• 전제 조건
• AWS에서 인프라 및 초기 배포 생성
  • 템플릿에서 새 프로젝트 생성
  • 컨테이너화된 응용 프로그램 이미지를 GitLab 컨테이너 레지스트리에 푸시
  • ECS 작업 정의 생성
  • ECS 클러스터 생성
  • ECS 서비스 생성
  • 데모 응용 프로그램 보기
• GitLab에서 지속적 배포 설정
  • 새 IAM 사용자로 배포자 생성
  • GitLab에서 자격 증명 설정하여 파이프라인 작업이 ECS에 액세스할 수 있도록 함
  • 데모 응용 프로그램 수정하기
• 리뷰 앱 설정
• 보안 테스트 설정
  • SAST 구성
  • DAST 구성
• 추가 읽기 자료

Amazon Elastic Container Service로 배포

이 단계별 가이드는 GitLab.com에 호스팅된 프로젝트를 Amazon Elastic Container Service (ECS)에 배포하는 데 도움이 됩니다.

이 가이드에서는 AWS 콘솔을 사용하여 매뉴얼으로 ECS 클러스터를 생성하는 것으로 시작합니다. 그런 다음 GitLab 템플릿에서 생성한 간단한 응용 프로그램을 만들고 배포합니다.

이 지침은 SaaS 및 Self-Managed GitLab 인스턴스 모두에 적용됩니다. 꼭 러너(runner)가 구성되어 있는지 확인하세요.

전제 조건

• AWS 계정이 필요합니다. 기존의 AWS 계정으로 로그인하거나 새로운 계정을 생성하세요.
• 이 안내서에서는 us-east-2 지역에 인프라를 생성합니다. 다른 지역을 사용할 수 있지만 시작한 후에는 변경하지 마세요.

AWS에서 인프라 및 초기 배포 생성

GitLab에서 응용 프로그램을 배포하려면 먼저 AWS에서 인프라 및 초기 배포를 생성해야 합니다. 이에는 ECS 클러스터와 관련 컴포넌트(예: ECS 작업 정의, ECS 서비스, 컨테이너화된 응용 프로그램 이미지)가 포함됩니다.

여기서 첫 번째 단계는 프로젝트 템플릿에서 데모 응용 프로그램을 생성하는 것입니다.

템플릿에서 새 프로젝트 생성

GitLab의 왼쪽 사이드바에서 Create new () 및 New project/repository를 선택합니다. 템플릿에서 생성을 선택하여 Ruby on Rails, Spring 또는 NodeJS Express 프로젝트 중에서 선택할 수 있습니다. 이 안내서에서는 Ruby on Rails 템플릿을 사용합니다. 프로젝트에 이름을 지정하세요. 이 예제에서는 ecs-demo라고 이름을 지정하였습니다. GitLab Ultimate 요금제에서 제공되는 기능을 활용하려면 이 프로젝트를 공개로 만들어야 합니다. 프로젝트 생성을 선택하세요.

이제 데모 프로젝트를 생성했으므로 응용 프로그램을 컨테이너화하고 컨테이너 레지스트리에 푸시해야 합니다.

컨테이너화된 응용 프로그램 이미지를 GitLab 컨테이너 레지스트리에 푸시

ECS는 컨테이너 오케스트레이션 서비스이므로 인프라 구축 중에 컨테이너화된 응용 프로그램 이미지를 제공해야 합니다. 이를 위해 GitLab 자동 빌드 및 컨테이너 레지스트리를 사용할 수 있습니다.

왼쪽 사이드바에서 검색 또는 이동을 선택하고 ecs-demo 프로젝트를 찾습니다. CI/CD 설정을 선택하면 빈 .gitlab-ci.yml이 나타납니다. 빈 .gitlab-ci.yml에 다음 내용을 복사하여 붙여넣습니다. 이렇게하면 ECS로의 지속적 배포를 위한 파이프라인이 정의됩니다.

include:
  - template: AWS/Deploy-ECS.gitlab-ci.yml

변경 사항 커밋을 선택합니다. 이것으로 새로운 파이프라인이 자동으로 트리거됩니다. 이 파이프라인에서 빌드 작업은 응용 프로그램을 컨테이너화하고 이미지를 GitLab 컨테이너 레지스트리에 푸시합니다.

배포 > 컨테이너 레지스트리를 방문하여 응용 프로그램 이미지가 푸시되었는지 확인합니다.

이제 AWS에서 풀 수 있는 컨테이너화된 응용 프로그램 이미지가 있습니다. 다음으로 이 응용 프로그램 이미지가 AWS에서 사용되는 방식을 정의합니다.

production_ecs 작업이 실패하는 이유는 아직 ECS 클러스터가 연결되지 않았기 때문입니다. 나중에 이 문제를 해결할 것입니다.

