Add terraform CI(Github Actions)

[kibanana]

No description provided.

[infracost]

💰 Infracost report

This pull request is aligned with your company's FinOps policies and the Well-Architected Framework.

Monthly estimate generated

Estimate details (includes details of unsupported resources)

Key: * usage cost, ~ changed, + added, - removed

──────────────────────────────────
Key: * usage cost, ~ changed, + added, - removed

*Usage costs can be estimated by updating Infracost Cloud settings, see docs for other options.

160 cloud resources were detected:
∙ 26 were estimated
∙ 132 were free
∙ 2 are not supported yet, see https://infracost.io/requested-resources:
  ∙ 2 x azurerm_storage_account_queue_properties

---

There are also 101 pre-existing issues in the master branch. Fix some to climb your org’s leaderboard 🥇

_{This comment will be updated when code changes.}

[github-actions]

Good:

• Terraform 버전 명시 및 terraform fmt -check 추가: Terraform 버전을 명확히 지정하고, terraform fmt -check를 통해 코드 스타일 일관성을 유지하려는 시도는 좋습니다. 이는 코드의 가독성과 유지보수성을 향상시킵니다.
• 단계별 명확한 작업 분리: terraform init, terraform plan, terraform apply 등 각 단계를 명확하게 분리하여 작업 흐름을 이해하기 쉽게 만들었습니다. 특히 terraform plan 결과를 아티팩트로 저장하고, terraform apply는 별도의 job으로 분리한 점이 좋습니다.
• Pull Request 및 Main 브랜치에 대한 조건부 실행: pull_request 와 main 브랜치에 따라 terraform plan 과 terraform apply 작업을 적절히 분리하여 실행하도록 설정한 점이 좋습니다. 실수로 apply가 실행되는 것을 방지하는 안전장치입니다.

Bad:

• ARM_ACCESS_KEY 직접 사용: ARM_ACCESS_KEY 와 같은 민감한 정보를 직접 GitHub Actions에 저장하는 것은 보안상 매우 위험합니다. Azure AD Application 및 Managed Identity를 활용하여 접근 권한을 관리하는 것이 좋습니다.
• terraform show를 이용한 Plan 출력 방식: terraform show 는 가독성이 좋지 않으며, 오류 발생 시 문제 해결이 어려울 수 있습니다. terraform plan 의 출력을 더 효과적으로 표현하는 방법을 고려해야 합니다. 예를 들어, terraform plan의 출력을 JSON 형태로 저장하고, 이를 적절하게 처리하는 방식을 사용하는 것이 더 나을 수 있습니다.
• 수동 승인 프로세스의 제한: 수동 승인 단계에서 approvers: kibanana 와 같이 특정 사용자만 승인할 수 있도록 하였으나, 실제 운영 환경에서는 더욱 강력하고 안전한 승인 프로세스(예: 여러 승인자 필요, RBAC 연동 등)가 필요할 수 있습니다.

Action Suggestion:

• ARM_ACCESS_KEY를 Azure Managed Identity로 대체: Azure Managed Identity를 사용하여 Azure 리소스에 접근하도록 코드를 수정해야 합니다. 이는 보안을 크게 강화합니다.
• terraform plan 출력 가공 방식 개선: 더 효율적이고 가독성 높은 방식으로 terraform plan의 출력을 처리하는 방법을 모색해야 합니다. 예를 들어, terraform show 대신 JSON 형태의 출력을 파싱하여 PR에 보기 좋게 표시하는 방법을 고려하십시오.
• 수동 승인 프로세스 강화: 더욱 안전하고 효율적인 승인 프로세스(예: 여러 승인자, RBAC 연동, 승인 기간 제한 등)를 구현해야 합니다. 단순한 수동 승인은 운영상의 위험을 야기할 수 있습니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 파일의 변수 및 모듈 호출 부분이 잘 정리되어 가독성이 높아졌습니다. 들여쓰기와 줄 바꿈을 일관되게 적용하여 코드를 보기 편하게 만들었습니다. 특히, module 블록 내 변수 할당이 명확해졌습니다.

• GitHub Actions Workflow 개선: Terraform Plan 단계에서 detailed-exitcode를 사용하여 Plan 실패 여부를 정확하게 판별하고, Pull Request에 Plan 결과를 보여주는 방식이 효율적입니다. GITHUB_STEP_SUMMARY를 활용하여 요약 정보를 표시하는 것도 좋습니다. manual-approval 액션을 통해 main 브랜치에 대한 Terraform Apply를 수동 승인하도록 한 점도 안전성을 높였습니다.

• 보안 강화를 위한 변수 관리: terraform.tfvars.example 파일에 중요한 정보 (예: Azure Subscription ID, Secret Keys, Database Credentials)를 분리하여 관리하도록 한 점이 매우 좋습니다. terraform.tfvars 파일은 버전 관리에서 제외해야 한다는 점을 명시한 것도 훌륭합니다.

