셀프호스트 러너 · 워크로드 아이덴티티 · TTL과 감사 · 판단 매트릭스
플랫폼과 모바일 리드가 여러 리전에 흩어진 원격 Mac 군집으로 CI를 돌릴 때 실패 원인은 컴파일 속도가 아니라 장수명 PAT, 배포 개인 키, 횡단 복사 스크립트가 모든 러너에 깔리고 퇴사나 재배포마다 영향 반경이 기하급수로 커지는 경우가 많습니다. 이 글은 비밀 위험 세 범주를 나누고 OIDC 워크로드 아이덴티티와 PAT와 배포 키를 세분성과 취소와 관측성으로 비교하며 신뢰 정책에서 러너 장수명 비밀 제거까지 이어지는 여섯 단계 Runbook, TTL과 최소 감사 필드, 호스팅 형태×컴플라이언스×아웃바운드 레지스트리 매트릭스를 제시합니다.공유 빌드 풀, 관측 가능 작업 체인, 아티팩트와 캐시 지역성과 상호 링크해 아이덴티티 경계와 바이트 경로를 같은 설계도에 올립니다.
점프 호스트, 서명 아이덴티티, 웜 캐시가 모두 초록색이어도 미 동부 디스크 이미지에 박힌 삼 년 전 PAT, 싱가포르 노드로 복제된 kubeconfig, 스테이징과 프로덕션이 공유한 개인 키가 사고의 시작이 될 수 있습니다. 뿌리 원인은 아이덴티티가 사람 모델에 머물고 파이프라인과 환경에 묶인 기계 세션으로 아직 옮기지 못한 점입니다. 이 간극은 멱등 키와 공유 풀 뮤텍스와 강하게 엮이며 구조화된 클레임이 없으면 누가 로그인했는지만 알 수 있고 어떤 빌드가 어떤 Audience를 소비했는지 설명할 수 없습니다. 사전 점검용으로 다섯 가지 세금 항목을 정리한 뒤 OIDC와 PAT 표로 넘어가 팀 합의를 먼저 만듭니다.
현장에서는 일단 돌아가게 만드는 설정이 우선되어 러너 라벨과 비밀 재고의 우선순위가 뒤집히기 쉽습니다. 메시에서는 리전 수가 곧 복제 횟수이므로 암호화 디스크와 퍼미션 600만으로는 읽기 주체를 좁히기 어렵습니다. 백업, 포렌식, 지원 단말 읽기 경로까지 위협 모델을 갱신하고 SSH 대 VNC 전제로 대화형 갱신과 무인 갱신의 요구 차이를 먼저 고정하면 단기 토큰 주기 설계가 흔들리지 않습니다.
장수명 디스크 세금: 조직 PAT와 kubeconfig를 이미지 레이어, plist, 닷파일에 구워 넣으면 임의 셸이 넓은 열쇠 다발을 끌고 다닙니다. 퍼미션 비트만으로는 백업 경로 읽기를 막기 어렵습니다.
횡단 복제 세금: 동일 비밀을 세 리전에 rsync하면 클론이 탈선할 때마다 노출 면이 선형으로 커집니다.아티팩트 동기 계획과 섞이면 어느 경로에서 새었는지 분리가 흐려집니다.
로테이션 지연 세금: 스프레드시트 추적은 릴리스 열과 충돌하면 회전이 미뤄지고 아무도 건드리지 못하는 좀비 자격 증명이 남습니다.
환경 블리드 세금: 본선 게이트와 외부 기여를 한 러너가 맡으면 여러 토큰이 환경에 쌓이고 약한 잡 격리로 스테이징 Audience가 프로덕션 배포 단계로 흘러갈 수 있습니다.
관측 맹점 세금: 빌드 로그에 token_issuer, subject, ttl_remaining_sec가 없으면 사후에 어떤 신뢰 사슬이 세션을 발급했는지 증명할 수 없습니다.
다섯 항목을 체크리스트로 만든 뒤 OIDC 도입 공수를 추정하면 일단 OIDC로는 메우기 어려운 관측 구멍이 드러납니다. 특히 메시에서는 리전별 STS와 버킷 정합이 뒤늦게 비용으로 돌아오므로 다음 장 대조표를 아키텍처 노트에 붙여 리뷰 때마다 차이를 비교할 수 있게 하십시오.
만능 해법은 없으며 조직 규모, 감사 세분성, 아웃바운드 레지스트리 정책에 맞춰 고릅니다. OIDC는 리포지토리와 환경에 세션을 묶어 다중 리전 메시에 잘 맞고 PAT는 채택은 빠르지만 감사에 약하며 배포 키는 좁은 서명 흐름에 필요하지만 세밀 취소에는 맞지 않습니다. 신뢰 정책에 리전 친화를 쓰지 않으면 미 동부 Audience를 싱가포르가 잘못 소비하는 순간 타임존 추측 조사가 시작됩니다. 표를 의사결정 공통 언어로 남기고 분기마다 GitHub Actions와 GitLab의 필드 이름 차이만 갱신하십시오.