ECS 작업 정의 생성

ECS 작업 정의는 응용 프로그램 이미지가 ECS 서비스에 의해 시작되는 방식에 대한 명세입니다.

AWS 콘솔의 ECS > 작업 정의로 이동합니다. 새 작업 정의 생성을 선택합니다.

EC2를 런치 유형으로 선택합니다. 다음 단계를 선택합니다. ecs_demo를 작업 정의 이름으로 설정합니다. 512를 작업 메모리 및 작업 CPU로 설정합니다. 컨테이너 정의 > 컨테이너 추가를 선택하면 컨테이너 등록 양식이 표시됩니다. web를 컨테이너 이름으로 설정합니다. registry.gitlab.com/<your-namespace>/ecs-demo/master:latest를 이미지로 설정합니다. 또는 GitLab 컨테이너 레지스트리 페이지에서 이미지 경로를 복사하여 붙여넣을 수 있습니다.

포트 매핑을 추가합니다. 호스트 포트에 80을, 컨테이너 포트에 5000을 설정합니다.

생성을 선택합니다.

이제 초기 작업 정의가 준비되었습니다. 다음으로 응용 프로그램 이미지가 실행되는 실제 인프라를 생성하겠습니다.

ECS 클러스터 생성

ECS 클러스터는 ECS 서비스의 가상 그룹입니다. 계산 리소스로 EC2 또는 Fargate가 연결됩니다.

AWS 콘솔의 ECS > 클러스터로 이동합니다. 클러스터 생성을 선택합니다. 클러스터 템플릿으로 EC2 Linux + 네트워킹을 선택합니다. 다음 단계를 선택합니다. ecs-demo를 클러스터 이름으로 설정합니다. 네트워킹에서 기본 VPC를 선택합니다. 기존 VPC가 없는 경우, 새로 만드는 것으로 설정할 수 있습니다. VPC의 모든 사용 가능한 서브넷을 서브넷으로 설정합니다. 생성을 선택합니다. ECS 클러스터가 성공적으로 생성되었는지 확인하세요.

이제 다음 단계에서 ECS 클러스터에 ECS 서비스를 등록할 수 있습니다.

ECS 서비스 생성

ECS 서비스는 ECS 작업 정의에 기반하여 응용 프로그램 컨테이너를 만드는 데몬입니다.

AWS 콘솔의 ECS > 클러스터 > ecs-demo > 서비스로 이동합니다. 배포를 선택합니다. 이렇게 하면 서비스 생성 양식이 열립니다. 런치 유형에서 EC2를 선택합니다. 작업 정의에 ecs_demo를 설정합니다. 이는 앞에서 생성한 작업 정의에 해당. 서비스 이름으로 ecs_demo를 설정합니다. 원하는 작업에 1을 설정합니다.

배포를 선택합니다. 생성한 서비스가 활성화되었는지 확인합니다.

AWS 콘솔 UI는 때때로 변경될 수 있습니다. 지침에 해당하는 컴포넌트를 찾지 못하는 경우, 가장 유사한 컴포넌트를 선택하세요.

데모 응용 프로그램 보기

지금, 데모 응용 프로그램은 인터넷을 통해 접근할 수 있습니다.

1. AWS 콘솔의 EC2 > 인스턴스로 이동합니다.
2. ECS Instance를 검색하여 ECS 클러스터를 생성한 해당 EC2 인스턴스를 찾습니다.
3. EC2 인스턴스의 ID를 선택합니다. 이렇게 하면 인스턴스 상세 페이지로 이동합니다.

4. 퍼블릭 IPv4 주소를 복사하여 브라우저에 붙여넣으면 데모 응용 프로그램을 실행할 수 있습니다.

   

이 안내서에서는 HTTPS/SSL이 구성되지 않았습니다. 애플리케이션에는 HTTP로만 접근할 수 있습니다 (예: http://<ec2-ipv4-address>).

GitLab에서 지속적 배포 설정

이제 ECS에서 실행 중인 응용 프로그램이 있으므로 GitLab에서 지속적 배포를 설정할 수 있습니다.

새 IAM 사용자로 배포자 생성

위에서 생성한 ECS 클러스터, 서비스 및 작업 정의에 GitLab이 액세스하려면 AWS에서 배포자 사용자를 만들어야 합니다.

1. AWS 콘솔의 IAM > 사용자로 이동합니다.
2. 사용자 추가를 선택합니다.
3. 사용자 이름에 ecs_demo를 설정합니다.
4. 프로그래밍 방식 액세스 확인란을 활성화합니다. 다음: 권한 추가를 선택합니다.
5. 권한 설정에서 기존 정책 직접 연결을 선택합니다.

