프로젝트 이름 - 클라우드 인프라 및 IaC 위키

인프라 개요

클라우드 제공자 및 지역

제공자	주요 리전	보조 리전	용도
AWS	ap-northeast-2	us-west-2	프로덕션 환경
AWS	ap-northeast-1	-	스테이징 환경
GCP	asia-northeast3	-	백업 저장소

# 프로젝트 이름 - 클라우드 인프라 및 IaC 위키

[운영 환경 대시보드](여기에_대시보드_URL_삽입)

[인프라 레포지토리](여기에_IaC_레포_URL_삽입)

인프라 개요

클라우드 제공자 및 지역

제공자	주요 리전	보조 리전	용도
AWS	ap-northeast-2	us-west-2	프로덕션 환경
AWS	ap-northeast-1	-	스테이징 환경
GCP	asia-northeast3	-	백업 저장소

주요 서비스 구성

서비스	버전/타입	목적	비용 예상
EKS	1.28	컨테이너 오케스트레이션	$XXX/월
RDS	MySQL 8.0	데이터베이스	$XXX/월
S3	-	정적 자산 저장	$XXX/월
CloudFront	-	CDN	$XXX/월
VPC	-	네트워크 격리	$XXX/월

인프라 버전 관리 정책

IaC 코드는 버전별로 태그를 부여하며, 주요 변경 사항이 있을 경우 v1.x.x 형식으로 버전을 증가시킵니다.
프로덕션 환경은 항상 테스트된 안정적인 버전만 적용합니다.
모든 변경 사항은 PR 및 승인 과정을 거쳐야 합니다.

아키텍처 다이어그램

전체 아키텍처

전체 아키텍처 다이어그램

네트워크 구성

네트워크 다이어그램

VPC 구성

구성 요소	프로덕션	스테이징	개발
VPC 이름	prod-main-vpc	staging-main-vpc	dev-main-vpc
VPC CIDR	10.0.0.0/16	10.1.0.0/16	10.2.0.0/16
가용 영역	3개 (a, b, c)	2개 (a, b)	1개 (a)
퍼블릭 서브넷	prod-public-subnet-1a (10.0.0.0/20) prod-public-subnet-1b (10.0.16.0/20) prod-public-subnet-1c (10.0.32.0/20)	staging-public-subnet-1a (10.1.0.0/20) staging-public-subnet-1b (10.1.16.0/20)	dev-public-subnet-1a (10.2.0.0/20)
프라이빗 서브넷 (앱)	prod-app-subnet-1a (10.0.64.0/20) prod-app-subnet-1b (10.0.80.0/20) prod-app-subnet-1c (10.0.96.0/20)	staging-app-subnet-1a (10.1.64.0/20) staging-app-subnet-1b (10.1.80.0/20)	dev-app-subnet-1a (10.2.64.0/20)
프라이빗 서브넷 (데이터)	prod-data-subnet-1a (10.0.128.0/20) prod-data-subnet-1b (10.0.144.0/20) prod-data-subnet-1c (10.0.160.0/20)	staging-data-subnet-1a (10.1.128.0/20) staging-data-subnet-1b (10.1.144.0/20)	dev-data-subnet-1a (10.2.128.0/20)
NAT 게이트웨이	prod-nat-1a, prod-nat-1b, prod-nat-1c	staging-nat-1a, staging-nat-1b	dev-nat-1a
인터넷 게이트웨이	prod-igw	staging-igw	dev-igw
Transit Gateway	prod-tgw (tgw-prod-01)	staging-tgw (tgw-stage-01)	미연결
VPC 엔드포인트	prod-s3-endpoint, prod-dynamodb-endpoint, prod-ecr-endpoint, prod-logs-endpoint	staging-s3-endpoint, staging-dynamodb-endpoint, staging-ecr-endpoint	dev-s3-endpoint

VPC 네트워크 흐름

┌────────────────────┐            ┌────────────────────┐
│   인터넷 게이트웨이   │◄──────────►│    퍼블릭 서브넷     │
└──────────┬─────────┘            └─────────┬──────────┘
           │                                │
           │                                ▼
           │                      ┌───────────────────┐
           │                      │   NAT 게이트웨이    │
           │                      └─────────┬─────────┘
           │                                │
           ▼                                ▼
┌───────────────────┐            ┌────────────────────┐
│ Transit Gateway   │◄──────────►│  프라이빗 서브넷(앱)  │
└───────────────────┘            └─────────┬──────────┘
                                           │
                                           ▼
                                 ┌────────────────────┐
                                 │프라이빗 서브넷(데이터)│
                                 └────────────────────┘

