 주말에만 가끔식 하는 프로젝트라 진행은 더디지만 하나씩 공부해서 Pluto에도 적용해보겠다.

requirements.txt

 파이썬으로 만든 코드에서 필요한 패키지를 쉽게 표현하기 위해 사용된다. 

내부는 아래처럼 필요한 패키지들의 이름을 적어준다.

pandas==1.3.5
numpy
tensorflow
tqdm
pandas_datareader
finance-datareader
beautifulsoup4
yfinance
pymongo
yahoo_fin
requests_html
flask
flask-cors
flask_restx
pytest

== 을 사용하여 필요한 버전을 명시해줄 수도 있다.

패키지 설치

 Python에서 패키지를 설치할 땐 pip 명령어를 사용한다.

위의 파일을 사용하여 패키지를 설치하려면 아래 명령어를 사용하면 된다.

pip install -r requirements.txt

하지만 매번 같은 명령어를 실행하기는 귀찮기 때문에 아래와 같은 pip_requirements.py 파일을 하나 더 많들어서 사용하고 있다.

import sys
import subprocess

if __name__ == '__main__':
    subprocess.check_call([sys.executable, '-m', 'pip', 'install', '--upgrade', 'pip'])
    subprocess.check_call([sys.executable, '-m', 'pip', 'install', '-r', 'requirements.txt'])

만약 pip가 없다면 아래 링크의 내용이나 밑의 코드를 실행하여 get-pip.py로 저장해주자.

# pip install
curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py

# pip upgrade
python -m pip install --upgrade pip

FastAPI

FastAPI는 Python 3.6이상의 API를 빌드하기 위한 빠르고 현대적인 웹 프레임워크이다.
웹 부분을 위한 Starlette와 데이터 부분을 위한 Pydantic 덕분에 NodeJS와 Go에 대등할 정도로 높은 성능을 가지고 있으며, 빠른 코드 작성이 가능하다. 직관적이고 쉬운 코드로 인해 휴먼 에러가 약 40%(내부 개발팀 테스트 기준) 감소했다고 한다. 또한 API에 완전히 호환되는 개방형 표준을 기반으로 하여 Swagger(OpenAPI)와 json Schema를 지원한다.

개인적으로는 Flask와 문법이 비슷하지만 기본적으로 추가된 기능이 많고 Django보다는 자동화(?)는 덜 되었지만 훨씬 가볍고 빠르다는 느낌을 받았다.

자세한 내용은 아래 공식문서를 참고
https://fastapi.tiangolo.com/ko/

설치 및 실행

pip를 통해 설치한다. 제품화를 위해서는 Uvicorn이나 Hypercorn과 같은 ASGI 서버가 필요하다.
패키지의 설치는 https://hwan001.tistory.com/308 글을 참고하면 편하다.

pip install fastapi
pip install "uvicorn[standard]"

위 공식 링크에 있는 main.py 예제를 가져와봤다.

from typing import Union
from fastapi import FastAPI

app = FastAPI()

@app.get("/")
def read_root():
    return {"Hello": "World"}

@app.get("/items/{item_id}")
def read_item(item_id: int, q: Union[str, None] = None):
    return {"item_id": item_id, "q": q}

위 10줄의 코드로 2개의 엔드포인트가 완성된다.

코드를 실행하려면 uvicorn이 필요하다.

uvicorn main:app --reload

공식 문서에서는 위 명령어로 방법을 설명하지만, pip로 "uvicorn[standard]"을 install 하면 에러가 발생하고 명령어로 쳐봐도 당연히 실행되지 않는다. 그래서 아래처럼 python 코드 상에서 실행하는 방법을 찾았다.
실행에 문제가 없고 디버깅 측면에서도 더 좋다고 생각한다.

from typing import Union
from fastapi import FastAPI
import uvicorn # pip install uvicorn

app = FastAPI()

@app.get("/")
def read_root():
    return {"Hello": "World"}

@app.get("/items/{item_id}")
def read_item(item_id: int, q: Union[str, None] = None):
    return {"item_id": item_id, "q": q}

if __name__ == "__main__":
    uvicorn.run(app, port=8000)

코드를 실행 후 http://127.0.0.1:8000/items/5?q=somequery로 접속하면 JSON 응답을 볼 수 있고,

http://127.0.0.1:8000/docs (또는 redoc)로가면 Swagger UI로 자동 작성된 API 문서를 볼 수 있다.

비동기 처리

FastAPI의 장점 중 하나는 비동기 처리를 지원한다는 점이다.
아래처럼 직접 작성한 코드나 라이브러리가 비동기 기능을 사용할 경우 async def 를 사용할 수 있다.

@app.get('/')
async def read_results():
    results = await some_library()
    return results

참고 링크

https://wikidocs.net/book/8531

https://github.com/tiangolo/fastapi