6. 정책 디렉터리에서 AmazonECS_FullAccess를 선택합니다. 다음: 태그 추가, 다음: 검토를 순서대로 선택합니다.

   

7. 사용자 만들기를 선택합니다.
8. 생성된 사용자의 액세스 키 ID 및 비밀 액세스 키를 메모합니다.

GitLab에서 자격 증명 설정하여 파이프라인 작업이 ECS에 액세스할 수 있도록 함

이 정보를 GitLab CI/CD Variables에 등록할 수 있습니다. 이러한 변수는 파이프라인 작업에 삽입되어 ECS API에 액세스할 수 있습니다.

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 ecs-demo 프로젝트를 찾습니다.
2. 설정 > CI/CD > 변수로 이동합니다.

3. 변수 추가를 선택하고 다음 키-값 쌍을 설정합니다.

   키	값	비고
   AWS_ACCESS_KEY_ID	<배포자의 액세스 키 ID>	aws CLI를 인증하는 데 사용됩니다.
   AWS_SECRET_ACCESS_KEY	<배포자의 비밀 액세스 키>	aws CLI를 인증하는 데 사용됩니다.
   AWS_DEFAULT_REGION	us-east-2	aws CLI를 인증하는 데 사용됩니다.
   CI_AWS_ECS_CLUSTER	ecs-demo	ECS 클러스터가 production_ecs 작업에서 액세스됩니다.
   CI_AWS_ECS_SERVICE	ecs_demo	클러스터의 ECS 서비스는 production_ecs 작업에 의해 업데이트됩니다. 이 변수가 적절한 환경(production, staging, review/*)에 대해 범위가 지정되어 있는지 확인합니다.
   CI_AWS_ECS_TASK_DEFINITION	ecs_demo	ECS 작업 정의는 production_ecs 작업에 의해 업데이트됩니다.

데모 응용 프로그램 수정하기

프로젝트에서 파일을 변경하고 ECS의 데모 응용 프로그램에 반영되는지 확인합니다.

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 ecs-demo 프로젝트를 찾습니다.
2. app/views/welcome/index.html.erb 파일을 엽니다.
3. 편집을 선택합니다.
4. 텍스트를 You're on ECS!로 변경합니다.
5. 변경 사항 커밋을 선택합니다. 이렇게 하면 자동으로 새 파이프라인이 트리거됩니다. 완료될 때까지 기다립니다.

6. ECS 클러스터에서 실행 중인 응용 프로그램에 액세스합니다. 다음이 표시되어야 합니다:

   

축하합니다! ECS로의 지속적인 배포가 성공적으로 설정되었습니다.

리뷰 앱 설정

ECS에서 리뷰 앱을 사용하려면:

1. 새 서비스를 설정합니다.
2. CI_AWS_ECS_SERVICE 변수를 사용하여 이름을 설정합니다.
3. 환경 범위를 review/*로 설정합니다.

한 번에 하나의 리뷰 앱만 배포할 수 있으며, 이 서비스는 모든 리뷰 앱에서 공유됩니다.

보안 테스트 설정

SAST 구성

ECS에서 SAST를 사용하려면 .gitlab-ci.yml 파일에 다음을 추가합니다:

include:
   - template: Jobs/SAST.gitlab-ci.yml

자세한 내용 및 구성 옵션은 SAST 문서를 참조하세요.

DAST 구성

비기본 브랜치에서 DAST를 사용하려면 리뷰 앱을 설정하고 .gitlab-ci.yml 파일에 다음을 추가합니다:

include:
  - template: Security/DAST.gitlab-ci.yml

기본 브랜치에서 DAST를 사용하려면:

1. 새 서비스를 설정합니다. 이 서비스는 임시 DAST 환경을 배포하는 데 사용됩니다.
2. CI_AWS_ECS_SERVICE 변수를 사용하여 이름을 설정합니다.
3. 범위를 dast-default로 설정합니다.
4. 아래를 .gitlab-ci.yml 파일에 추가합니다:

include:
  - template: Security/DAST.gitlab-ci.yml
  - template: Jobs/DAST-Default-Branch-Deploy.gitlab-ci.yml

자세한 내용 및 구성 옵션은 DAST 문서를 참조하세요.

추가 읽기 자료

• 클라우드에 대한 지속적인 배포에 더 관심이 있다면 클라우드 배포를 참조하세요.
• 프로젝트에 빠르게 DevSecOps를 설정하고 싶다면 Auto DevOps를 참조하세요.
• 프로덕션 수준의 환경을 빠르게 설정하고 싶다면 5분 프로덕션 앱를 참조하세요.