테라폼(Terraform)과 ArgoCD를 활용한 완벽한 GitOps 인프라 배포 파이프라인

마우스 클릭의 파멸적 오폭 한계를 돌파한 IaC(Infrastructure as Code)의 각성

AWS EC2 인스턴스를 하나 띄우거나 GCP 위에서 쿠버네티스 서비스 매시의 방화벽 포트를 개방하기 위해 관리자가 웹 콘솔 화면에 접속하여 마우스로 이것저것 클릭해가며 세팅하는 수작업 인프라 구축 방식은, 트래픽이 커질수록 조직을 파멸로 이끄는 가장 완벽한 형태의 휴먼 에러 시한폭탄입니다. 그 누가 자신이 클릭했던 수백 개의 체크박스를 1년 뒤 완벽하게 동일하게 다른 지역의 리전에 복제할 수 있겠습니까? 무수한 재앙 속에서 하시코프(HashiCorp)의 테라폼(Terraform)으로 찬란하게 대표되는 '코드로 관리하는 인프라 프로비저닝(IaC)' 체계가 확립되면서, 인프라 자체가 GitHub 저장소 안에 텍스트 파일(.tf) 형태로 영구 보존되고 복제되기 시작했습니다. 하지만 이 역시 불완전했습니다. .tf 코드를 고쳐 푸시했음에도 불구하고, 급한 에러를 막으려고 시니어 엔지니어가 로컬 PC 터미널에서 몰래 `terraform apply` 나 `kubectl apply`를 타건하여 인프라 형상 밸런스를 깨버리거나 어제 막 새로 입사한 주니어의 오타가 담긴 스크립트로 인해 새벽에 상용망 DB 라우터가 갈려나가는 악몽은 계속해서 팀을 괴롭혔습니다. 이 모든 난관을 분쇄하며 종결시킨 위대한 철학이 바로, 사람의 손이 개입하는 것을 원천 거부하고 소스 저장소(Git) 자체를 오직 세계관을 결정짓는 유일무이한 진실의 지배자(Single Source of Truth)로 선언하는 **GitOps(깃옵스)** 아키텍처 세계관입니다.

ArgoCD와 테라폼을 엮어 구축한 궁극의 방탄 무결점 데브옵스 하이웨이

과거 제가 금융 코어망 플랫폼의 CI/CD를 고도화하는 과제를 맡아 극한에 달했을 무렵, 가장 먼저 결심한 것은 서버의 무중단 배포를 관장하는 쿠버네티스 클러스터 파이프라인 스위치의 통제 권한을 젠킨스(Jenkins)나 개발자 팀장 노트북으로부터 모조리 강제 회수해 버리는 일이었습니다. 그 권한을 클러스터 내부 한가운데에 고요하게 똬리를 틀고 앉아 서식하는 문지기인 **ArgoCD**에게 바쳤습니다. 개발자 개인이 특정 배포 파일이 담긴 깃헙의 패키지 브랜치를 메인으로 통합(Merge) 하는 순간, 시스템이 감싸고 있던 형상 관리 거버넌스가 트리거됩니다. ArgoCD 녀석이 3분마다 잠을 자지 않고 쿠버네티스의 헬름 차트(Helm) 상태 매트릭스와 Github의 최신 선언 텍스트 파일을 째려보고 있다가, 어라? 원격 저장소에 적힌 설계도와 현재 쌩쌩 돌아가는 내 서버 파드의 갯수 형상이 틀어졌네? 하고 인지하는 즉시 엄청난 괴력으로 Git에서 설정 파일을 역으로 끌어당겨 와버립니다(Pull-based). 그리고는 누구의 허락도 구하지 않고 인프라를 강제로 오토힐링(Auto-healing) 덮어써 재배치해버리는 것입니다. 여기에 더해 테라폼과 그 스페이스를 유기적으로 조합하면 그림이 완벽해집니다. 땅의 기초를 잡는 VPC 서브넷, 이 보안 그룹 망과 무거운 IAM 클라우드 권한 계정 시스템의 뼈대는 테라폼 파이프라인이 굳건하고 단단하게 백엔드를 뒤에서 깎아내려 지탱하고, 그 아스팔트 하이웨이 위를 씽씽 달리는 비즈니스 애플리케이션 컨테이너 유닛들은 ArgoCD가 단 1초의 빈틈도 없이 척척 끼워 맞춰 갈아 끼우는 그야말로 인프라와 앱 스택을 양립시킨 역대급의 진정한 무결점 데브옵스 하모니 세계가 기업 클라우드의 축복을 내려주는 것입니다.