Bad:

• main 브랜치에 대한 Terraform Apply 자동화: main 브랜치에 대한 Terraform Apply가 수동 승인을 거치지만, 실수로 자동화될 가능성을 완전히 배제할 수 없습니다. 더욱 엄격한 승인 프로세스를 고려해 볼 필요가 있습니다.

• 에러 핸들링 개선: GitHub Actions Workflow에서 에러 발생 시 더 자세한 에러 로그를 남기도록 개선할 필요가 있습니다. 현재는 Terraform Plan Failed! 메시지만 출력되므로 디버깅에 어려움이 있을 수 있습니다.

• 변수 검증 강화: 일부 변수에 대한 검증이 부족합니다. 예를 들어, IP 주소 범위의 유효성 검사를 더욱 강화할 수 있습니다.

Action Suggestion:

• main 브랜치에 대한 Terraform Apply는 최소 두 명 이상의 승인자가 필요하도록 GitHub Actions Workflow를 수정합니다. 또한, Apply 전에 추가적인 확인 단계 (예: Slack 알림)를 추가하는 것을 고려합니다.

• GitHub Actions Workflow 로그 레벨을 높이고, 각 단계의 출력을 자세하게 기록하여 에러 발생 시 디버깅이 용이하도록 합니다.

• variables.tf 파일의 변수 검증을 강화하여 유효하지 않은 값이 입력되는 것을 방지합니다. 특히, IP 주소 범위, 이메일 주소 등에 대한 정규식 검증을 추가합니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 파일의 코드 정리가 잘 되어 가독성이 높아졌습니다. 불필요한 공백이나 줄바꿈이 제거되고, 변수 및 모듈 호출이 일관되게 정렬되어 코드를 이해하기 쉬워졌습니다. 특히, main.tf 파일에서 모듈 호출 부분이 눈에 띄게 개선되었습니다.
• GitHub Actions Workflow 개선: GitHub Actions를 이용하여 Terraform Plan 및 Apply 과정을 자동화한 점이 좋습니다. Pull Request 시에는 Plan만 실행하고, main 브랜치 push 시에는 승인 절차를 거쳐 Apply 하는 방식으로 안전성을 확보했습니다. terraform.tfvars 파일을 Secrets로 관리하는 것 또한 보안 측면에서 긍정적입니다.
• 세분화된 에러 처리: Terraform Plan 단계에서 exitcode를 사용하여 Plan 실패 시 Workflow를 중단하고 에러 메시지를 출력하도록 처리한 부분은 안정적인 운영에 기여할 것입니다. Pull Request에 Plan 결과를 보여주는 기능도 유용합니다.

Bad:

• 하드코딩된 값: 여러 곳에 하드코딩된 값들이 존재합니다. 예를 들어, terraform.tfvars.example 파일의 많은 변수들이 실제 값으로 채워져야 하며, 이러한 값들은 환경 변수 또는 다른 설정 파일을 통해 관리하는 것이 더 좋습니다. 특히, 보안에 민감한 정보(암호, 키 등)는 Secrets 관리 시스템을 통해 안전하게 관리해야 합니다.
• 복잡한 GitHub Actions Workflow: GitHub Actions Workflow가 다소 복잡합니다. 특히, Plan 결과를 String으로 변환하여 PR에 주석으로 남기는 부분은 개선의 여지가 있습니다. 더 간결하고 효율적인 방법을 고려해 볼 수 있습니다. terraform apply 단계에서의 수동 승인 절차는 편리하지만, 더 자동화된 승인 시스템을 고려하는 것도 좋을 것 같습니다.
• terraform.tfvars 관리: terraform.tfvars 파일 자체는 Git에 commit 되지 않도록 했지만, terraform.tfvars.example 파일이 너무 많은 정보를 포함하고 있습니다. 민감한 정보를 제외하고 필수적인 변수만 example 파일에 남기고, 나머지는 별도의 secure한 방법으로 관리하는 것을 고려해 볼 필요가 있습니다.

Action Suggestion:

• 환경 변수 및 설정 파일 사용: terraform.tfvars 파일에 있는 값들을 환경 변수 또는 별도의 설정 파일로 분리하여 관리합니다. Secrets 관리 시스템을 활용하여 민감한 정보를 안전하게 보관합니다.
• GitHub Actions Workflow 단순화: Plan 결과를 PR에 출력하는 방식을 개선합니다. 예를 들어, GitHub Actions의 built-in 기능을 활용하거나, Terraform Cloud와 연동하는 것을 고려할 수 있습니다. 자동 승인 시스템 도입을 검토합니다.
• terraform.tfvars.example 파일 간소화: terraform.tfvars.example 파일에서 보안에 민감하지 않은 필수적인 변수만 남기고, 나머지 변수들은 별도로 관리하는 방안을 마련합니다. 그리고, 각 변수에 대한 설명을 더욱 자세히 추가합니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 및 모듈 내 코드 정리가 잘 되어 가독성이 높아졌습니다. 들여쓰기 및 변수 명칭도 일관성 있게 사용되어 좋습니다. 특히, 주석을 추가하여 각 변수와 모듈의 역할을 명확하게 설명한 부분이 인상적입니다.
• 보안 강화: terraform.tfvars.example 파일을 통해 중요한 정보(Azure Subscription ID, 비밀번호 등)를 명확히 분리하고, .gitignore에 추가하여 실제 값을 저장소에 커밋하지 않도록 한 점이 훌륭합니다. 또한, 허용 IP 범위를 명시적으로 설정하여 보안을 강화한 부분도 좋습니다.
• GitHub Actions의 효율적인 사용: GitHub Actions를 활용하여 Terraform Plan 및 Apply 과정을 자동화하고, Pull Request 단계에서 Plan 결과를 검토하도록 구성한 점이 좋습니다. manual-approval 액션을 사용하여 main 브랜치에 대한 Terraform Apply를 수동으로 승인하도록 한 부분은 production 환경 배포 시 중요한 안전장치입니다.

