4. SSH를 이용한 프로덕션 서버 배포

1. SSH(Secure Shell)

• 네트워크상에서 원격 컴퓨터(AWS-EC2)에 안전하게 접속하여 명령을 실행할 수 있도록 해주는 프로토콜

• SSH는 Public-key 암호화 방식을 통해 비밀번호 입력없이 안전하게 사용자를 인증합니다.

• 젠킨스를 활용하여 자동화 배포를 진행할 때 보안을 최우선 하기 위해서는 일반적으로 SSH프로토콜을 이용하여 빌드 및 배포를 진행합니다.

SSH 작동방식

1. 키 쌍 생성: 사용자의 PC에서 공개 키(public key)와 개인 키(private key)를 한 쌍으로 생성합니다.

   1. 공개키는 자물쇠(🔒), 개인키는 이 자물쇠를 열 수 있는 열쇠(🔑)로 생각하시면 되겠습니다.

2. 공개 키 등록: 생성된 공개 키를 접속하려는 클라우드 서버에 등록합니다. 개인 키는 외부에 유출되지 않도록 사용자 PC에 안전하게 보관합니다.

3. 개인 키 전송: 클라이언트가 서버에 접속을 시도할 때 개인 키를 서버로 전송합니다.

4. 인증 확인: 서버는 클라이언트가 보낸 개인 키를 미리 등록된 공개 키와 대조하여 인증합니다.

5. 접속 시작: 인증이 성공하면 SSH 세션이 안전하게 시작되어 원격 접속이 가능해집니다.

---

2. 젠킨스 설정

1) SSH Agent 플러그인 설치

2) SSH 접속을 위한 Credential생성

• privatekey는 생성된 privatekey를 복사하여 붙여 넣을 것

• 예시)

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEAw/Tfb...............................................
......................................................................
-----END OPENSSH PRIVATE KEY-----

3) 파이프라인 수정

• Staging-PrivateKey를 이용하여 접속

• 배포 승인과정 추가

import java.text.SimpleDateFormat

def TODAY = (new SimpleDateFormat("yyyyMMddHHmmss")).format(new Date())

pipeline {
    agent any
    environment {
        strDockerTag = "${TODAY}_${BUILD_ID}"
        //strDockerImage ="계정명/프로젝트명:${strDockerTag}"
        strDockerImage ="wombat1234/cicd_guestbook:${strDockerTag}"
        //strGitUrl = "깃헙 레포"
        strGitUrl = "https://github.com/wombatHero999/zenkins.git"
    }

    stages {
        // 1. 깃헙 체크아웃(master)
        stage('Checkout') {
            steps {
                git branch: 'master', url: strGitUrl
            }
        }

        // 2. 소스코드 빌드
        stage('Build') {
            steps {
                sh 'chmod +x mvnw'
                sh './mvnw clean package'
            }
        }
        
        // 3. 유닛테스트 수행
        stage('Unit Test') {
            steps {
                sh './mvnw test'
            }
            // 결과 리포트 작성    
            post {
                always {
                    junit '**/target/surefire-reports/TEST-*.xml'
                }
            }
        }

        // 4. 정적 테스트 수행
        stage('SonarQube Analysis') {
            steps{
                echo 'SonarQube Analysis'
                
                withSonarQubeEnv('SonarQube-Server'){
                    sh '''
                        ./mvnw sonar:sonar \
                        -Dsonar.projectKey=guestbook \
                        -Dsonar.host.url=http://192.168.10.2:9000 \
                        -Dsonar.login=dfaa78e1a63c7ed61b65e00f5daa646c1666a11e
                    '''
                }
                
            }
        }        

        // 5. 도커 이미지 빌드
        stage('Docker Image Build') {
            steps {
                script {
                    oDockImage = docker.build(strDockerImage, "--build-arg VERSION="+strDockerTag+" -f Dockerfile .")
                }
            }
        }
        // 6. 도커 이미지 푸쉬
        //  - 여기 설정이 달라졌던거 같기도함. 확인필요
        stage('Docker Image Push') {
            steps {
                script {
                    docker.withRegistry('', 'DockerHub_Credential') {
                        oDockImage.push()
                    }
                }
            }
        }
        // 7. 스테이징 서버(테스트)에 배포        
        stage('Deploy Staging') {  // ← 기존 ssh 배포 → docker run으로 교체
            steps {
                sh '''
                docker stop guestbookapp || true
                docker rm guestbookapp || true

                docker run --name=guestbookapp --rm -d \
                    -p 8081:10000 \
                    -e MYSQL_IP=host.docker.internal \
                    -e MYSQL_PORT=3306 \
                    -e MYSQL_DATABASE=guestbook \
                    -e MYSQL_USER=guestbook \
                    -e MYSQL_PASSWORD=education \
                    wombat1234/cicd_guestbook:1.0
                '''
            }
        }     

        // 8. 테스트 완료 후 배포 승인 여부 확인
        stage('Manual Approval for Production') {
            steps {
                // 'input' 스텝을 사용하여 사용자 입력을 기다립니다.
                input {
                    message "스테이징 서버 테스트가 완료되었습니다. 프로덕션에 배포하시겠습니까?"
                    submitter 'admin' // 승인 권한이 있는 사용자
                    ok "배포 승인"
                }
                echo 'Approval received. Proceeding with production deployment.'
            }
        }
        // 9. 프로덕션 서버에 배포        
        stage('Deploy Production') {  
            steps {
                sshagent(credentials: ['Staging-PrivateKey']) {
                    sh "ssh -o StrictHostKeyChecking=no root@aws-public-ip docker container rm -f guestbookapp"
                    sh "ssh -o StrictHostKeyChecking=no root@aws-public-ip docker container run \
                                        -d \
                                        -p 8081:10000  \
                                        --name=guestbookapp \
                                        -e MYSQL_IP=172.31.0.120 \
                                        -e MYSQL_PORT=3306 \
                                        -e MYSQL_DATABASE=guestbook \
                                        -e MYSQL_USER=root \
                                        -e MYSQL_PASSWORD=education \
                                        wombat1234/cicd_guestbook:1.0 "
                }
            }
        }       
    }
    // 8. 빌드 후 결과 노티
    post {
        success { 
            slackSend(tokenCredentialId: 'slack-token'
                , channel: '#젠킨스-노티'
                , color: 'good'
                , message: "${JOB_NAME} (${BUILD_NUMBER}) 빌드가 성공적으로 끝났습니다. Details: (<${BUILD_URL} | here >)")
        }
        failure { 
            slackSend(tokenCredentialId: 'slack-token'
                , channel: '#젠킨스-노티'
                , color: 'danger'
                , message: "${JOB_NAME} (${BUILD_NUMBER}) 빌드가 실패하였습니다. Details: (<${BUILD_URL} | here >)")
    }
  }
}

4) 빌드 테스트

• 배포승인을 누르면 SSH를 통해 프로덕션 서버에 배포

5) 프로덕션 서버 접속 확인

6) CI/CD 파이프라인 요약도

• 수정필요