EC2 환경설정

개요

• 본 문서에서는 AWS의 웹 서버 구동용 클라우드 서비스인 S3와 WAS 구동용 클라우드 서비스인 EC2의 서버 연동 중 발생했던 문제 상황에 대해 명확히 파악하고 환경 세팅에 대한 내용을 정리하고자 한다.
  기본적으로 CI/CD에 대한 내용을 포함하고 있다.

• 본 문서는 GitHub Action을 통한 CI/CD를 다루며,

• 또한, 스프링 시큐리티를 이용하여 S3 호스트로부터 들어온 요청을 EC2가 받아들일 수 있도록하는 CORS 설정법을 다뤄본다.

SpringSecurity의 CORS 설정

• 스프링 시큐리티의 필터 구성을 담당하는 SecurityConfiguration 클래스

  • 백엔드 개발자는 다른 Origin으로부터 요청을 허용하고자 CORS를 다루게 된다.
    안전한 호스트로부터 제공되는 요청을 허용하여 보안성과 기능성의 적절한 균형점을 찾아야 한다.

package com.codestates.stackoverflowbe.global.auth.config;
임포트 생략


@Configuration
@EnableWebSecurity //  Spring Security를 웹 애플리케이션에 적용
public class SecurityConfiguration {

// 필드 및 생성자 중략 ...

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .headers().frameOptions().sameOrigin() // (해당 옵션 유효한 경우 h2사용가능) SOP 정책 유지, 다른 도메인에서 iframe 로드 방지
                .and()
                ⭐.cors(Customizer.withDefaults()) //CORS 처리하는 가장 쉬운 방법인 CorsFilter 사용, CorsConfigurationSource Bean을 제공
                ⭐.cors(configuration -> configuration
                        .configurationSource(request -> new CorsConfiguration().applyPermitDefaultValues()))
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 정보 저장X
                .and()
                .formLogin().disable() // CSR 방식을 사용하기 때문에 formLogin 방식 사용하지 않음
                .httpBasic().disable() // UsernamePasswordAuthenticationFilter, BasicAuthenticationFilter 등 비활성화
                .exceptionHandling() // 예외처리 기능
                    .authenticationEntryPoint(new AccountAuthenticationEntryPoint()) // 인증 실패시 처리 (UserAuthenticationEntryPoint 동작)
                    .accessDeniedHandler(new AccountAccessDeniedHandler()) //인가 거부시 UserAccessDeniedHandler가 처리되도록 설계
                .and()
                .apply(new CustomFilterConfigurer()) // 커스터마이징한 필터 추가
                .and() // 허용되는 HttpMethod와 역할 설정
                .authorizeHttpRequests( authorize -> authorize
                        .antMatchers(HttpMethod.GET, "/v1/accounts/**").hasRole("ADMIN")
                        .antMatchers(HttpMethod.POST, "/v1/accounts/**").permitAll()
                        .anyRequest().permitAll()
                )
                .oauth2Login(
                        oauth2 -> oauth2
                                .successHandler(new OAuth2AccountSuccessHandler(jwtTokenizer, authorityUtils, accountService))
                );


        return httpSecurity.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        //⭐ 새 CORS구성 객체 등록
        CorsConfiguration configuration = new CorsConfiguration();
        
        //🔥🔥🔥 자격증명 (예: 쿠키, 인증 헤더 등)을 허용
        configuration.setAllowCredentials(true);
        
        //⭐모든 출처(Origin)에 대해 스크립트 기반 HTTP 통신 허용
        //🔥🔥🔥 configuration.setAllowedOrigins(Arrays.asList("*"));
        
        //⭐ 단, setAllowedOrigins(Arrays.asList("*"))이 아닌, 
        //🔥🔥🔥 이전버전.setAllowedOriginPatterns(Arrays.asList("*")); 는 사용가능하지만 권장X   
        
        configuration.setAllowedOrigins(Arrays.asList(
        		"http://localhost:80", // ⭐ 로컬 HTTP로부터 들어오는 ORIGIN 허용
                "http://localhost:8080", //⭐ 로컬 WAS로부터 들어오는 ORIGIN 허용
                "http://localhost:3000", //⭐ 로컬 리액트서버로부터 들어오는 ORIGIN 허용
                "http://seveneleven-stackoverflow-s3.s3-website.ap-northeast-2.amazonaws.com", // ⭐ S3 호스트 ORIGIN 서버
                "3.36.128.133:8080", "3.36.128.133:80" // ⭐ EC2 자기 자신 리다이렉션?
                ));