Bad:

• GitHub Actions 복잡성: GitHub Actions의 workflow가 다소 복잡하게 구성되어 있습니다. 각 스텝의 역할과 흐름을 명확하게 파악하기 어려운 부분이 있습니다. 더 간결하고 직관적인 워크플로우를 고려해 볼 필요가 있습니다. 특히 tf-plan-string 스텝에서 openssl을 사용하는 부분은 다른 방법(예: jq 등)으로 대체하는 것이 더 나을 수 있습니다.
• terraform.tfvars 관리: terraform.tfvars 파일을 GitHub Actions 내부에서 생성하는 방식은 보안상 취약할 수 있습니다. secrets를 사용하는 것은 좋지만, terraform.tfvars 파일 자체를 repository 외부에서 관리하는 것이 더 안전할 수 있습니다.
• 에러 핸들링: 일부 에러 핸들링 부분이 부족합니다. 예를 들어, Azure API 호출 실패 시 적절한 에러 처리가 필요합니다.

Action Suggestion:

• GitHub Actions 단순화: GitHub Actions workflow를 여러 개의 작은 workflow로 분리하고, 각 workflow의 역할을 명확하게 정의합니다. tf-plan-string 스텝의 openssl 부분을 다른 도구로 대체하고, 에러 핸들링을 개선합니다.
• terraform.tfvars 관리 개선: terraform.tfvars 파일을 repository 외부(예: Azure Key Vault)에서 관리하고, GitHub Actions에서 안전하게 접근하는 방법을 고려합니다. 이를 통해 보안을 더욱 강화할 수 있습니다.
• 코드 검토 및 테스트: 모듈화된 코드에 대한 단위 테스트를 추가하고, 코드 품질을 더욱 높입니다. Azure CLI를 사용하여 배포 전에 테스트 환경을 구성하여 배포 전 검증을 강화합니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 와 관련 모듈 파일들의 코드 정리가 잘 되어 가독성이 높아졌습니다. 특히, 변수 선언과 모듈 호출 부분이 깔끔하게 정리되어 유지보수가 용이해졌습니다. (변수 이름 일관성 유지, 불필요한 공백 제거 등)
• GitHub Actions CI/CD 파이프라인 구현: Terraform Plan 및 Apply 과정을 GitHub Actions를 통해 자동화하여 CI/CD 프로세스를 효율적으로 구축하였습니다. Pull Request에 대한 Plan 결과를 Artifact로 저장하고, PR에 결과를 comment로 남기는 부분도 잘 구현되었습니다. 특히, main 브랜치에서의 terraform apply는 수동 승인 절차를 거치도록 하여 안전성을 확보한 점이 좋습니다.
• 보안 강화를 위한 시도: terraform.tfvars 파일을 .gitignore에 추가하여 민감한 정보 노출을 방지하려는 노력이 엿보입니다. terraform.tfvars.example 파일을 제공하여 설정 방법을 명확하게 제시한 점도 좋습니다.

Bad:

• terraform.tfvars 파일의 base64 인코딩: terraform.tfvars 파일 생성 시 echo 명령어를 통해 secrets 값을 직접 입력하는 부분이 있습니다. 보안상 취약할 수 있으므로, 다른 방법을 고려해야 합니다. (예: Azure Key Vault 활용)
• GitHub Actions의 과도한 권한: GitHub Actions에서 contents: read, id-token: write, pull-requests: write, statuses: write, issues: write 등 여러 권한을 요청하는데, 실제 필요한 권한만 요청하도록 최소화해야 합니다. 불필요한 권한은 보안상 위험 요소가 될 수 있습니다.
• tf-plan 파일 경로 문제: Upload Plan as Artifact 단계에서 environments/prod/tf-plan 경로를 사용하는데, tf-plan 파일이 environments/prod 디렉토리에 생성되지 않을 가능성이 있습니다. 파일 경로를 명확히 확인해야 합니다.