테라폼 State 파일 동시성 충돌 사고와 록(Lock) 메커니즘을 통한 방벽

하지만 이 거대한 오케스트라에도 독창적인 약점은 숨어있습니다. 테라폼이 구동될 때는 클라우드상에 인프라가 어떻게 생성되어 있는지 그 '거울 기록'인 `.tfstate` 라는 절대반지 상태 파일이 무조건 남겨집니다. 스타트업 초기 시절, 이 파일을 팀원들이 단순하게 Git에 올려두고 형상 관리한답시고 뿌듯해하다가 발생한 사고가 있습니다. 저와 동료가 각각 다른 브랜치에서 서로 다른 서비스 타겟의 `apply` 실행 명령을 거의 동일한 오후 시간에 동시에 눌러버린 것입니다. 허공으로 날아간 테라폼 명령어는 단 하나뿐인 그 거울 파일을 양쪽에서 갈기갈기 찢어가며 미친 듯이 충돌을 뿜어냈고, 결국 AWS의 보안 그룹 IP 매핑이 걸레짝처럼 꼬이며 클러스터 통신망이 두 시간 동안 먹통의 대참사를 이뤘습니다. 이 재앙적인 불상사를 미연의 영역에서 박멸시키기 위해서 무조건 필수적으로 선해야 할 조치가 바로 State 백엔드 격리 시스템입니다. 그 절대 거울 파일의 백엔드를 절대 깨지지 않는 무적의 저장소인 AWS S3 버킷 등에 올려 고정하고, 그 옆에 가벼운 DynamoDB NoSQL 테이블로 파수꾼 Lock(잠금쇠 테이블) 체계를 단단히 걸어두어 한 사람이 오퍼레이션을 쥐고 있는 동안에는 누구도 동시 스매싱 명령을 내릴 수 없도록 동시성 차단을 하드웨어 레벨에서 해버려야 합니다.

자주 묻는 질문 (FAQ)

Q. 그동안 잘 써왔던 친숙한 Jenkins(젠킨스)나 GitHub Actions 만으로도 GitOps를 흉내 낼 수는 없을까요?

방향성에 대한 치명적 보안성의 차이를 아셔야 합니다. 젠킨스나 Actions 같은 파이프라인 도구들은 기본적으로 클러스터 네트워크망 '외부의 바깥세상'에서 파이프라인 결과물을 컨테이너 안으로 힘주어 밀어 넣는(Push-based) 중앙 집권화 엔진입니다. 필연적으로 보안 관제팀이 가장 혐오하는 '최상위 클러스터 인증 키 방화벽의 외부 포트'를 젠킨스에게 통째로 다 개방해 뚫어주어야만 하는 해킹 리스크가 큽니다. 반면 ArgoCD 같은 순혈 GitOps 도구들은 안전망인 클러스터 '내부'에서 바깥세상 서버(Git)를 살그머니 관찰하다 안전하게 코드를 낚아채 끌고 들어오는 철통같은 단방향성 내부 방어적 아키텍처를 자랑하여 인프라 보안 1등급을 손쉽게 획득할 수 있습니다.

Q. 배포 중에 도커나 소스의 비밀번호 정보(Secret)도 저 GitOps 방식을 쫓아서 GitHub 공개 저장소 텍스트로 보관하나요?

절대로, 절대 안 됩니다! Git 에 아무 자물쇠 없이 DB 패스워드를 텍스트로 올리셨다간 1분 뒤에 중국 어딘가에서 봇이 해킹해 비트코인 마이닝 스크립트를 수천만 원어치 날려 먹을 것입니다! 시크릿 환경 변수 및 DB 암호는 절대 테라폼이나 GitOps에 텍스트로 노출하지 않아야 합니다. 대신 AWS Secrets Manager, Hashicorp Vault 등을 단단한 외부 안전 금고로 사용하고, 클러스터에 주입 시킬 때만 `External Secrets Operator` 같은 고도화된 플러그인 모듈이 금고의 키만 들고 가 암호를 살포시 물어오는 분리된 구조를 채택하셔야 합니다.

Q. 개발자가 소스 코드를 PR하고 머지하면 파이프라인이 너무 완전 자율 조종 모드로 돌아가 버려서 잘못된 코드가 고객에게 나가는 사고 제어 장치는 없나요?

물론 훌륭한 브레이크 패드가 여러 겹으로 준비되어 있습니다. ArgoCD 상위 티어에서는 그냥 변경 감지가 되자마자 바로 배포하는 오토 싱크(Auto-Sync) 모드를 끌 수 있습니다. 또한 무결점의 CI 관점에서 Jest나 Cypress 자동화 E2E 테스트 슈트가 GitHub Actions 단계에서 모조리 초록불 합격을 거둬낼 때만 비로소 레포지토리 Main 브랜치로 코드를 씌울 수 있도록 사전에 강력한 Github Protect Rule 락을 걸고 시니어 엔지니어의 어프로브(Approve) 도장을 강제하는 것이 대기업 인프라의 아주 상식적인 안전 궤도입니다.