		// React에서 값을 담기 위한 노출 헤더를 별도로 지정해야 한다. ⭐
        // (리액트) 응답 헤더에 Authorization 헤더를 노출하도록 설정
        config.addExposedHeader("Authorization");
        config.addExposedHeader("Refresh");

        //4가지 HTTP Method에 대한 HTTP 통신 허용 + OPTIONS (CORS 프리플라이트용) ⭐
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PATCH", "DELETE", "OPTIONS"));

        // CorsConfigurationSource 인터페이스 구현 클래스인 UrlBasedCorsConfigurationSource 클래스 객체 생성
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        // 모든 URL에 상기 CORS 정책 적용
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

    public class CustomFilterConfigurer extends AbstractHttpConfigurer<CustomFilterConfigurer, HttpSecurity> {
		// ... 중략
    }
}

• 🔥🔥🔥 setAllowCredentials(true)과 setAllowedOrigins("*")는 함께 사용할 수 없다.

  • setAllowCredentials(true) 메서드는 요청에서 자격증명(쿠키, 인증 헤더 등)을 허용하겠다는 것을 나타내며, setAllowedOrigins("*") 메서드는 모든 출처에 대해 스크립트 기반 HTTP 통신을 허용하겠다는 것을 나타낸다. 이 경우, 모든 출처에 대해 자격증명을 허용하면 보안상의 이슈가 발생할 수 있습니다. 왜냐하면 다른 도메인에서도 자격증명을 요청할 수 있게 되면서 개인정보 유출 등의 위험이 높아질 수 있기 때문입니다. 따라서 이 두 가지 옵션을 함께 사용하는 것은 권장되지 않습니다.
    (권장되지 않을 뿐더러 적용도 되지 않는다. setAllowedOrigins(Arrays.asList("*"));의 이전버전인 .setAllowedOriginPatterns(Arrays.asList("*"));는 setAllowCredentials(true)와 함께 사용해도 그 CORS 정책이 유지되지만 마찬가지의 이유로 사용하지 않는 것이 좋다.)

• 💡AllowedOrigins는 Credential이랑 사용하려면 무조건 "명시적으로 출처 작성" 해줘야 사용가능
  AllowedOriginPattern은 이전 버전이라서 "*"모든 출처 통신 허용으로 사용 가능하지만 권장은 하지 않음 : (동기분과 매니저님의 의견)

  • 또한 @CrossOrigin 을 사용하는 경우는 ‘’로 allowOrigins을 사용할 수 없는 것이 아닌가 생각된다.
    (When it is enabled either allowOrigins must be set to one or more specific domain (but not the special value "")
    

// React에서 값을 담기 위한 노출 헤더를 별도로 지정해야 한다. ⭐①
        // (리액트) 응답 헤더에 Authorization 헤더를 노출하도록 설정
        config.addExposedHeader("Authorization");
        config.addExposedHeader("Refresh");

        //4가지 HTTP Method에 대한 HTTP 통신 허용 + OPTIONS (CORS 프리플라이트용) ⭐②
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PATCH", "DELETE", "OPTIONS"));

• config.addExposedHeader("Authorization"); 는 Authorization 키 값으로 전달되는 헤더를 React 등 프론트 프레임워크에서 받을 수 있는 헤더를 노출시켜주어야 한다. (Refresh)도 마찬가지.
  🤔이 문제를 알지 못해서 Http Response Header에는 노출되어 있지만, 프론트에서 받아지지 않길래 프론트 문제인 것으로 생각하고 한참을 헤맸다. 하지만 응답 헤더에 정상적으로 노출되는 것 이외에도 클라이언트 브라우저 단에서 노출되는 헤더는 별도이기 때문에 반드시 별도의 설정을 해줘야 한다.

  브라우저는 Cross-Origin 요청 시 보안을 위해 "심지어 노출되어 있는 헤더도 자동으로 접근할 수 없도록" 보호하는 경향이 있습니다. 이것이 바로 기본적인 보안 정책인 동일 출처 정책 (Same-Origin Policy)입니다. 따라서 Access-Control-Expose-Headers 헤더를 사용하여 브라우저에게 허용할 추가 헤더를 알려주는 것이 중요합니다.
  
