[Github Action & Docker]자동: Github Action으로 CI / CD 모두 자동 처리 #3

실습 #3

앞선 포스팅에서 언급했듯, 매번 배포 시, GitHub Actions가 Docker Hub에 이미지를 푸시하고, 개발자가 EC2에 직접 접속해 수동으로 이미지를 가져와 실행하는 것은 번거롭고 비효율적이다. 따라서, Github Actions가 이미지를 Docker Hub에 푸시한 후 자동으로 EC2에 접속해 이미지를 Pull하고 컨테이너를 실행하도록 설정하면 훨씬 더 수월하고 편리하게 자동 배포를 수행할 수 있다.

 

따라서 이번 포스팅에선 자동으로 이미지를 Pull, 컨테이너를 실행하도록 설정하는 작업 과정을 포스팅할 예정이다.

• 이 자동화 방식에서는 GitHub Actions가 EC2에 SSH로 접근해 다음 작업을 처리할 수 있다.
  1. Docker Hub에서 최신 이미지 Pull: 새로운 이미지가 생성되고 Docker Hub에 푸시되면 GitHub Actions가 EC2에 접속하여 해당 이미지를 자동으로 가져온다.
  2. 컨테이너 실행: GitHub Actions가 이미지를 받아와 컨테이너를 실행, 배포까지 완전 자동화 할 수 있다.

1. CI: Github 내 Java 코드를 Github Actions로 가져와 Docker 빌드

위치: Github Actions

• Java 코드에 대한 테스트 과정은 따로 진행하지 않고, Java 빌드 먼저 시작 후 Docker Image를 빌드.

2. CD: AWS EC2 생성 후 내부 접속하여 CI로 만든 Docker 이미지 실행

위치: AWS EC2 = 애플리케이션(프로그램)이 구동 될 서버

• 개발자가 직접 AWS EC2에 접속  → Github Actions이 직접 AWS EC2에 접속
  • Github Actions에서 EC2에 접근가능 하도록 설정하기 위해 AWS IAM을 통해 EC2에 대한 Github Actions의 권한을 설정 해야한다.

2.1. AWS IAM 설정: Github Actions가 EC2에 접근할 계정 생성

AWS IAM 이란?

• AWS 서비스에 대한 접근 권한을 가진 사용자를 생성하는 서비스
  • 이번에 생성할 사용자는 "Github Actions에서 AWS EC2에 접근 가능" 사용자
  • 사용자 생성 시 설정하는 Access Key를 GitHub Actions에 저장하여 AWS Console로 EC2에 접근 원리
    • Access Key는 외부에 노출되서는 안되고, 안전하게 저장되어야 한다.

1. IAM 사용자 생성

• 사용자 생성 버튼 클릭.

 

1-2. IAM 생성과 동시에 권한 설정 (위 이미지에 다음 버튼을 누르면 이동한다)

• 권한 정책에 EC2FullAccess를 검색 → AmazonEC2FullAccess를 선택한다.

 

1-3. IAM 생성 후 액세스 키 설정

• 액세스 키 만들기 클릭

• AWS 외부 (Github Actions)에서 접근할 것이기 때문에 해당 옵션(AWS 외부에서 실행되는 애플리케이션)을 클릭한

• 이 때 생성되는 액세스 키와 비밀 액세스 키는 반드시 따로 저장하여 보관하여야 한다. Docker Hub Access Key와 마찬가지로 처음 생성할때만 확인할 수 있음 ! (이미지 상단 초록색 설명에도 명시되어있다.)

2. IAM을 통해 EC2에 접근하기 위한 설정: ID, Password 접근 방법으로 설정

• EC2에 SSH로 접근할 때, IAM 계정을 사용하는 두 가지 대표적인 방법이 있다.
  1. 비대칭 키(.pem)를 사용하여 EC2에 SSH 연결(개발 친화적)
  2. 아이디/비밀번호를 사용하여 EC2에 SSH 연결(초보 친화적)
• 이번엔 두 번째 방법인 아이디/비밀번호를 통해 EC2에 접근하여, 이를 위해 GitHub Actons에 EC2 아이디와 비밀번호 설정을 미리 해두어야 한다.

2-1. EC2 아이디 및 비밀번호 설정

• 아이디 확인: 기본적으로 EC2의 아이디는 ec2-user → whoami 명령어로 확인할 수 있다.