실무에서는 먼저 PAT로 통과시키는 편이 결재는 쉬운 반면 뒤늦게 OIDC로 옮길수록 러너 재등록과 워크플로 수정이 겹칩니다. 초기에 공유 빌드 풀 러너 그룹과 Audience 대응표를 한 장으로 묶고 환경별 색을 칠하면 운영 인수인계에서 길을 잃지 않습니다.
| 차원 | OIDC 워크로드 아이덴티티 | 장수명 PAT | 배포 개인 키 |
|---|---|---|---|
| 세분성 | 리포지토리, 환경, 브랜치 주체에 임의 클레임 추가 가능 | 종종 조직 또는 사용자 전역, 쪼개면 토큰 수가 팽창 | 슬롯당 한 키 쌍이 기본이며 인증서를 늘리지 않으면 거칩니다 |
| 취소 속도 | 신뢰 정책 비활성화나 TTL 단축으로 전역 효과 | 관리 UI와 클라이언트 캐시에 따라 지연되기 쉬움 | CRL과 지문 거부 목록과 클라이언트 행동이 모두 필요 |
| 다중 리전 적합 | 강함, 클레임에 리전과 러너 지문을 실을 수 있음 | 중간, 복사는 곧 방송 | 중간, 서명은 필수지만 배포 경로가 넓음 |
| 관측성 | issuer, audience, jti가 로그에 잘 매핑 | 해시 접두와 행위 계정에 머무는 경우가 많음 | 키 ID와 서명 대상 훅을 따로 달아야 함 |
| 운용 비용 | 초기 구성은 높으나 이후 회전은 저렴 | 시작은 싸지만 감사와 취소가 비쌈 | 중간, 인증서 수명 주기는 피할 수 없음 |
메시 CI 보안은 가끔 초록이 나오느냐가 아니라 세션이 빌드를 설명하느냐로 갈립니다.
이미 공유 풀을 운용하는 팀은 이 표를 설계 리뷰 첨부 자료로 고정해 아이덴티티가 복도 구두 합의로 남지 않게 하십시오.
단계는 벤더 중립입니다. GitHub Actions든 GitLab이든 필드 이름만 다르고 산출물은 같습니다. 각 단계를 변경 티켓에 매핑하고 작업 체인 인수인계와 결합한다면 봉투에 job_id와 environment를 반드시 겹치십시오. 무인 러너에서 갱신 실패를 조용히 삼키면 장수명 키로 되돌아가는 습관이 굳습니다.
여섯 단계를 한 번에 몰아넣지 말고 Issuer 동결과 Audience 분리부터 시작해 부트 스캔과 STS 교환, TTL 상한, 취소 훈련을 순차로 쌓으면 현장 부하가 분산됩니다. 리전마다 같은 순서를 밟으면 사고 때 분리 순서도 맞춰집니다.
신뢰 Issuer 동결: 조직이 통제하는 Issuer URL만 허용하고 와일드카드 호스트명을 거부하며 인프라 변경 이력에 차이를 남깁니다.
Audience를 환경 단위로 분리: 스테이징, 프로덕션, 컴플라이언스 파티션마다 다른 문자열을 주고 환경 간 재사용을 금지합니다.
러너 부트를 평문 스캔으로 실패: PAT 파일명이나 kubeconfig 패턴이 잡히면 등록을 중단하고 골든 이미지로 되돌립니다.
OIDC를 클라우드 STS로 교환: 각 클라우드의 단기 세션 패턴을 따르고 자격 증명은 메모리 파일 디스크립터에 쓰며 영구 경로로 돌려보내지 않습니다.
TTL과 갱신 상한: 세션 길이는 빌드 P95의 1.5배 아래로 두고 하드 상한을 겹치며 갱신 실패는 페이지하고 장수명 키로 조용히 빠지지 않습니다.
취소 훈련을 정기 실행: 신뢰 정책을 하나 의도적으로 내리고 모든 리전에서 일 분 안에 신규 세션 거부가 되는지 검증합니다.
export RUNNER_FINGERPRINT="$(system_profiler SPHardwareDataType | shasum | awk '{print $1}')"
export OIDC_AUDIENCE="vpsmesh-ci-prod-${RUNNER_REGION}"
node scripts/exchange-oidc-for-sts.mjs \
--issuer "${ACTIONS_ID_TOKEN_REQUEST_URL}" \
--audience "${OIDC_AUDIENCE}" \
--runner-fingerprint "${RUNNER_FINGERPRINT}"
안내: STS 결과는 프로세스 메모리나 tmpfs에 두고 잡 티어다운에서 취소하며 교환 출력을 골든 이미지에 다시 쓰지 마십시오.