Action Suggestion:

• terraform.tfvars 파일 생성 방식을 개선하여 Azure Key Vault를 사용하거나, secrets를 환경변수로 전달하는 등의 보안 강화 방안을 적용해야 합니다.
• GitHub Actions에서 필요한 권한만을 명시적으로 부여하고, 불필요한 권한은 제거해야 합니다. 권한 최소화 원칙을 준수해야 합니다.
• tf-plan 파일의 생성 경로를 확인하고, Artifact 업로드 시 발생할 수 있는 오류를 방지하기 위해 에러 처리 로직을 추가해야 합니다. 또한, 파일 경로를 절대 경로로 명시하거나, 현재 작업 디렉토리 기준으로 상대 경로를 사용하는 것을 고려해야 합니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: 코드 서식이 개선되었고, 변수 이름과 주석이 명확해져 가독성이 높아졌습니다. 특히 main.tf 파일에서 모듈 호출 부분의 정리가 눈에 띄네요. 변수 사용도 일관성 있게 수정되었습니다.
• 보안 강화: terraform.tfvars.example 파일이 추가되어 중요한 비밀 정보들을 .gitignore에 포함시켜 관리할 수 있도록 했습니다. IP 주소 범위를 명시적으로 설정하여 보안을 강화하려는 시도가 좋습니다. terraform.tfvars 파일을 Git에 올리지 않도록 주의해야 합니다.
• 단계별 Terraform 실행 및 승인 프로세스: Terraform plan 및 apply 단계를 분리하고, main 브랜치에서 apply 전에 수동 승인 절차를 추가하여 실수로 인한 배포 오류를 방지하려는 노력이 긍정적입니다. Pull Request에서 plan 결과를 확인할 수 있도록 출력하는 부분도 좋습니다.

Bad:

• tf-plan 파일 경로 문제: actions/upload-artifact 에서 업로드하는 tf-plan 파일의 경로가 environments/prod/tf-plan 인데, terraform apply 단계에서는 이 파일을 찾는 경로가 명시적으로 나와있지 않아 문제가 발생할 수 있습니다. download-artifact에서 다운로드 후 어디에 저장되는지 명확하지 않다는 점도 문제입니다.
• 하드코딩된 값: 여러 곳에 하드코딩된 값들이 존재합니다 (예: VM 사이즈, 특정 버전). 이러한 값들은 변수로 관리하여 유연성을 높이는 것이 좋습니다.
• 과도한 에러 처리: Terraform Plan 단계에서 exitcode를 사용한 에러처리는 필요하지만, if [ $exitcode -eq 1 ]; then ... fi 부분은 GitHub Actions의 기본적인 실패 처리 기능을 활용하는 것이 더 효율적일 수 있습니다.

Action Suggestion:

• tf-plan 파일 경로 수정: actions/upload-artifact와 actions/download-artifact 에서 사용하는 파일 경로를 명확하고 일관되게 설정합니다. GITHUB_WORKSPACE 변수를 활용하는 것을 고려해 보세요. 다운로드된 파일의 저장 경로를 명확하게 지정해야 합니다.
• 하드코딩된 값 변수화: VM 사이즈, 버전 등 하드코딩된 값들을 variables.tf 파일에서 관리하도록 변경합니다.
• 에러 처리 간소화: exitcode 기반의 에러 처리 로직을 제거하고 GitHub Actions의 내장 기능을 활용하여 Terraform plan 실패 시 워크플로우를 자동으로 실패하도록 합니다. 불필요한 exit 0과 exit 1 호출도 제거합니다.

[github-actions]

코드 리뷰

Good:

• Terraform 코드 분리: main.tf, variables.tf, locals.tf, provider.tf 등으로 파일을 잘 분리하여 가독성과 유지보수성을 높였습니다. 모듈화를 통해 재사용성도 향상되었습니다.
• 세부적인 에러 처리: Terraform Plan 단계에서 detailed-exitcode를 사용하여 에러 발생 시 명확하게 처리하고, Github Actions 출력을 통해 Plan 결과를 확인할 수 있도록 하였습니다. Pull Request에 Plan 결과를 보여주는 부분도 좋습니다.
• Github Actions 활용: Github Actions를 이용하여 Terraform 작업을 자동화하고, 승인 절차를 포함하여 안전하게 배포할 수 있도록 구현했습니다. tfvars 파일을 Secret으로 관리하는 부분도 보안에 신경 쓴 점이 좋습니다.

Bad:

• 하드코딩된 값: 여러 곳에 하드코딩된 값들이 존재합니다 (예: VM 사이즈, 특정 IP 범위). variables.tf에 변수로 정의하고 terraform.tfvars 파일에서 값을 설정하도록 변경해야 합니다. 특히, allowed_ip_ranges, ssh_allowed_ip_ranges는 보안상 중요하므로, 꼭 tfvars 파일에서 관리해야 합니다.
• 복잡한 로직: 특히, Terraform Plan 결과를 PR에 출력하는 부분의 로직이 다소 복잡합니다. 더 간결하고 이해하기 쉬운 방식으로 개선할 필요가 있습니다. github-script를 사용하는 부분도, 필요한 정보만 전달하는 방식으로 최적화할 수 있습니다.
• use_azure_cli 변수의 불필요한 사용: CI/CD 환경에서는 Azure CLI를 사용하지 않는데, use_azure_cli 변수를 통해 provider에서 제어하려는 부분이 있습니다. provider 설정에서 CLI 인증 방식을 제거하고, CI/CD 환경에서는 환경 변수만 사용하도록 단순화하는 것이 좋습니다.