• 비밀번호 설정: 아래 명령어를 입력하면, 비밀번호 입력창이 나온다. | 아이디가 ec2-user라고 가정

sudo passwd ec2-user

 

2-2. 패스워드 연결 방식 사용 설정

• EC2에 SSH 기본 연결 방법은 두 번째 방법인 아이디/패스워드 방법이 아닌 비대칭 .pem키 기반이라 설정을 변경해야한다.

sudo vi /etc/ssh/sshd_config

• 65번째 라인에 PasswordAuthentication no를 yes로 변경 후 저장한다.

• sshd service 재시작 : 설정 저장 후 변경사항을 적용하기 위해 restart를 해줘야 한다.

sudo systemctl restart sshd

 

2-3. Github Actions Secret Key 등록

 

이전에 설정한 Secret Key(DOCKERHUB_USERNAME, DOCKERHUB_PW) 외에도 이번에 추가적으로 설정해야하는 Secret Key가 많다. (https://1000sang-dev.tistory.com/68) 

 

• Github Actions에서 EC2 접근을 위한 IAM 사용자 권한을 얻기 위한 키 (본문 1-3)
  • AWS_ACCESS_KEY_ID: IAM에서 설정한 Access Key(액세스 키) 
  • AWS_SECRET_ACCESS_KEY: IAM에서 설정한 Secret Access Key(비밀 액세스 키)

AWS_ACCESS_KEY_ID 설정

AWS_SECRET_ACCESS_KEY 설정

• IAM 사용자 권한을 얻은 Github Actions에서 EC2 접근 시 필요한 정보 → IP + Port + 방화벽(SG) + 아이디 + 패스워드
  • EC2_HOST: IP = EC2의 퍼블릭 IPv4 주소 (예: 3.35.235.247)
  • EC2_SSH_PORT: Port = SSH로 접근할 포트 (예:22)
  • AWS_SG_ID: 방화벽(SG, Security Group) = EC2의 보안 그룹 ID (예: sg-007340c03dfb03d73)

EC2_HOST 설정

 

EC2_SSH_PORT 설정

AWS_SG_ID 설정

• EC2_USERNAME: 아이디 = EC2의 계정명(예: ec2-user)
• EC2_PASSWORD: 패스워드 = EC2에 설정해두었던 패스워드 (본문 2-1)

EC2_USERNAME 설정

EC2_PASSWORD 설정

• 최종적인 Secret Key

 

2.2. Github Actions 스크립트 수정

• 라인별로 어떤 속성인지 알고싶으면 해당 포스팅을 참고하자 !

https://1000sang-dev.tistory.com/67

[Github Action & Docker] CI / CD 배포

 

name: Java CI with Gradle

# main 브랜치에 push 혹은 pull request 가 merged 시 동작.
on:
  push:
    branches: [ "main" ]

jobs:
  deploy:
    runs-on: ubuntu-latest
      
    steps:
      # (1) 프로그램 빌드 (Java 빌드) 1) Java 및 Docker 빌드를 위한 환경 설정
      - uses: actions/checkout@v3
      - name: Set up JDK 17
        uses: actions/setup-java@v3
        with:
          java-version: '17'
          distribution: 'temurin'

      # (1) 프로그램 빌드 (Java 빌드) 2) Java 빌드를 위한 ./gradlew 파일 권한 변경
      - name: Run chmod to make gradlew executable
        run: chmod +x ./gradlew

      # (1) 프로그램 빌드 (Java 빌드) 3) Java 빌드
      - name: Spring Boot Build
        run: ./gradlew clean build

      # (2) Docker 이미지 빌드 1) DockerFile 을 기반으로 Docker Image 빌드
      - name: docker image build
        run: docker build -t ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo .

      # (2) Docker 이미지 빌드 2) Docker Hub 에 Login
      - name: docker login
        uses: docker/login-action@v2
        with:
          username: ${{ secrets.DOCKERHUB_USERNAME }}
          password: ${{ secrets.DOCKERHUB_PW }}

      # (2) Docker 이미지 빌드 3) Docker Hub 에 빌드된 이미지 push
      - name: docker Hub push
        run: docker push ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo

      # (3) CD : Docker 컨테이너 수행 1) Get GitHub IP
      - name: get GitHub IP
        id: ip
        uses: haythem/public-ip@v1.2

      # (3) CD : Docker 컨테이너 수행 2) Configure AWS Credentials - AWS 접근 권한 취득(IAM)
      - name: Configure AWS Credentials
        uses: aws-actions/configure-aws-credentials@v1
        with:
          aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
          aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
          aws-region: ap-northeast-2

      # (3) CD : Docker 컨테이너 수행 3) Add github ip to AWS
      - name: Add GitHub IP to AWS
        run: |
          aws ec2 authorize-security-group-ingress --group-id ${{ secrets.AWS_SG_ID }} --protocol tcp --port 22 --cidr ${{ steps.ip.outputs.ipv4 }}/32