보안 아키텍처

보안 아키텍처 다이어그램

서비스 아키텍처

서비스 아키텍처 다이어그램

리소스 구성도

리소스	프로덕션	스테이징	개발
컴퓨팅
EKS 클러스터	prod-eks-cluster (v1.28)	staging-eks-cluster (v1.28)	dev-eks-cluster (v1.28)
EKS 노드 그룹	prod-eks-workers (m5.xlarge, 8-16대)	staging-eks-workers (m5.large, 4-8대)	dev-eks-workers (t3.medium, 2대)
EC2 (배스천 호스트)	prod-bastion-host (c5.xlarge)	staging-bastion-host (c5.large)	dev-bastion-host (t3.small)
EC2 (관리 서버)	prod-admin-server (c5.xlarge, 3대)	staging-admin-server (c5.large, 1대)	dev-admin-server (t3.small, 1대)
Lambda 함수	prod-data-processor prod-notifications prod-auth-service (그 외 17개)	staging-data-processor staging-notifications staging-auth-service (그 외 12개)	dev-data-processor dev-notifications dev-auth-service (그 외 12개)
데이터베이스
RDS 기본 클러스터	prod-main-db (db.r5.2xlarge, 다중 AZ)	staging-main-db (db.r5.large, 다중 AZ)	dev-main-db (db.t3.medium, 단일 AZ)
RDS 분석용 클러스터	prod-analytics-db (db.r5.2xlarge)	-	-
ElastiCache	prod-redis-cluster (cache.r5.large, 3노드)	staging-redis (cache.r5.large, 2노드)	dev-redis (cache.t3.medium, 1노드)
DynamoDB 테이블	prod-sessions prod-config prod-cache	staging-sessions staging-config staging-cache	dev-sessions dev-config dev-cache
스토리지
S3 버킷	prod-static-assets prod-user-uploads prod-logs prod-backups prod-artifacts	staging-static-assets staging-user-uploads staging-logs	dev-static-assets dev-user-uploads dev-logs
EBS 볼륨	prod-app-vol (gp3, 500GB) prod-data-vol (io2, 1TB)	staging-app-vol (gp3, 200GB) staging-data-vol (gp3, 500GB)	dev-app-vol (gp2, 100GB)
네트워킹
ALB	prod-external-alb prod-internal-alb	staging-alb	dev-alb
CloudFront	prod-cf-main prod-cf-assets	staging-cf	-
Route53	prod.example.com api.prod.example.com	staging.example.com api.staging.example.com	dev.example.local
보안
WAF	prod-waf (활성화)	staging-waf (활성화)	-
Shield	prod-shield (표준)	staging-shield (표준)	-
GuardDuty	prod-guard-duty (활성화)	staging-guard-duty (활성화)	-
KMS 키	prod-ebs-key prod-rds-key prod-s3-key	staging-ebs-key staging-rds-key	dev-key

리소스 확장 계획

프로덕션: 피크 시간 동안 EKS 노드 16대까지 자동 확장 (prod-eks-workers-scaling-policy)
스테이징: 필요 시 EKS 노드 8대까지 수동 확장 (staging-eks-scaling-request 티켓 필요)
개발: 고정 리소스 (필요 시 dev-resource-request 티켓으로 수동 증설)

IaC 구성

사용 기술 스택

도구	버전	용도
Terraform	1.5.x	클라우드 인프라 프로비저닝
AWS CDK	2.x	AWS 특화 리소스 관리
Ansible	2.15.x	서버 구성 관리
Packer	1.9.x	이미지 생성 자동화
Helm	3.12.x	Kubernetes 리소스 관리