Action Suggestion:

• 모든 하드코딩된 값을 variables.tf에서 정의하고, 민감한 정보는 terraform.tfvars 파일(Git에 추가하지 않음)에서 관리하도록 변경합니다. terraform.tfvars.example 파일을 참고하여 필요한 변수들을 추가하고, 실제 값을 terraform.tfvars 파일에 입력합니다.
• Terraform Plan 결과를 PR에 출력하는 로직을 간소화합니다. 불필요한 중간 단계를 제거하고, 더 효율적인 방법 (예: JSON 포맷으로 결과를 출력하고, Github Actions에서 이를 처리)을 고려합니다.
• provider 설정에서 use_azure_cli 관련 부분을 제거하고, CI/CD 환경에서 환경 변수를 사용하는 방식으로 단순화합니다. Azure CLI 인증은 로컬 개발 환경에서만 사용하도록 합니다. resource_provider_registrations은 none으로 설정하는 것보다는 azurerm_resource_provider_registration 리소스를 사용해서 명시적으로 필요한 resource provider들을 등록하는 것이 더 효율적입니다.

[github-actions]

코드 리뷰 (Pull Request)

Good:

• Terraform 코드 정리: main.tf 파일의 변수 및 모듈 호출 부분이 잘 정리되어 가독성이 향상되었습니다. 불필요한 공백 및 줄바꿈이 제거되어 더욱 깔끔해졌습니다.
• GitHub Actions 개선: Terraform Plan 단계에서 상세한 종료 코드를 사용하고, Plan 결과를 아티팩트로 업로드하여 PR 검토를 용이하게 만든 점이 좋습니다. Pull Request에 Plan 결과를 자동으로 게시하는 기능도 유용합니다.
• 보안 강화 노력: terraform.tfvars 파일을 .gitignore에 추가하여 민감한 정보가 저장소에 노출되지 않도록 조치한 점이 좋습니다. Azure 인증 방식을 환경 변수를 이용하도록 변경하여 보안을 강화했습니다.

Bad:

• terraform.tfvars 파일 관리: terraform.tfvars 파일 자체는 example 파일로 제공되었지만, 실제 사용 시 민감한 정보를 포함하게 되므로, Git에 커밋되지 않도록 더욱 명확한 안내가 필요합니다. .gitignore에 추가하는 것만으로는 부족할 수 있습니다. 팀 내부 가이드라인을 명시적으로 언급하는 것이 좋겠습니다.
• GitHub Actions의 복잡성: GitHub Actions의 워크플로우가 다소 복잡해졌습니다. 특히, Terraform Plan과 Apply 단계가 분리되어 있고, 수동 승인 단계가 포함되어 있는데, 이 부분에 대한 명확한 설명과 필요성에 대한 논의가 필요합니다. 더 간결하고 이해하기 쉬운 구조로 개선할 수 있는 부분이 있을 것 같습니다.
• 에러 처리: Terraform Plan 실패 시 에러 메시지가 간단합니다. 더욱 구체적인 에러 메시지와 로그를 제공하여 문제 해결을 용이하게 하는 것이 좋습니다.

Action Suggestion:

• .gitignore 외 추가적인 보안 조치: terraform.tfvars 파일을 Git에 커밋하지 않도록 팀 내부 가이드라인을 명확히 하고, Secret Management 시스템(예: Azure Key Vault)을 활용하는 것을 고려해 보세요.
• GitHub Actions 간소화: Terraform Plan 및 Apply 단계를 더욱 명확하게 분리하고, 각 단계의 목적과 동작 방식을 명확하게 주석으로 설명합니다. 수동 승인 프로세스의 필요성에 대한 논의가 필요합니다. 자동화 수준을 높일 수 있는 방법을 모색해 보세요.
• 에러 처리 개선: Terraform Plan 및 Apply 단계에서 발생하는 에러에 대한 더 자세한 정보(로그, 에러 메시지)를 GitHub Actions에 기록하도록 수정합니다. 실패 시 알림을 받을 수 있도록 설정하는 것이 좋습니다.