  이렇게 추가 헤더를 명시적으로 알려줌으로써, 프론트엔드에서 해당 헤더에 접근할 수 있게 해줍니다. 따라서 "응답 response 헤더에 정상적으로 노출되어 있는데 별도의 작업이 필요한 이유"는 기본적인 브라우저 보안 정책을 우회하고 헤더에 접근할 수 있도록 해주기 위함입니다.

• configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PATCH", "DELETE", "OPTIONS")); 에서는 프리플라이트 요청까지 허용하기 위해 OPTIONS를 붙여준다.

• (참고) CorsConfigurationSource 빈은 Spring Security 설정 중에서 CORS(Cross-Origin Resource Sharing) 정책을 적용하는 단계에서 사용된다.

  • http.cors() // ⭐CorsConfigurationSource 빈으로 지정해두었던 CORS 설정 적용되는 시점.

• [참고] MDN | CORS 정책

GitHub Action을 이용한 CI/CD

• GitHub Action에서 배포자동화를 위한 최상위_디렉토리/workflow/server.yml에 따른 스크립트를 실행하게 된다.

  • 다음은 EC2 SSH 프로토콜 통신을 목적으로하는 server.yml 파일이다.
    (이 깃헙 액션 워크플로우는 주어진 저장소의 코드 변경 사항을 처리하는 CI/CD 파이프라인이며, 이 워크플로우는 GitHub 저장소의 main 브랜치에 푸시되었을 때 실행되며, 다음과 같은 단계를 거쳐 빌드 및 배포를 자동화한다.)
    server.yml 파일 위치
    

/.github/workflows/server.yml

# ⭐ 이 workflow의 이름은 Server CI/CD이다.
name: Server CI/CD

# ⭐ main 브랜치에 push 될 때 이 작업이 수행된다. (cronetab으로 배치 설정도 가능하다.)
on:
  push:
    branches: [ main ] 

# ⭐ `ubuntu-latest`, 최신 버전의 우분투 환경에서 수행할 'build'라는 작업을 정의 
jobs:
  build:
    runs-on: ubuntu-latest

	# ⭐ 환경변수를 통해 보안의 대상이 되는 민감한 정보를 저장, 도커 -> EC2 ubuntu로 넘겨줌.
    env: # ⭐ ${}는 GitHub Secret에서 별도로 변수 지정 
      G_CLIENT_ID: ${{secrets.G_CLIENT_ID}}  # OAuth 관련 정보를 담고 있는 아이디 키
      G_CLIENT_SECRET: ${{secrets.G_CLIENT_SECRET}} # OAuth 비밀키
      JWT_SECRET_KEY: ${{secrets.JWT_SECRET_KEY}} # JWT 시큐리티에 사용하는 키
      working-directory: ./be/stackoverflow-be # ⭐ 빌드파일이 있는 위치를 지정

	#⭐ 실제 작업을 단계적으로 처리하는 steps
    steps:
       # ⭐ 'uses' 모듈화된 특정 액션을 사용
      - uses: actions/checkout@v2 # 이 모듈은 액션을 사용하여 저장소 코드를 체크아웃 함.  
      - name: Set up JDK 11
        uses: actions/setup-java@v2
        with:
          java-version: '11'
          distribution: 'zulu'

	   # ⭐ gradle로 빌드하기 위한 실행권한 부여 
      - name: Grant execute permission for gradlew
        run: chmod +x gradlew
        working-directory: ${{ env.working-directory }} # 빌드가 가능한 디렉토리에서 해야함!

	   # ⭐ Gradle을 통해 실제 빌드 수행
      - name: Build with Gradle
        run: ./gradlew build
        working-directory: ${{ env.working-directory }}

	   # ⭐ Docker 이미지 빌드 및 푸시
      - name: Docker build
        run: |
          docker login -u ${{ secrets.DOCKER_HUB_USERNAME }} -p ${{ secrets.DOCKER_HUB_PASSWORD }} # id와 패스워드를 이용한 로그인
          docker build -t {도커허브저장소명} . 
          docker tag {도커허브저장소명} {도커사용자}/{도커허브저장소명}:${GITHUB_SHA::7}
          docker push {도커사용자}/{도커허브저장소명}:${GITHUB_SHA::7}
        working-directory: ${{ env.working-directory }}

