[AWS] Developer Associate #10 IaC(CloudFormation)

IaC란?

• Infrastructure as code (IaC)는 수동 프로세스 및 설정 대신 코드를 사용하여 인프라를 생성하고 관리하는 방식입니다.
• 코드와 VCS를 활용해 인프라의 버전을 관리할 수 있으며, 이를 통해 변경 사항을 쉽게 추적하고 이전 상태로 신속하게 롤백할 수 있습니다.
• 수동 인프라 관리는 시간이 오래 걸리고 휴먼 에러가 발생하여 일관성을 유지하기 어려우나, 코드로 인프라를 관리하면 배포를 자동화하고 동일한 환경을 반복적으로 재현할 수 있기 때문에 일관성을 유지할 수 있습니다.
• AWS는 IaC 서비스로 CloudFormation을 제공합니다.

CloudFormation

• CloudFormation은 인프라를 코드로 정의하여 AWS 리소스를 자동으로 생성, 관리, 업데이트하는 서비스입니다.
• Template은 AWS 리소스와 속성을 정의하는 YAML 또는 JSON 형식의 파일으로 CloudFormation으로 구축하려는 인프라의 설계도 역할을 합니다.
• CloudFormation은 Stack을 생성할 때마다 Template에 적힌 리소스를 프로비저닝합니다.
• Stack은 CloudFormation으로 배포하려는 AWS 리소스 그룹이며 Stack의 모든 리소스는 Template에 의해 정의됩니다.
• Stack을 삭제하면 CloudFormation은 Stack과 모든 리소스를 삭제합니다. Stack을 삭제하면서도 일부 리소스를 유지하려는 경우 삭제 정책(Deletion Policy)를 사용하면 됩니다.
• Template을 작성하여 CloudFormation에 업로드하면, CloudFormation은 Template을 S3에 저장하고, 이를 기반으로 AWS API를 호출하여 리소스를 프로비저닝합니다. 이렇게 생성된 리소스는 Stack으로 관리됩니다.
• Stack으로 관리하는 리소스를 업데이트하기 위해서는 새로운 템플릿으로 교체하거나 기존 템플릿을 수정해야 합니다.
• Stack을 업데이트하는 과정에서 리소스와 속성에 따라 기존 리소스가 중단되거나 전체 리소스를 삭제하고 새로 생성할 수 있습니다.
  이 과정에서 가용성에 문제가 생길 수 있기 때문에 업데이트 영향도를 파악하기 위해 Change Set을 사용할 수 있습니다.
  Change Set은 리소스 변경에 대해 요약을 하는 기능으로 실제로 Stack을 업데이트하지 않고 변경 사항을 확인할 수 있습니다.
• CloudFormation은 권한이 있는 작업만 수행할 수 있습니다.

CloudFormation - AWSTemplateFormatVersion과 Description

• AWSTemplateFormatVersion은 템플릿이 어떤 규칙을 따르고 있는지 지정하는 섹션입니다.
• Description은 템플릿을 설명하는 섹션으로 단순히 Description을 변경하는 것은 리소스에 영향을 미치지 않기 때문에 스택 업데이트로 이어지지 않습니다. 스택 업데이트가 발생하려면 리소스와 관련된 변경사항이 있어야합니다.

CloudFormation - Resources

• Resources는 템플릿에서 유일한 필수 섹션으로 CloudFormation에서 프로비저닝하고 구성하려는 AWS 리소스를 선언합니다.
• Resource type은 AWS 리소스의 종류를 정의하는 부분으로 AWS::ServiceName::ResourceType 형식입니다.
• Resource properties는 리소스에 대한 세부적인 정보를 정의하는 부분으로 리소스 타입에 따라 필수 속성과 옵션 속성이 있습니다.
• 리소스는 Logical ID(템플릿 내에서 사용하는 고유 식별자)와 Physical ID(실제 리소스에 할당된 고유 식별자)로 리소스를 식별하고 관리됩니다.

CloudFormation - Parameters

• Parameters은 사용자 정의 값을 입력하여 템플릿을 재사용 가능하고 유연하게 만들수 있습니다.
• 사용자의 입력이 부정확할 수 있기 때문에 제약 조건을 설정하여 Parameters의 값을 검증할수 있습니다.

CloudFormation - Outputs

• Outputs은 스택 생성 후에 참조하고 싶은 값을 정의하는 데 사용됩니다.
• Outputs은 CI/CD 파이프라인, 자동화 스크립트에서 활용하거나, 다른 스택에서 참조 및 디버깅 용도로 활용할 수 있습니다.
• 비밀번호나 민감한 정보는 Output으로 출력하지 않는 것이 좋습니다.

CloudFormation - Mappings

• Mappings은 특정 조건에 따라 값을 지정하는데 사용할 수 있는 key-value 쌍을 만드는데 사용됩니다.
• Mappings는 Template 내에 하드코딩 된 고정 변수로 Region, AZ, AWS 계정 등과 같은 변수가 가질 수 있는 모든 값을 알고 있을 때 적합합니다.