디렉토리 구조

/
├── terraform/
│   ├── modules/
│   │   ├── networking/
│   │   ├── compute/
│   │   ├── database/
│   │   └── security/
│   ├── environments/
│   │   ├── prod/
│   │   ├── staging/
│   │   └── dev/
│   └── README.md
├── ansible/
│   ├── roles/
│   ├── inventories/
│   └── playbooks/
├── packer/
│   ├── base-images/
│   └── application-images/
├── helm/
│   ├── charts/
│   └── values/
└── scripts/
    ├── bootstrap/
    └── utilities/

모듈 설명

모듈	설명	의존성
networking	VPC, 서브넷, 게이트웨이 구성	없음
compute	EKS, EC2, Auto Scaling 구성	networking
database	RDS, DynamoDB 등 데이터 저장소	networking, security
security	IAM, 보안 그룹, KMS 등 보안 설정	networking

환경 설정

개발 환경 요구사항

AWS CLI v2.x
Terraform v1.5.x 이상
kubectl v1.26.x 이상
Docker v24.x 이상
AWS IAM 권한: 최소 요구 권한 목록 [링크]

로컬 개발 환경 설정

# 필수 도구 설치 (macOS 예시)
brew install terraform aws-cli kubectl helm

# AWS 프로필 설정
aws configure --profile project-name-dev

# 레포지토리 클론
git clone https://github.com/your-org/infrastructure-repo.git
cd infrastructure-repo

# 초기화
make init ENV=dev

환경별 변수 관리

.tfvars 파일을 환경별로 분리하여 관리
민감한 정보는 AWS Secrets Manager 또는 HashiCorp Vault에 저장
CI/CD 파이프라인에서는 환경 변수를 통해 안전하게 주입

배포 파이프라인

CI/CD 파이프라인 구성

CI/CD 다이어그램

배포 단계

코드 푸시: 개발자가 코드를 푸시하고 PR 생성
Terraform 유효성 검증: terraform validate, terraform plan
보안 검사: tfsec, checkov를 통한 코드 스캔
승인 단계: 인프라 변경 사항에 대한 수동 승인
적용: terraform apply 실행
검증: 인프라 Health Check, 연결성 테스트
알림: 배포 완료 또는 실패 알림

롤백 전략

자동 롤백: 배포 실패 시 이전 상태로 자동 롤백
수동 롤백: terraform state 관리를 통한 수동 롤백 절차
스냅샷 기반 복구: 중요 인프라의 정기적 스냅샷 생성

모니터링 및 알림

모니터링 도구

도구	용도	대시보드 URL
CloudWatch	AWS 리소스 모니터링	[링크]
Prometheus	Kubernetes 모니터링	[링크]
Grafana	시각화 대시보드	[링크]
ElasticSearch	로그 분석	[링크]

주요 알림 설정

알림 유형	임계값	대응 담당자	대응 절차
CPU 사용량	80% 이상	Platform 팀	[링크]
메모리 사용량	90% 이상	Platform 팀	[링크]
디스크 공간	85% 이상	Platform 팀	[링크]
오류율	5% 이상	개발팀	[링크]
보안 이벤트	심각도 HIGH	보안팀	[링크]

로깅 전략

중앙 집중식 로깅: ELK 스택 또는 CloudWatch Logs
로그 보존 정책: 운영 로그 30일, 보안 로그 1년
로그 익명화: PII 데이터 자동 마스킹

DR(재해 복구) 계획

RPO 및 RTO 목표

환경	RPO	RTO	전략
프로덕션	1시간	4시간	멀티 리전
스테이징	24시간	24시간	스냅샷 복구
개발	N/A	N/A	재구축

재해 복구 절차

상황 평가: 장애 범위 및 영향 평가
DR 선언: DR 계획 개시 결정
인프라 복구: 보조 리전에 인프라 프로비저닝 (Terraform)
데이터 복구: 최신 백업에서 데이터 복원
서비스 검증: 기능 및 성능 테스트
트래픽 전환: DNS 또는 로드 밸런서를 통한 트래픽 전환
알림: 이해관계자에게 상황 공유

DR 테스트 일정

분기별 테이블탑 연습
반기별 전체 DR 시뮬레이션
연간 비즈니스 연속성 계획 리뷰

리소스 관리

리소스 할당 정책

환경	CPU	메모리	스토리지	네트워크
프로덕션	Auto-scaling	Auto-scaling	GP3	전용 VPC
스테이징	제한적 Auto-scaling	제한적 Auto-scaling	GP2	공유 VPC
개발	고정 할당	고정 할당	GP2	공유 VPC

