비용 0원, GCS와 Secret Manager로 구축하는 서버리스 스토리지 아키텍처

Context

VM 내부 블록 스토리지의 30GB 용량 제한으로 인한 OS 크래시 위험 존재. 파일 업로드 시 로컬 디스크를 사용하는 구조적 한계. 하드코딩된 설정 값으로 인한 보안 취약점 발생.

Technical Solution

• 파일 저장소를 VM 로컬 디스크에서 Google Cloud Storage(GCS)로 분리하여 스토리지 확장성 확보
• 비용 발생 방지를 위해 GCS의 Soft Delete 기능을 비활성화하고 VM과 동일한 Region을 선택하여 데이터 전송 비용 제거
• bucket name 등 민감 정보를 Secret Manager로 관리하고 Spring Boot의 sm:// 접두사를 통해 런타임에 동적으로 주입하는 설계
• IAM 역할 부여 후에도 발생하는 권한 오류 해결을 위해 VM의 Legacy Access Scopes를 cloud-platform 범위로 확장하여 IAM 권한 우선 적용 구조로 변경
• 로컬 테스트 환경과 클라우드 환경의 분리를 위해 Spring Profile 기반의 조건부 설정 및 @MockitoBean 활용 전략 도입

Impact

• Google Cloud Storage Always Free 티어를 통한 5 GB-months 무료 저장 공간 확보
• Secret Manager 무료 제공 범위인 월 6회의 Secret Version 호출 활용

Key Takeaway

• 클라우드 인프라 설계 시 IAM 권한 외에도 서비스 계정의 Access Scope와 같은 레거시 제약 사항이 우선 적용될 수 있음을 인지해야 함.