프로젝트에 CI/CD를 구축하는 과정에서 SSH와 관련된 개념이 부족하여, 며칠동안 꽤 애를 먹었다.
관련하여 여러 오류를 만나면서, 공부한 내용들을 정리하였다.
- 비대칭키(공개키, 비밀키)를 이용한 SSH 통신의 동작 흐름
- 클라이언트에서 신뢰할 수 있는 서버인지 확인하는 과정
- Github Actions에서 원격 SSH 통신을 할 때 known_host를 등록하기 위한 코드 작성
1. 개념
SSH(Secure SHell)
: 원격 호스트에 접속 및 원격 명령을 실행하기 위해 사용되는 보안 프로토콜
SSH를 사용하여 네트워크 상의 다른 컴퓨터에 원격 로그인하여 (ex. AWS EC2 원격 접속) 원격 시스템에서 명령을 실행하고,
다른 시스템으로 파일을 복사 (ex. SCP 명령어) 할 수 있다.
2. SSH 통신 동작 흐름
SSH Client(github actions workflow가 실행되는 컴퓨터) - SSH Server(ec2 인스턴스)
1) SSH Client가 SSH 접속을 시도하면, SSH Server는 서로의 공개키와 비밀키가 일치하는 한 쌍인지 확인하기 위해 서버의 공개키로 암호화 된 메시지를 보낸다.
2) SSH Client는 가지고 있는 비밀키를 이용해, 공개키로 암호화된 메시지를 복호화하여 SSH Server에게 보낸다.
3) SSH Server는 SSH Client가 가지고 있는 비밀키가 자신의 공개키와 한 쌍인 것을 확인한다.
4) 서로 한 쌍의 키라는 것이 확인이 되면 서버와 클라이언트는 통신을 위한 대칭 키를 생성한다.
이 키는 세션 동안 서버와 클라이언트 간의 모든 통신을 암호화하는 데 사용된다.
3. CI/CD에서 SSH 통신을 위한 설정 과정 (feat. Github Actions)
위의 그림을 보면 SSH Client가 SSH Sever와 통신하기 위해서 비밀키를 가지고 있어야 한다.
이를 위해서 github actions workflow가 실행되는 컴퓨터에 비밀키(EC2_KEY)를 생성하고 ssh 통신을 가능하게끔 하였다.
*SSH 통신 시 주의할 점 ( known_host )
SSH Client는 기본적으로 SSH Server가 신뢰할 수 있는 서버인지 잘 모른다.
따라서 SSH Sever가 신뢰할 수 있는 서버인지 확인하는 절차를 거쳐야 하는데,
이는 SSH Client 내의 ~/.ssh/known_host 파일을 통해 관리된다.
SSH 통신을 처음 시도할 때, 서버의 public key가 SSH Client에 알려지지 않은 상태라면,
SSH Server의 호스트 키를 수락할지 여부를 묻는 메시지가 나타나고, 사용자가 수락하면 서버의 host key가 ~/.ssh/known_host 파일에 자동으로 추가된다.
Github Actions에서 EC2 인스턴스에 SSH로 연결할 때도 마찬가지이다.
처음 연결 시 EC2 인스턴스의 host key를 SSH_Client known_host 파일에 추가해주어야 하고,
이를 자동화하기 위한 별도의 스크립트를 추가하여 다음과 같이 작성해야 한다.
'DevOps > CI-CD' 카테고리의 다른 글
| Nginx 무중단 배포 (0) | 2024.09.19 |
|---|---|
| Jenkins CI/CD 구축하기 2편 (with. Docker) (0) | 2024.09.05 |
| Jenkins CI/CD 구축하기 1편 (with. Docker) (0) | 2024.09.03 |
| Github Actions CI/CD 프로젝트 적용기 (1) | 2024.06.08 |