CloudFormation - Conditions

• Conditions는 특정 조건에 따라 리소스를 생성하거나 속성을 설정하기 위해 사용됩니다.
• 예를 들어 테스트 환경과 프로덕션 환경에서 리소스 크기나 설정을 다르게 생성할 수 있습니다.

CloudFormation - Intrinsic Functions

• CloudFormation의 내장 함수(Intrinsic Functions)는 스택을 관리하는데 도움이 되는 기능으로 리소스와 속성을 유연하게 정의하는데 유용합니다.
• Ref는 특정 리소스나 파라미터의 값을 참조하기위해 사용하는 함수입니다. Ref는 리소스마다 반환하는 값이 정해져있고 EC2의 경우 인스턴스의 물리적 ID를 반환합니다.
• Fn::GetAtt는 템플릿 내 리소스의 속성 값을 반환하는 함수입니다. Fn::GetAtt은 템플릿 외부 리소스의 속성에는 접근할 수 없습니다.
• Fn::ImportValue는 다른 스택의 OutPuts 섹션에서 Export로 내보낸 값을 현재 스택으로 가져오는데 사용하는 함수입니다.
• Fn::FindInMap은 Mappings 섹션에서 키를 사용하여 특정 값을 찾는경우 사용하는 함수입니다.

CloudFormation - Rollback

• CloudFormation Rollback은 스택을 생성하는 작업이나 업데이트하는 작업이 실패 했을때 스택을 이전 상태로 돌리는 프로세스입니다.
• 스택 생성 중 실패한다면 기본적으로 모든 리소스가 삭제되고 업데이트 중 실패한다면 기존의 상태로 롤백하여 업데이트 이전의 안전한 상태로 원복합니다.
• 롤백에 실패하는 경우 스택은 UPDATE_ROLLBACK_FAILED 상태로 남게되는데 롤백 실패 원인을 해결한 뒤 ContinueUpdateRollback로 롤백을 재시도할 수 있습니다.

CloudFormation - Drift

• CloudFormation을 통해 리소스를 관리하는 경우에 사용자가 리소스를 임의로 수정하는 경우 Drift가 발생했다고 합니다.
• Drift Detection을 사용하면 CloudFormation 관리 외부에서 변경된 스택 리소스를 식별할 수 있습니다.

CloudFormation - Custom resources

• Custom resource는 CloudFormation이 지원하지 않는 AWS 서비스나 외부 리소스를 프로비저닝하고 관리할 수 있도록 하는 기능입니다.
  이를 통해 CloudFormation의 기본 제공 리소스로 표현할 수 없는 복잡한 로직이나 워크플로우를 구현하는 경우 사용합니다.
• Custom resource은 AWS::CloudFormation::CustomResource 또는 Custom::MyCustomResourceTypeName(권장 사항)으로 정의합니다.

CloudFormation - Security

• DeletionPolicy은 스택이 삭제될 때 리소스의 처리 방식을 지정하는 속성입니다.
• DeletionPolicy은 Delete(기본값, 리소스 삭제), Retain(리소스 유지), Snapshot(스냅샷 생성 후 삭제, 리소스가 스냅샷을 지원하는 경우)를 지원합니다.
• 기본적으로 스택 업데이트 권한이 있는 사용자는 스택의 모든 리소스를 업데이트할 수 있습니다.
  그러나 이는 의도하지 않은 리소스 변경이나 재생성을 유발할 수 있습니다.
  Stack Policy는 스택 업데이트 중에 보호하고자 하는 리소스와 허용된 작업을 정의하는 JSON 문서로 의도하지 않은 리소스 변경을 방지할 수 있습니다.
• Service role은 CloudFormation이 스택 작업(생성 및 업데이트)을 수행할 때 사용하는 IAM Role로 CloudFormation이 수행할 수 있는 작업을 명시적으로 지정합니다.
• Service role을 지정하지 않으면 스택 작업을 시작한 사용자의 IAM 자격 증명을 기반으로 CloudFormation 스택 작업이 수행됩니다.
• Service role을 지정하면 해당 스택은 모든 작업에 해당 롤을 사용하고 스택이 생성된 후에는 스택에 연결된 서비스 역할을 제거할 수 없습니다.
• 스택에서 Termination protection을 활성화하면 우발적인 삭제를 방지할 수 있습니다. 기본적으로 Termination protection은 비활성화되어 있습니다.
• Capabilities는 CloudFormation CreateStack의 요청 파라미터로 템플릿에 IAM 리소스를 생성하는 내용이 포함되어 있거나 매크로가 포함된 경우 명시적으로 승인하기 위해 사용됩니다.
  Capabilities를 지정하지 않으면 InsufficientCapabilities 오류가 발생합니다.

CloudFormation - Stack Sets

• Stack Set을 사용하면 한 번의 작업으로 하나의 CloudFormation 템플릿을 여러 AWS 계정과 리전에 배포할 수 있습니다.
• StackSets는 Organization 전체에 보안 정책을 적용하는 등 멀티 계정 및 멀티 리전 환경에서 인프라를 일관되게 배포하고 관리할 수 있게 해주는 강력한 도구입니다.