[github-actions]

코드 리뷰 (Pull Request)

Good:

• Terraform 코드 정리: main.tf 파일의 코드 정리가 잘되어 가독성이 향상되었습니다. 불필요한 공백과 줄바꿈이 제거되어 깔끔해졌습니다. 특히 module 블록 내 변수 정렬이 개선되었습니다.
• GitHub Actions Workflow 구현: Terraform Plan 및 Apply를 위한 GitHub Actions Workflow가 효과적으로 구성되었습니다. terraform plan 결과를 Pull Request에 표시하고, main 브랜치에 적용 시 수동 승인 절차를 추가하여 안전성을 높였습니다. Artifact를 활용하여 Plan 결과를 저장하는 부분도 좋습니다.
• 변수 관리 개선: variables.tf에서 use_azure_cli 변수를 추가하여 로컬 환경과 CI/CD 환경에서 Azure 인증 방식을 유연하게 설정할 수 있도록 개선되었습니다. 민감한 정보를 terraform.tfvars로 분리하여 관리하는 방식도 적절합니다.

Bad:

• terraform.tfvars 의 직접적인 base64 디코딩: GitHub Actions 에서 secrets를 base64로 디코딩하는 방식은 보안상 취약할 수 있습니다. secrets를 직접 사용하지 않고, 다른 더 안전한 방법(예: aws secrets manager, Azure Key Vault 연동)을 고려해야 합니다.
• 하드코딩된 승인자: GitHub Actions에서 trstringer/manual-approval 액션의 approvers 는 kibanana 로 하드코딩되어 있습니다. 환경변수 또는 다른 설정 파일을 통해 동적으로 설정하는 것이 더 유연하고 관리하기 쉬울 것입니다.
• 과도한 출력: terraform show 의 전체 출력을 PR에 보여주는 것은 PR의 가독성을 떨어뜨릴 수 있습니다. 요약된 정보만 보여주고, 상세한 내용은 필요시 별도로 확인할 수 있도록 하는 것이 좋습니다.

Action Suggestion:

• secrets 관리 방식 개선: secrets를 base64 디코딩하는 대신, Azure Key Vault 또는 AWS Secrets Manager와 같은 안전한 시크릿 관리 서비스를 사용하도록 변경하십시오.
• 동적 승인자 설정: trstringer/manual-approval 액션의 approvers 를 하드코딩하지 말고, 환경변수나 구성 파일을 통해 동적으로 설정하여 유연성을 높이십시오.
• terraform show 출력 조정: PR에 표시되는 terraform plan 출력을 요약하여 가독성을 높이고, 상세한 출력은 필요한 경우에만 별도로 제공하는 방식으로 수정하십시오. 예를 들어, 변경 사항만 요약해서 보여주는 방식을 고려할 수 있습니다.

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 파일의 변수와 모듈 호출 부분에서 불필요한 공백과 줄바꿈을 제거하고, 일관된 코딩 스타일을 적용하여 가독성을 높였습니다. 또한, 코드 포맷팅을 terraform fmt 명령어를 사용하여 일관성 있게 유지하도록 하였습니다. (변수명, 들여쓰기 등의 일관성 유지)

• Azure CLI 사용 여부 분리: provider.tf에서 use_azure_cli 변수를 도입하여 로컬 환경과 CI/CD 환경에서 Azure 인증 방식을 유연하게 선택할 수 있도록 개선하였습니다. 이를 통해 로컬 테스트와 CI/CD 파이프라인 모두 효율적으로 관리할 수 있습니다. 이는 보안 및 유지보수 측면에서 매우 중요한 개선입니다.

• Terraform Plan 출력 개선: GitHub Actions에서 Terraform Plan의 출력을 명확하게 보여주는 방식을 개선했습니다. tf-plan-string step에서 plan 출력을 <details> 태그를 사용하여 깔끔하게 PR에 표시되도록 하였으며, 이는 코드 변경 사항 검토에 큰 도움이 됩니다. base64 인코딩/디코딩을 사용하여 secrets를 안전하게 처리하는 부분도 좋습니다.

Bad:

• 단일 작업에 너무 많은 기능 포함: GitHub Actions의 terraform job이 Terraform plan, artifact 업로드, PR comment 생성 등 여러 작업을 담당하고 있습니다. 기능을 더 작은 단위로 분리하여 가독성과 디버깅 용이성을 높일 수 있습니다.

• 하드코딩된 값: terraform.tfvars.example 에 많은 값들이 하드코딩 되어 있습니다. 민감한 정보(secret)를 제외하더라도, 환경 변수나 다른 구성 파일을 통해 설정값을 관리하는 것이 더 나은 방법입니다. (특히, allowed_ip_ranges, ssh_allowed_ip_ranges 와 같은 보안 관련 설정은 주의가 필요합니다.)

• manual-approval 액션의 제한적인 승인자: kibanana 한 명만 승인할 수 있도록 제한되어 있습니다. 다수의 승인자를 지정하거나, 승인 프로세스를 더욱 강화하는 것을 고려해야 합니다.

Action Suggestion:

• GitHub Actions job을 더 작은 단위로 분리하여 각 job이 하나의 명확한 기능만 수행하도록 합니다. (예: plan, apply, artifact upload 별도 job)

• terraform.tfvars.example 파일에서 하드코딩된 값들을 환경 변수나 외부 설정 파일을 통해 관리하는 방식으로 변경합니다. terraform.tfvars 파일은 Git에 포함하지 않도록 합니다.