      # (3) CD : Docker 컨테이너 수행 4) AWS EC2 Server Connect & Docker 명령어 실행
      - name: AWS EC2 Connection
        uses: appleboy/ssh-action@v0.1.6
        with:
          host: ${{ secrets.EC2_HOST }}
          username: ${{ secrets.EC2_USERNAME }}
          password: ${{ secrets.EC2_PASSWORD }}
          port: ${{ secrets.EC2_SSH_PORT }}
          timeout: 60s
          script: |
            sudo docker stop github-actions-demo
            sudo docker rm github-actions-demo
            sudo docker rmi ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo
#           sudo docker pull ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo
            sudo docker run -it -d -p 8080:8080 --name github-actions-demo ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo

      # (3) CD : Docker 컨테이너 수행 5) Remove Github IP from security group
      - name: Remove IP FROM security group
        run: |
          aws ec2 revoke-security-group-ingress --group-id ${{ secrets.AWS_SG_ID }} --protocol tcp --port 22 --cidr ${{ steps.ip.outputs.ipv4 }}/32

 

프로젝트에 action.yml 적용 #1

프로젝트에 action.yml 적용 #2

2.3. Github Action 스크립트 내 CD 스크립트 부분 이해하기

1. Get Github IP

• 현재 GitHub Actions 인스턴스의 IP 주소를 확인한다.
• 이 IP 주소를 EC2 보안 그룹에 추가해줘야, GItHub Actions 인스턴스가 EC2에 접속할 수 있다.

2. Configure AWS Credentials

• GitHub Actions 인스턴스가 AWS 서비스에 접근할 수 있도록 IAM 사용자 권한을 설정한다.

3. Add GitHub IP to AWS

• GitHub Actions 인스턴스의 IP와 포트를 EC2 보안 그룹에 추가해 GitHub Actions 인스턴스가 EC2에 접근할 수 있도록 설정한다.

4. AWS EC2 Server Connect

• EC2에 연결된 상태에서 필요한 명령어를 실행한다.
  • Docker Hub에서 빌드 후 Push된 Docker 이미지를 Pull하고 Run한다.
  • 기존에 실행 중인 컨테이너가 있다면, 이를 정지하고 삭제한 후 새로운 Docker 컨테이너를 시작한다

sudo docker stop github-actions-demo
sudo docker rm github-actions-demo
sudo docker run -it -d -p 8080:8080 --name github-actions-demo ${{ secrets.DOCKERHUB_USERNAME }}/github-actions-demo

 

5. Remove GitHub IP from Security Group

• GitHub Actions 인스턴스의 IP를 EC2 보안 그룹에서 제거하여 보안을 유지한다.
• 보안 그룹이 매번 새 GitHub Actions 인스턴스에 열리지 않도록 IP를 제거한다.

2.4. 성공 확인

 

블로그 #1 ~ #3 정리

주체:

• GitHub Actions 인스턴스: GitHub가 제공하는 무료 서버로, GitHub Actions 스크립트를 실행하는 주체.
• AWS EC2 인스턴스: 애플리케이션이 배포될 서버.

절차:

1. GitHub Actions에서 Java 코드 빌드

• GitHub Actions 인스턴스가 GitHub Repository에서 Java 소스 코드를 가져와 Java 빌드를 수행.

2. Docker 이미지 빌드 및 푸시

• 빌드된 JAR 파일을 사용해 Docker 이미지를 생성하고, Docker Hub에 푸시(Push)

3. AWS EC2 접근 설정

• GitHub Actions 인스턴스가 EC2에 접속할 수 있도록 설정하기 위해 두 가지 작업이 필요 :
  1. AWS EC2 보안 그룹(SG) 조작
     • GitHub Actions 인스턴스가 EC2에 접속할 수 있도록 EC2 방화벽(SG)에서 22 포트를 허용해야함.
     • 이를 위해 GitHub Actions 인스턴스가 AWS EC2 보안 그룹을 조작할 수 있는 IAM 권한이 필요하다.
     • GitHub Actions 인스턴스가 IAM 권한을 통해 자신의 IP를 보안 그룹에 등록한다.
  2. EC2 SSH 접근 설정
     • GitHub Actions 인스턴스가 EC2 SSH 접속을 위해 아이디/비밀번호를 사용하여 접근한다.

4. AWS EC2에서 Docker 컨테이너 실행

• EC2에 접근이 성공하면, Docker Hub에서 이미지를 Pull하여 컨테이너로 실행한다.(Run)

 

---

 

ℹ️ 참고

[ASAC 6기 강의자료]