Terraform + Atlantis로 Azure 인프라 GitOps 구현 가이드

# 변수 선언
RESOURCE_GROUP="rg-atlantis-demo"
LOCATION="koreacentral"
VM_NAME="vm-atlantis"
VM_SIZE="Standard_B2s"
ADMIN_USERNAME="azureuser"

# 리소스 그룹 생성
az group create \
  --name "$RESOURCE_GROUP" \
  --location "$LOCATION"

# Ubuntu VM 생성 (password 인증)
az vm create \
  --resource-group "$RESOURCE_GROUP" \
  --name "$VM_NAME" \
  --image "Ubuntu2204" \
  --size "$VM_SIZE" \
  --admin-username "$ADMIN_USERNAME" \
  --authentication-type password \
  --admin-password "P@ssw0rd123!" \
  --public-ip-sku Standard

# HTTP/HTTPS 포트 열기 (Atlantis 웹 UI 및 GitHub 웹훅용)
az vm open-port \
  --resource-group "$RESOURCE_GROUP" \
  --name "$VM_NAME" \
  --port "4141"

# VM 공용 IP 주소 확인 (Atlantis 설정 및 GitHub 웹훅 URL에 사용)
az vm show \
  --resource-group "$RESOURCE_GROUP" \
  --name "$VM_NAME" \
  --show-details \
  --query "publicIps" \
  --output tsv

# 시스템 업데이트
sudo apt update && sudo apt upgrade -y
 
# Docker 설치를 위한 필수 패키지
sudo apt install -y apt-transport-https ca-certificates curl software-properties-common
 
# Docker GPG 키 추가
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
 
# Docker 저장소 추가
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
 
# Docker 설치
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io
 
# 현재 사용자를 docker 그룹에 추가
sudo usermod -aG docker $USER

# 변수 선언
SP_NAME="sp-atlantis-terraform"
SUBSCRIPTION_ID=$(az account show --query id -o tsv)

# 1단계: Service Principal 생성 (역할 할당 없이)
az ad sp create-for-rbac \
  --name "$SP_NAME" \
  --skip-assignment \
  --output json

# 출력된 정보를 저장해두세요 (appId, password, tenant 필요)

# 2단계: 구독에 대한 Contributor 역할 할당 (실패 시 아래 Portal 가이드 참고)
az role assignment create \
  --assignee $(az ad sp list --display-name "$SP_NAME" --query "[0].appId" -o tsv) \
  --role "Contributor" \
  --scope "/subscriptions/$SUBSCRIPTION_ID"

# 1단계 결과에서 다음 값들을 .env 파일에서 사용:
# - appId → ARM_CLIENT_ID
# - password → ARM_CLIENT_SECRET
# - subscriptionId → ARM_SUBSCRIPTION_ID
# - tenant → ARM_TENANT_ID

# VM에 SSH 접속
ssh azureuser@your-vm-public-ip
 
# .env 파일 생성
vi .env

# GitHub 설정
ATLANTIS_GH_USER=your-github-username
ATLANTIS_GH_TOKEN=ghp_xxxxxxxxxxxxxxxxxxxx
ATLANTIS_GH_WEBHOOK_SECRET=webhook-secret-12345
 
# Atlantis 서버 설정
ATLANTIS_ATLANTIS_URL=http://your-vm-public-ip:4141
ATLANTIS_REPO_ALLOWLIST=github.com/your-org/*
 
# Terraform 설정
ATLANTIS_DEFAULT_TF_VERSION=v1.12.2
TF_VAR_admin_password=P@ssw0rd123!
 
# Azure 인증 정보
ARM_CLIENT_ID=your-service-principal-app-id
ARM_CLIENT_SECRET=your-service-principal-password
ARM_SUBSCRIPTION_ID=your-azure-subscription-id
ARM_TENANT_ID=your-azure-tenant-id
 
# PR 승인 정책 (Apply 실행 조건 설정)
ATLANTIS_REPO_CONFIG_JSON={"repos":[{"id":"/.*/","apply_requirements":["approved","mergeable","undiverged"],"allowed_overrides":["apply_requirements","workflow"],"allow_custom_workflows":true}]}

# 환경변수 파일 권한 설정
chmod 600 .env
 
# Atlantis 데이터 디렉토리 생성 및 권한 설정
mkdir -p ~/atlantis-data
chmod 777 ~/atlantis-data
 
# Docker run으로 Atlantis 시작
docker run -d \
  --name atlantis \
  -p 4141:4141 \
  --env-file .env \
  -v ~/atlantis-data:/atlantis-data \
  -e ATLANTIS_DATA_DIR=/atlantis-data \
  -e ATLANTIS_PORT=4141 \
  --restart unless-stopped \
  ghcr.io/runatlantis/atlantis:latest
 