		# ⭐ AWS 인증 정보 구성
      - name: Configure AWS credentials
        uses: aws-actions/configure-aws-credentials@v1 # 해당 모듈은 aws 인증정보를 구성한다.
        with:
          aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY }} # 액세스 키
          aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }} # 비밀 액세스 키
          aws-region: ap-northeast-2

		# ⭐ SSH 연결 및 서버 배포 (만약 세션 매니저를 사용하고 싶다면 이 부분의 설정을 세션 매니저로 변경)
      - name: SSH Connection and Deploy to Server
        uses: appleboy/ssh-action@master
        with:
          host: ${{ secrets.AWS_SSH_HOST }}  # ⭐ 배포 서버에 대한 public ipv4 주소 또는 도메인네임
          username: ${{ secrets.AWS_SSH_USERNAME }} # ⭐ ubuntu (EC2 환경 SSH_USERNAME)
          key: ${{ secrets.AWS_SSH_KEY }} # ⭐ SSH 키 (pem키 -----BEGIN~END~KEY--- 모두 포함)
#          port: ${{ secrets.AWS_SSH_PORT }} # SSH 포트 but 디폴트 설정으로 굳이 설정하지 않아도됨.
          envs: GITHUB_SHA
          script: |
            sudo docker rm -f server
            sudo docker pull {도커사용자명/도커허브저장소명}:${GITHUB_SHA::7}
            sudo docker tag {도커사용자명/레포지토리}:${GITHUB_SHA::7} 레포지토리
            sudo docker run -d --name server -p 8080:8080 레포지토리 # ⭐ 포트포워딩을 http:WAS로 하려면 80:8080(?)

• 위의 로직에 따라 자동으로 도커허브에 사용자명/레포지토리명의 레포지토리가 생성된다.

  • 실제 server.yml 작성본

- workflow 주요 로직

- workflow 주요 구성 요소

Dockerfile

Dockerfile 위치

• 실제 be 프로젝트 환경 안에 존재하는 Dockerfile 위치
  

도커파일 예시 (프로파일 적용버전)

# (1) base-image
FROM openjdk:11

# ⭐ 'ARG' 예약어를 통해 인자로 전달 받아야 한다.
ARG MYSQL_ID \
    MYSQL_PASSWORD \
    RDS_URL

# ⭐ 'ENV' 예약어를 통해 전달받은 값을 실제 값과 매칭시켜야 한다.
ENV MYSQL_ID=${MYSQL_ID} \
    MYSQL_PASSWORD=${MYSQL_PASSWORD} \
    RDS_URL=${RDS_URL}

# (2) COPY에서 사용될 경로 변수
ARG JAR_FILE=build/libs/*-SNAPSHOT.jar

# (3) jar 빌드 파일을 도커 컨테이너로 복사
COPY ${JAR_FILE} app.jar

# (4) jar 파일 실행 시 'SPRING_PROFILES_ACTIVE' 환경 변수 지정하여 실행
# ⭐'dev'는 원하는 프로파일로 변경하면 된다.
ENTRYPOINT ["java", "-Dspring.profiles.active=server", "-jar", "/app.jar"]

ㄴ프로파일이 적용된 application.yml 예시

• application.yml

spring:
  profiles:
    active: server

• application-server.yml

spring:
    datasource:
      url: ${RDS_URL}
      username: ${MYSQL_ID}
      password: ${MYSQL_PASSWORD}
      driver-class-name: com.mysql.cj.jdbc.Driver

    jpa:
      database-platform: org.hibernate.dialect.MySQL8Dialect
      database: mysql
      show-sql: true
      hibernate:
        ddl-auto: create
      properties:
        hibernate:
          format_sql: true
#  security:
#    oauth2:
#      client:
#        registration:
#          google:
#            client-id: ${G_CLIENT_ID}
#            client-secret: ${G_CLIENT_SECRET}
#            redirect-uri: http://ec2-3-36-128-133.ap-northeast-2.compute.amazonaws.com/login/oauth2/code/google
#            scope:
#              - email
#              - profile
#jwt:
#  key:
#    secret: ${JWT_SECRET_KEY}               # ??? ??? ??? ?? ???? ??
#      access-token-expiration-minutes: 30
#      refresh-token-expiration-minutes: 420

logging:
  level:
    org:
      hibernate:
        type:
          descriptor: trace

