🚀 Terraform Day 22: AWS에서 보안된 2계층 아키텍처 (EC2 + RDS)

Source: Dev.to

🧱 아키텍처 개요

배포된 아키텍처는 다음으로 구성됩니다:

🌐 웹 티어

• 퍼블릭 서브넷에 위치한 EC2 인스턴스
• 퍼블릭 DNS를 통해 접근 가능
• Flask 애플리케이션 실행
• 인바운드 접근을 제한하는 보안 그룹 사용

🗄️ 데이터베이스 티어

• MySQL RDS 인스턴스
• 프라이빗 서브넷에 호스팅
• 직접적인 인터넷 접근 불가
• 웹 티어 보안 그룹에서만 트래픽 허용

🔐 시크릿 관리

• 데이터베이스 사용자명 및 비밀번호를 동적으로 생성
• AWS Secrets Manager에 안전하게 저장
• EC2가 부팅 시 사용자 데이터(user data)를 통해 조회

🧩 Terraform 모듈 설계

이 프로젝트는 실제 현업에서 중요한 맞춤형 Terraform 모듈을 사용하여 구축되었습니다.

사용된 모듈:

• VPC 모듈 – VPC, 퍼블릭 및 프라이빗 서브넷, 인터넷 게이트웨이, NAT 게이트웨이, 라우트 테이블
• 보안 그룹 모듈 – 웹 SG(HTTP 접근), DB SG(MySQL 접근은 웹 SG에서만)
• 시크릿 모듈 – 랜덤 비밀번호 생성, Secrets Manager 저장
• RDS 모듈 – MySQL 인스턴스, 프라이빗 서브넷 배치, Secrets Manager에서 주입된 자격 증명

루트 모듈은 모듈 간 출력값을 전달하면서 전체를 오케스트레이션합니다.

🔐 보안 자격 증명 처리 (핵심)

Day 22에서 가장 중요한 교훈 중 하나:

• ❌ Terraform 코드에 자격 증명 포함 금지

• ❌ variables.tf에 자격 증명 포함 금지

• ❌ 사용자 데이터 스크립트에 자격 증명 포함 금지

• ✅ random_password를 사용해 비밀번호 생성

• ✅ AWS Secrets Manager에 저장

• ✅ 런타임에 안전하게 조회

실제 프로덕션 환경에서는 반드시 지켜야 할 사항입니다.

⚙️ 사용자 데이터로 애플리케이션 배포

EC2 인스턴스는 사용자 데이터를 활용해 다음을 수행합니다:

• 시스템 의존성 설치
• Python 및 Flask 설치
• Secrets Manager에서 데이터베이스 자격 증명 가져오기
• 환경 변수 설정
• Flask 애플리케이션 자동 시작

결과: 인프라와 애플리케이션이 함께 배포되어 완전 자동화됩니다.

🔄 사용된 Terraform 워크플로우

표준이며 프로덕션에 안전한 워크플로우:

terraform init
terraform plan
terraform apply

주의 사항:

• RDS 프로비저닝에는 시간이 걸리며 이는 정상적인 동작입니다.
• 출력값을 통해 애플리케이션 엔드포인트를 안전하게 노출합니다.
• 비용 발생을 방지하기 위해 테스트 후 인프라를 반드시 파괴해야 합니다.