리소스 태깅 전략

태그 키	용도	예시
Project	프로젝트 식별	project:servicename
Environment	환경 구분	env:production
Owner	담당 팀/개인	owner:platform-team
Cost-Center	비용 센터	cost-center:12345
Terraform	Terraform 관리 여부	terraform:true

리소스 수명 주기 관리

개발 환경: 비사용 시간에 자동 종료 (비용 절감)
임시 환경: 최대 7일 후 자동 삭제
테스트 데이터: 90일 후 자동 정리

보안 규정 준수

규정 준수 표준

표준	범위	검증 주기	담당자
ISO 27001	전체 인프라	연간	보안팀
GDPR	개인정보 처리 시스템	반기	법무팀, 보안팀
PCI DSS	결제 관련 시스템	분기	결제팀, 보안팀

보안 스캔 및 감사

인프라 코드 보안 스캔: 매 PR 시 tfsec, checkov 실행
취약점 스캔: 주간 자동 스캔
침투 테스트: 분기별 수행
권한 감사: 월간 IAM 권한 검토

비밀 관리

HashiCorp Vault 또는 AWS Secrets Manager 사용
자동 로테이션: 90일마다 자동 갱신
긴급 자격 증명 로테이션 절차 [링크]

비용 최적화

비용 모니터링

도구	용도	대시보드
AWS Cost Explorer	월간 비용 추적	[링크]
CloudHealth	리소스 최적화 제안	[링크]
자체 비용 대시보드	팀별/서비스별 비용 할당	[링크]

비용 최적화 전략

예약 인스턴스/Savings Plans 활용
Auto-scaling 기반 수요 대응
개발/테스트 환경의 야간/주말 자동 종료
S3 Intelligent-Tiering 및 수명 주기 정책
EBS 볼륨 크기 최적화 및 gp3 활용

비용 보고 및 할당

주간 비용 리포트 자동 생성
월간 비용 검토 회의
팀/서비스별 비용 할당을 위한 태그 전략

트러블 슈팅

일반적인 문제 해결 가이드

주요 트러블 슈팅 사례

긴급 연락처

| 팀 | 담당자 | 연락처 | 비상 연락 채널 | |——|————|————|————————| | 인프라 팀 | 이름 | 이메일/전화 | Slack #인프라-긴급 | | 보안 팀 | 이름 | 이메일/전화 | Slack #보안-인시던트 | | 클라우드 제공자 | AWS 기술지원 | 계정 번호 | AWS Support 포털 |

cloud template - 100-hours-a-week/2-hertz-wiki GitHub Wiki

프로젝트 이름 - 클라우드 인프라 및 IaC 위키

목차

인프라 개요

클라우드 제공자 및 지역

[운영 환경 대시보드](여기에_대시보드_URL_삽입)

인프라 개요

클라우드 제공자 및 지역

주요 서비스 구성

인프라 버전 관리 정책

아키텍처 다이어그램

전체 아키텍처

네트워크 구성

VPC 구성

VPC 네트워크 흐름

보안 아키텍처

서비스 아키텍처

리소스 구성도

리소스 확장 계획

IaC 구성

사용 기술 스택

디렉토리 구조

모듈 설명

환경 설정

개발 환경 요구사항

로컬 개발 환경 설정

환경별 변수 관리

배포 파이프라인

CI/CD 파이프라인 구성

배포 단계

롤백 전략

모니터링 및 알림

모니터링 도구

주요 알림 설정

로깅 전략

DR(재해 복구) 계획

RPO 및 RTO 목표

재해 복구 절차

DR 테스트 일정

리소스 관리

리소스 할당 정책

리소스 태깅 전략

리소스 수명 주기 관리

보안 규정 준수

규정 준수 표준

보안 스캔 및 감사

비밀 관리

비용 최적화

비용 모니터링

비용 최적화 전략

비용 보고 및 할당

트러블 슈팅

일반적인 문제 해결 가이드

주요 트러블 슈팅 사례

긴급 연락처

⚠️ **GitHub.com Fallback** ⚠️

⚠️ GitHub.com Fallback ⚠️