# swagger
springdoc:
  swagger-ui:
    path: /swagger
    operationsSorter: alpha
    tags-sorter: alpha
    disable-swagger-default-url: true
    display-request-duration: true
  api-docs:
    path: /api-docs
  show-actuator: true
  default-consumes-media-type: application/json
  default-produces-media-type: application/json
  paths-to-match:
    - /v1/**

#mail:
#  admin:
#    address: ${ADMIN_EMAIL}
server:
  port: 8080

• application-local.yml

spring:
  config:
    activate:
      on-profile: local
  h2:
    console:
      enabled: true
      path: /h2
  jpa:
    database: h2
    show-sql: true
    hibernate:
      ddl-auto: create
    properties:
      hibernate:
        format_sql: true
#  security:
#    oauth2:
#      client:
#        registration:
#          google:
#            client-id: ${G_CLIENT_ID}
#            client-secret: ${G_CLIENT_SECRET}
#            redirect-uri: http://ec2-3-36-128-133.ap-northeast-2.compute.amazonaws.com/login/oauth2/code/google
#            scope:
#              - email
#              - profile
#jwt:
#  key:
#    secret: ${JWT_SECRET_KEY}               # ??? ??? ??? ?? ???? ??
#      access-token-expiration-minutes: 30
#      refresh-token-expiration-minutes: 420

logging:
  level:
    org:
      hibernate:
        type:
          descriptor: trace

# swagger
springdoc:
  swagger-ui:
    path: /swagger
    operationsSorter: alpha
    tags-sorter: alpha
    disable-swagger-default-url: true
    display-request-duration: true
  api-docs:
    path: /api-docs
  show-actuator: true
  default-consumes-media-type: application/json
  default-produces-media-type: application/json
  paths-to-match:
    - /v1/**

#mail:
#  admin:
#    address: ${ADMIN_EMAIL}
server:
  port: 8888

AWS EC2 권한(정책) 설정

참고) AWS IAM 계정 등 기본 설정

• 팀 프로젝트에서 AWS 관리하기 (2) - 관리용 IAM 사용자
• 초보자도 할 수 있는 EC2 구축

AWS EC2 권한 설정

• AWS EC2 권한 설정에 관해서 세션 매니저 설정과 SSH 프로토콜을 통한 통신 과정이 다르다.
  우리 조는 EC2 SSH 프로토콜에 대한 권한 설정을 하였으나,
  해당 권한에 대한 내역이 소실되어, 깃헙액션-세션 매니저 연동을 위한 권한 정책을 소개한다.
  

  • AmazonSSMRoleForInstanceQuickSetup ( EC2 인스턴스에 대한 Systems Manager (SSM) 서비스의 액세스를 허용)
    AWS-QuickSetup-HostMgmRole-ap-northeast-2-3483b (특정 지역(ap-northeast-2)에서 호스트 관리 작업을 위한 역할)
    AWS-QuickSetup-StackSet-Local-AdministrationRole ( AWS CloudFormation 스택 집합 (Stack Set) 관리 작업)
    AWS-QuickSetup-StackSet-Local-ExecutionRole ( AWS Systems Manager 서비스가 다른 AWS 리소스와 상호 작용할 수 있는 권한을 부여 )
    AWSServiceRoleForAmazonSSM ( Amazon RDS 데이터베이스 서비스와 관련된 작업을 수행하기 위한 권한을 제공)
    AWSServiceRoleForRDS (Amazon RDS 데이터베이스 서비스와 관련된 작업을 수행하기 위한 권한을 제공)
    rds-monitoring-role (Amazon RDS 데이터베이스 인스턴스의 모니터링을 위해 필요한 권한을 부여)

AWS EC2 보안 그룹 (인바운드 규칙)

인바운드 규칙의 설정

• EC2의 보안 그룹⭐은 인스턴스의 네트워크 트래픽을 제어하기 위한 가상 방화벽 역할을 한다. 이 보안 그룹은 인바운드(들어오는 트래픽) 및 아웃바운드(나가는 트래픽) 규칙을 설정하여 어떤 유형의 트래픽이 허용되거나 차단될지를 결정한다.
  
  인바운드 규칙⚡은 EC2 인스턴스로 들어오는 트래픽을 제어한다. 각 규칙은 특정 포트 범위와 IP 주소 범위를 지정하여 설정될 수 있다. 일반적으로 다음과 같은 방식으로 작동한다:
  

  • 포트 범위: 트래픽을 어느 포트로 보낼 것인지를 지정한다. 예를 들어, 웹 서버용 HTTP 트래픽은 보통 80 포트로 설정된다.
    
