Air Traffic Control Scaleway Ep.7

Context

기존 훈련 환경은 공개 인터넷 위에서 작동했으며, 공개 IP를 가진 인스턴스, 공개 엔드포인트를 가진 컨테이너, 공개 네트워크 접근이 가능한 데이터베이스로 구성되어 있었다. 이는 프로덕션 환경에서는 보안 요구사항을 충족하지 못한다.

Technical Solution

• VPC(Virtual Private Cloud) 내부에 Private Network 생성: 리소스들이 공개 인터넷 노출 없이 상호 연결
• Public Gateway를 Private Network 경계에 배치: 단일 제어 진입점으로 SSH bastion 활성화
• Cloud-init를 통한 자동 인스턴스 구성: server1.yml 및 server2.yml 파일로 패키지, 사용자, 서비스 자동 적용
• SSH bastion 점프 호스트 방식 접근: ssh root@<private-ip> -J bastion@<gateway-ip>:<port> 명령으로 공개 IP 미보유 인스턴스 접속
• 리소스 의존성 순서 관리: 삭제 시 인스턴스 → 게이트웨이 → 프라이빗 네트워크 → VPC 순서 준수

Key Takeaway

Public Gateway를 단일 제어점으로 사용하고 SSH bastion을 활성화하면, 인스턴스가 공개 IP 없이도 안전하게 운영 가능하며, 이는 인터넷 직접 노출이 불필요한 워크로드에서 최소 보안 경계의 구현 패턴이 된다.