• manual-approval 액션의 승인자를 여러 명으로 늘리고, 좀 더 안전하고 견고한 승인 시스템을 구현하는 방안을 검토합니다. (예: 코드 리뷰와 결합)

[github-actions]

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 파일을 비롯한 여러 파일에서 코드 정렬과 주석 추가를 통해 가독성이 크게 향상되었습니다. 변수명도 일관성 있게 수정되어 이해도가 높아졌습니다. 특히, prod/main.tf 파일의 변수 정렬과 들여쓰기 개선은 긍정적입니다.

• Azure 인증 방식 개선: Azure 인증을 위해 CLI와 환경 변수를 모두 지원하도록 수정하여 유연성을 높였습니다. CI/CD 환경에서는 환경 변수를, 로컬 환경에서는 Azure CLI를 사용할 수 있도록 use_azure_cli 변수를 도입한 점이 좋습니다. provider.tf에서 resource_provider_registrations를 사용하여 향후 호환성 문제를 미연에 방지한 점도 좋습니다.

• Terraform Plan 출력 개선: Pull Request에 Terraform Plan의 결과를 명확하게 보여주는 방식으로 개선되었습니다. terraform show를 이용해 Plan 결과를 Pull Request에 직접적으로 보여주도록 함으로써 검토자의 편의성을 높였습니다.

Bad:

• .github/workflows/terraform.yml 파일의 복잡성: 워크플로우 파일이 매우 길고 복잡합니다. 작업을 더 작은 단위로 나누어 여러 파일로 분리하거나, 함수를 사용하여 코드를 모듈화하면 가독성과 유지보수성을 높일 수 있습니다. 특히, Terraform Plan과 Apply를 분리한 것은 좋지만, 각 단계의 역할이 명확하게 드러나도록 주석을 추가하는 것이 좋습니다.

• 보안 관련 우려: terraform.tfvars 파일을 직접 base64로 인코딩하여 저장하는 방법은 안전하지 않습니다. Secret Management 시스템을 사용하거나, 다른 더 안전한 방법을 고려해야 합니다. Secrets를 직접 코드에 노출하는 것 보다, GitHub Actions Secrets를 활용하는 것이 좋습니다.

• 오류 처리: Terraform Plan 단계에서 오류 발생 시 처리 로직이 부족합니다. 좀 더 상세한 에러 메시지를 제공하고, 오류 발생 시 워크플로우가 적절하게 종료되도록 해야 합니다. tfplanExitCode 값을 이용한 조건부 실행은 좋지만, 어떤 exit code가 어떤 의미를 가지는지 명확히 설명하는 주석이 필요합니다.

Action Suggestion:

• .github/workflows/terraform.yml 파일을 여러 개의 작은 파일로 분리하고, 각 파일의 기능을 명확하게 분리합니다. 함수를 사용하여 코드를 모듈화합니다.

• terraform.tfvars 파일의 Secret 관리 방식을 개선합니다. GitHub Actions Secrets를 활용하거나, KMS와 같은 외부 Secret Management 시스템을 사용하는 것을 고려합니다.

• Terraform Plan 및 Apply 단계에서 오류 처리 로직을 강화합니다. 좀 더 상세한 에러 메시지를 제공하고, 오류 발생 시 워크플로우를 적절히 종료하도록 합니다. 각 exit code에 대한 설명을 추가합니다. try...catch 블록을 활용하여 오류를 더욱 효과적으로 처리할 수 있습니다.

[github-actions]

코드 리뷰

Good:

• Terraform 코드 정리 및 가독성 향상: main.tf 파일의 코드 포맷이 개선되어 가독성이 높아졌습니다. 변수 이름도 더 명확해졌고, 주석도 추가되어 이해하기 쉬워졌습니다. 특히, module 블록 내 변수 정렬이 개선된 점이 좋습니다.
• CI/CD 파이프라인 구축: GitHub Actions를 사용하여 Terraform Plan & Apply 프로세스를 자동화한 점이 훌륭합니다. Pull Request 단계에서 승인 절차를 추가하여 안전성을 높인 것도 인상적입니다. terraform.yml 파일이 잘 구성되어 있으며, 단계별로 명확하게 구분되어 있습니다.
• 시크릿 관리: 중요한 정보(Azure Credentials, Terraform TFVARS)를 GitHub Secrets를 사용하여 안전하게 관리하는 점이 좋습니다. terraform.tfvars.example 파일을 제공하여 설정 방법을 명확히 한 점도 긍정적입니다.