  • IP 주소 범위: 어떤 IP 주소나 IP 범위로부터 트래픽을 허용할지를 결정한다. 특정 IP 주소, 서브넷, 또는 모든 IP 주소 (0.0.0.0/0)로부터 트래픽을 허용할 수 있다.
    
    💡 예를 들어, 웹 서버를 호스팅하는 EC2 인스턴스의 경우, 80 포트로부터 모든 IP 주소로부터의 인바운드 HTTP 트래픽을 허용하는 규칙을 추가할 수 있습니다. 이를 통해 웹 서버에 대한 외부의 접근을 허용할 수 있게 된다.

• 보안 그룹은 여러 규칙을 가질 수 있으며, 보안 그룹 간에 조합하여 다양한 네트워크 구성을 설정할 수 있다. 이를 통해 필요한 트래픽만 허용하고 나머지는 차단하여 인스턴스의 보안을 강화할 수 있다.

• 현 프로젝트에서 설정한 보안 그룹의 인바운드 규칙은 다음과 같다.
  (EC2 > 인스턴스 > (인스턴스 세부 정보))
  

  • 3306(MySQL), 80(HTTP), 22(SSH 프로토콜), 8080(WAS), 3000(React) 등이 주요 관리 대상이다. 인바운드로 전체 포트를 허용하는 것은 사실, 추천되지 않는다.

EC2 환경세팅

EC2 환경변수 설정

• ① G_CLIENT_ID, JWT_SECRET_KEY와 같은 변수들을 우분투(EC2) 환경에서 직접 세팅하는 것과 ②깃허브액션 워크플로우의 server.yml 파일에 담아주는 것은 어떤 차이가 존재할까?
  
  후자의 경우 깃허브액션의 secret variables로부터 사용자가 지정한 변수를 EC2 환경에 넘겨 주는 것이므로, 깃허브 액션 하나에서 보안 정보를 일원화하여 관리할 수 있다는 장점이 있다.
  따라서 현 프로젝트의 환경변수 세팅은 후자를 따른다.
  깃허브레포지토리 - Setting - secret and variables - Actions에 설정된 변수들
  

MySQL, 도커 설치 등

• MySQL을 설치하는 것은 보통 AWS 서비스 중 RDS가 될 확률이 높지만, 서버 비용이 비싸다는 단점 때문에 초기 세팅을 EC2에 해두었다가 이후에 RDS로 옮겨가는 방식을 채택할 수 있다.
  따라서 프로젝트 초기, EC2에 MySQL 서버를 두기로 합의하였다.

  • [AWS] EC2에 MYSQL 설치하기

• 도커를 사용하면 애플리케이션과 그에 필요한 모든 종속성을 컨테이너로 패키징할 수 있다. 이는 애플리케이션을 격리된 환경에서 실행하고 인스턴스 간에 일관된 배포를 가능하게 한다.
  또한 호스트 환경에 독립적인 도커는 이식성과 확장성에 장점을 가지고 있다.

  • Install Docker Engine on Ubuntu
  • ubuntu에서 docker 설치하는법

EC2 포트 관련 세팅

Q. 인바운드 규칙으로 EC2로 허용되는 포트를 설정하지 않았나?
UBUNTU (EC2)환경에 별도로 허용 포트를 지정할 이유는 무엇인가?

• A. 보안 그룹의 인바운드 규칙으로 허용 포트를 지정했음에도 불구하고 EC2 인스턴스 내에서 별도의 포트 번호 과정을 가져야 하는 이유는 주로 두 가지 경우가 있을 수 있습니다:
  
  ① 방화벽 및 응용 프로그램 설정: 보안 그룹은 AWS 네트워크 수준에서 작동하는 가상 방화벽이며, EC2 인스턴스 내부에 있는 실제 응용 프로그램 또는 OS 수준의 방화벽은 관리하지 않습니다. 따라서 EC2 인스턴스 내부에서 특정 포트나 서비스를 사용하려면 해당 포트를 개방하고 응용 프로그램이나 서비스를 설정해야 합니다. 이러한 설정은 보안 그룹보다는 인스턴스 내의 소프트웨어 설정과 관련된 부분입니다.
  