# 컨테이너 상태 확인
docker ps | grep atlantis
 
# 로그 확인 (실시간)
docker logs -f atlantis
 
# 헬스체크 확인
curl -f http://localhost:4141/healthz
 
# Atlantis 웹 UI 접속 확인
curl -s http://localhost:4141 | grep -i "atlantis"

# 변수 선언 (1단계에서 생성한 리소스 그룹 재사용)
RESOURCE_GROUP="rg-atlantis-demo"
LOCATION="koreacentral"
STORAGE_ACCOUNT="satfstate$(openssl rand -hex 4)"
CONTAINER_NAME="tfstate"

# Storage Account 생성 (보안 설정 포함)
az storage account create \
  --name "$STORAGE_ACCOUNT" \
  --resource-group "$RESOURCE_GROUP" \
  --location "$LOCATION" \
  --sku "Standard_LRS" \
  --min-tls-version "TLS1_2" \
  --allow-blob-public-access false

# tfstate 전용 컨테이너 생성
az storage container create \
  --name "$CONTAINER_NAME" \
  --account-name "$STORAGE_ACCOUNT" \
  --public-access off

# Service Principal에 Storage 권한 부여 (Terraform State 파일 접근용)
SP_OBJECT_ID=$(az ad sp list --display-name "sp-atlantis-terraform" --query "[0].id" -o tsv)
az role assignment create \
  --assignee "$SP_OBJECT_ID" \
  --role "Storage Blob Data Contributor" \
  --scope "/subscriptions/$(az account show --query id -o tsv)/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Storage/storageAccounts/$STORAGE_ACCOUNT"

# 생성된 정보 출력 (Terraform backend 설정에서 사용)
echo "리소스 그룹: $RESOURCE_GROUP"
echo "Storage Account: $STORAGE_ACCOUNT"
echo "컨테이너: $CONTAINER_NAME"

# 실습용 Terraform 코드 다운로드
git clone https://github.com/Seunghwan-You/atlantis_azure.git
cd atlantis_azure
 
# 저장소 구조 확인 (Windows)
tree /F
 
# 저장소 구조 확인 (Bash)
tree -L 3
 
# 원본 remote 제거 및 개인 저장소로 변경
git remote remove origin
git remote add origin https://github.com/your-username/terraform-atlantis-demo.git
 
# 코드를 개인 저장소에 push
git push -u origin main

atlantis_azure/
│  .gitignore              
│  atlantis.yaml               # Atlantis 설정 파일  
│  README.md                   # 프로젝트 설명
│
├─environments/                # 환경별 설정
│  ├─dev/                      # 개발 환경
│  │      main.tf              # 메인 Terraform 설정
│  │      terraform.tfvars     # 환경별 변수
│  │      variables.tf         # 변수 정의
│  │
│  └─prod/                     # 운영 환경
│          main.tf
│          terraform.tfvars
│          variables.tf
│
└─modules/                     # 재사용 가능한 모듈
    ├─networking/              # VNet/Subnet 모듈
    │      main.tf
    │      outputs.tf
    │      variables.tf
    │
    └─vm/                      # VM 생성 모듈
            main.tf
            outputs.tf
            variables.tf

version: 3
projects:
  - name: dev
    dir: environments/dev    
    apply_requirements: [approved]
    autoplan:
      when_modified: ["**/*.tf", "**/*.tfvars", "../../modules/**/*.tf"]      
      enabled: true    
  - name: prod
    apply_requirements: [approved]
    dir: environments/prod    
    autoplan:
      when_modified: ["**/*.tf", "**/*.tfvars", "../../modules/**/*.tf"]
      enabled: true  

# 기능 브랜치 생성
git checkout -b feature/initial-deploy

# 변경사항 커밋
git add .
git commit -m "feat: Add initial infrastructure configuration"
 
# 원격 저장소에 push (업스트림 설정)
git push -u origin feature/initial-deploy

✅ Require a pull request before merging
  ✅ Require approvals (1명 이상)
  ✅ Dismiss stale PR approvals when new commits are pushed
  
✅ Require status checks to pass before merging  
  ✅ Require branches to be up to date before merging
  📋 Status Check 추가: 검색창에 "atlantis" 입력 → "atlantis/apply" 선택
  
✅ Do not allow bypassing the above settings

# 메인 브랜치에서 새 브랜치 생성
git checkout main
git pull origin main
git checkout -b feature/add-vm-tags

# 변경사항 확인
git status
git diff
 
# 커밋 및 푸시
git add .
git commit -m "feat: Add comprehensive tags to VM resources"
 
git push -u origin feature/add-vm-tags

# 계획 실행 (자동으로도 실행되지만 수동 실행 가능)
atlantis plan
 
# 특정 환경에 대한 계획
atlantis plan -d environments/dev
 
# 적용 실행 (승인된 PR에서만 가능)
atlantis apply
 
# 특정 환경에 대한 적용
atlantis apply -d environments/dev
 
# 도움말 확인
atlantis help
 
# 계획 잠금 해제 (필요시)
atlantis unlock