Bad:

• terraform plan 결과 출력 방식: terraform show를 사용하여 plan 결과를 출력하는 방식은 다소 비효율적이며, PR에 직접 긴 문자열을 주석으로 남기는 것은 가독성을 저해할 수 있습니다. 더 효율적이고 가독성 좋은 방법을 고려해야 합니다.
• terraform apply의 수동 승인 절차: trstringer/manual-approval 액션을 사용하여 수동 승인을 받는 과정은 편리하지만, 실제 운영 환경에서는 보다 강력한 승인 시스템(예: 2FA, RBAC)을 고려해야 합니다. 개발 환경과 운영 환경의 차이점을 고려하여, Pull Request 환경에서의 수동 승인은 유지하되 운영 환경에서는 더 강력한 인증 및 승인 시스템을 도입하는 방향으로 개선해야 합니다.
• 에러 핸들링 미흡: Terraform 실행 결과에 대한 에러 핸들링이 부족합니다. 실행 중 에러 발생 시, 자세한 에러 메시지를 기록하고, 적절한 방법으로 실패를 처리하는 로직이 필요합니다. 특히, terraform plan이 실패했을 때의 에러 메시지가 부족합니다.

Action Suggestion:

• terraform plan 결과 출력 개선: GitHub Actions의 artifact 기능을 활용하여 plan 파일을 업로드하고, PR에 plan 파일 링크를 제공하는 방식으로 변경하는 것을 고려해 보세요. terraform show의 결과를 PR 주석에 직접 붙이는 것은 피하는 것이 좋습니다. 아티팩트를 활용하면 가독성도 좋아지고, 파일 크기 제한 문제도 해결할 수 있습니다.
• terraform apply 승인 프로세스 개선: Pull Request 환경에서는 현재의 수동 승인 방식을 유지하되, 실제 운영 환경에서는 보다 강력한 승인 시스템을 도입하는 것을 고려하세요. 예를 들어, GitHub의 code owners 기능이나, 외부 승인 시스템과의 연동 등을 고려해 볼 수 있습니다.
• 에러 핸들링 강화: terraform plan 및 terraform apply 명령어의 exit code를 보다 세분화하여 처리하고, 에러 발생 시 자세한 에러 로그를 남기는 기능을 추가하세요. GitHub Actions의 로그를 잘 활용하여 디버깅에 필요한 정보를 모두 남기도록 합니다. 각 단계에서의 성공/실패 여부를 명확히 표시하고, 실패 시 알림을 보내는 기능을 추가하는 것도 좋습니다.

[github-actions]

코드 리뷰: Terraform CI/CD 파이프라인

Good:

• Github Actions를 활용한 Terraform CI/CD 파이프라인 구현: GitHub Actions를 이용하여 Terraform Plan 및 Apply를 자동화한 점은 매우 좋습니다. Pull Request 기반의 검토 및 승인 프로세스도 잘 구현되어 있습니다.
• OIDC를 통한 Azure 인증: Azure에 OIDC를 이용하여 안전하게 로그인하는 방식을 채택한 점이 긍정적입니다. Secret 관리 측면에서 보안성이 향상되었습니다.
• Terraform Plan 출력을 PR에 표시: terraform show 명령어를 사용하여 Plan 결과를 Pull Request에 직접 표시하여 변경 사항을 명확하게 확인할 수 있도록 한 점이 효율적입니다.

Bad:

• terraform.tfvars 파일의 Secret 관리: terraform.tfvars 파일 자체에 중요한 Secret 정보 (예: PROD_TERRAFORM_TFVARS)가 base64로 인코딩되어 저장되어 있습니다. 더욱 안전한 Secret 관리 방법 (Azure Key Vault 또는 GitHub Secrets의 직접 활용)을 고려해야 합니다. 현재 방식은 보안 취약성을 가지고 있습니다.
• terraform apply 승인 프로세스: trstringer/manual-approval 액션을 사용하여 수동 승인을 받도록 했지만, 특정 사용자(kibanana)만 승인할 수 있도록 제한되어 있습니다. 더욱 유연하고 협업적인 승인 프로세스 (예: 코드 리뷰 승인과 연동)를 고려해야 합니다.
• 에러 처리의 부족: Terraform 실행 시 발생할 수 있는 다양한 에러 상황에 대한 처리가 부족합니다. 더욱 자세한 에러 로그를 기록하고, 에러 발생 시 알림을 보내는 등의 추가적인 에러 처리 로직이 필요합니다.

Action Suggestion:

• Azure Key Vault 활용: PROD_TERRAFORM_TFVARS 와 같은 중요 Secret들을 Azure Key Vault에 저장하고, GitHub Actions에서 Key Vault Secret을 안전하게 접근하는 방식으로 변경하십시오.
• PR 검토자 승인으로 변경: 수동 승인 프로세스를 PR 검토자의 승인으로 변경하고, trstringer/manual-approval 액션을 제거하십시오. GitHub Actions의 내장 기능을 활용하여 PR 머지 전에 모든 검토자가 승인하도록 설정할 수 있습니다.
• 에러 처리 개선: terraform plan 및 terraform apply 명령어의 실행 결과를 더욱 자세히 검사하고, 에러 발생 시 상세한 에러 메시지를 로그에 기록하고 담당자에게 알림을 전송하는 기능을 추가하십시오. 실행 결과 코드를 이용한 조건부 실행을 명확하게 하십시오.

[kibanana]

Azure 구독 및 SP 권한 설정 문제로 Terraform CI 설정 불가