  ②로컬 방화벽 또는 IP 테이블 설정: EC2 인스턴스 내부에는 Linux의 경우 IP 테이블 또는 Windows의 경우 Windows 방화벽과 같은 로컬 방화벽이 존재할 수 있습니다. 이 로컬 방화벽은 트래픽을 제어하고 특정 포트를 차단하거나 허용하기 위해 사용됩니다. 때때로 보안 그룹의 규칙과 로컬 방화벽 설정이 충돌할 수 있으므로, EC2 인스턴스 내의 로컬 방화벽 설정을 확인하여 포트가 제대로 열려 있는지 확인하는 것이 중요합니다.
  
  요약하면, ⭐보안 그룹은 AWS의 네트워크 계층에서 작동하며 트래픽을 제어하는 역할을 하지만, EC2 인스턴스 내부의 실제 응용 프로그램 또는 방화벽 설정은 개별적으로 관리되어야 합니다. 이로 인해 두 가지 설정이 일치하지 않을 수 있고, 이를 고려하여 필요한 설정을 조정해야 할 수 있습니다.

Ubuntu에서 포트 허용

# UFW 설치 및 활성화:
sudo apt update
sudo apt install ufw
sudo ufw enable

# 특정 포트 허용 : sudo ufw allow <PORT_NUMBER>
sudo ufw allow 80

# 규칙 확인, 포트가 제대로 열렸는지 확인: 
sudo ufw status

# 규칙 적용:
sudo ufw reload

• UFW를 사용하여 포트를 허용하면 해당 포트로의 인바운드 연결이 허용됩니다. 하지만 이는 로컬 방화벽 설정에만 해당하며, AWS나 다른 클라우드 환경에서는 해당 포트의 인바운드 규칙도 별도로 허용해야한다.
• 포트를 열 때 보안을 위해 실제로 필요한 포트만 열도록 유의한다.

Ubuntu에서 IP 테이블 설정

iptables 개념 및 명령어 (실행권한 부여를 위해 대부분 명령어에 sudo 붙여야함.)
[AWS] Ubuntu22.04 환경 EC2에서 스프링부트 런칭하기
AWS 서버 포트 Open하기

포트 포워딩

[AWS] EC2 포트 포워딩

EC2 포트번호 열기

기타

스프링 프로젝트 application.yml 설정

• application.yml 설정 (-server 등의 프로파일을 적용할 수도 있다.)

  • 프로파일을 적용하게 되면 Dockerfile의 스크립트나 깃허브액션 워크플로우 yml 파일의 스크립트에서 빌드 명령어도 이에 부합하게끔 수정해야 한다.

spring:
#  h2:
  #      enabled: true
  #      path: /h2
  #  datasource:
  #    url: jdbc:h2:mem:stackoverflow
  datasource: #datasource_url도 환경변수로 관리하자!
    url: jdbc:mysql://seveneleven.c1vvhrsbxo9y.ap-northeast-2.rds.amazonaws.com:3306/stackoverflow?useSSL=false&allowPublicKeyRetrieval=true&serverTimezone=Asia/Seoul
    username: ${MYSQL_ID} # 유저네임
    password: ${MYSQL_PASSWORD} # 비밀번호
    driver-class-name: com.mysql.cj.jdbc.Driver

  jpa:
    database-platform: org.hibernate.dialect.MySQL8Dialect
    database: mysql #h2
    show-sql: true
    hibernate:
      ddl-auto: update
    properties:
      hibernate:
        format_sql: true
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: ${G_CLIENT_ID}
            client-secret: ${G_CLIENT_SECRET}
            redirect-uri: http://ec2-3-36-128-133.ap-northeast-2.compute.amazonaws.com/login/oauth2/code/google
            scope:
              - email
              - profile
jwt:
  key:
    secret: ${JWT_SECRET_KEY}               # 민감한 정보는 시스템 환경 변수에서 로드
  access-token-expiration-minutes: 30
  refresh-token-expiration-minutes: 420

logging:
  level:
    org:
      hibernate:
        type:
          descriptor: trace

# swagger
springdoc:
  swagger-ui:
    path: /swagger
    operationsSorter: alpha
    tags-sorter: alpha
    disable-swagger-default-url: true
    display-request-duration: true
  api-docs:
    path: /api-docs
  show-actuator: true
  default-consumes-media-type: application/json
  default-produces-media-type: application/json
  paths-to-match:
    - /v1/**

mail:
  admin:
    address: ${ADMIN_EMAIL}