메시 가치는 도시마다 같은 파이프라인을 도는 데 있지만 아이덴티티는 리전 친화와 레지스트리 이그레스 정책과 같이 설계하지 않으면 싱가포르는 이미지를 빨리 당겨도 STS 리전이 어긋나거나 미 동부 토큰이 도쿄 버킷에 사백삼을 돌려 보내는 혼란이 납니다. Issuer와 Audience를 먼저 의심하고 다음으로 러너 지문을 클레임에 실었는지, 마지막에 컴파일러 캐시를 의심하는 순서를 Runbook으로 고정하면 야간 온콜의 헛돌이가 줄어듭니다.
다중 리전에서는 DNS, 인증서, 프록시 셋이 클레임 검증보다 먼저 깨지는 위양성도 많지만 그래도 로그에 jti와 남은 TTL이 없으면 클라우드 감사 로그와의 조인이 불가능합니다.캐시 키와 단계적 게시로 돌아가기 전에 클레임 표를 한 장 인쇄할 수 있게 두면 에스컬레이션이 빨라집니다.
클레임 우선: repository, environment, ref를 검증하고 재사용 워크플로에 파라미터 빠짐이 없는지 봅니다.
친화 둘째: 아티팩트 버킷과 레지스트리에 맞춘 STS 리전을 고르고 컴플라이언스 허용 목록과 충돌시키지 않습니다.
캐시는 마지막: 체크섬과 키 드리프트가 나면 바이트 경로로 돌아가 아이덴티티가 건강해도 빌드가 깨지는 경우를 분리합니다.
jti와 남은 TTL을 로그에: jti를 인덱싱해 클라우드 감사와 파이프라인을 이어 붙입니다.
장애 도메인 연습: 한 리전의 네트워크를 끊고 다른 리전이 세션 파일이나 tmpfs 마운트를 물려받지 않는지 확인합니다.
뮤텍스와 순서: 리스 획득 전에 자격 증명 교환을 끝내 반쯤 열린 세션이 좌석을 점유하지 않게 합니다.
경고: 장수명 자료를 임시 디스크에 복호화해 지워도 크래시 잔재 위험이 남습니다. 잡 경계에서 강제 폐기 가능한 메모리와 커널 키링을 우선하십시오.
아래 세 밴드는 국경을 넘나드는 iOS와 macOS 파이프라인 감사에서 반복 인용된 가이드이며 보장은 아닙니다. 자체 히스토그램으로 바꾸고 생 분포를 아키텍처 승인에 첨부하십시오. 숫자만 복사해 맥락을 버리면 현장에서 재현할 수 없는 그럴듯한 값이 됩니다.
밴뒤 전제는 러너가 상시 가동되고 네트워크 단절이 짧게 수렴하며 잡 격리가 컨테이너나 사용자 분리로 최소한 지켜지고 감사 로그가 중앙으로 모인다는 것입니다. 하나라도 깨지면 TTL을 더 짧게 하고 좌석 수와 동시에 교환 빈도 비용을 다시 봅니다.
job_id, environment, jti 중 하나 이상과 반드시 조인해 설문을 닫을 수 있게 합니다.| 플랫폼 | 컴플라이언스 | 레지스트리 이그레스 | 첫 선택 |
|---|---|---|---|
| GitHub Actions | 표준 | 퍼블릭 허용 | 러너 그룹별 Audience로 OIDC에서 클라우드 STS로 |
| GitLab | 표준 | 프라이빗 필수 | IdP에 묶인 CI_JOB_JWT와 동일 리전 캐시 |
| 자체 스케줄러 | 높음 | 아웃바운드 제한 강함 | mTLS 분할 서명 서비스, PAT는 브레이크글래스만 |
| 포크 부하 큼 | 중간 | 혼합 | 내부와 포크 Audience 분리, 공유 워크스페이스 금지 |
빌려 쓴 노트북, 남는 사람 SSH, 수면과 패치 창으로 갱신이 멈추는 운용은 감사가 요구하는 격리와 주기와 맞지 않습니다. OIDC가 완벽해도 무인 갱신이 깨지는 설계는 다시 장수명 비밀로 도망칩니다.
흔한 실수: 대화형 편의만 최적화하고 무인 갱신과 디스크 잔재에 필요한 반대 방향 통제를 잊는 것입니다.
iOS와 macOS를 지속 배송하면서 OIDC 세션을 감사 가능 필드에 맞추려는 팀은 조달과 다중 사이트 배선에서 자주 막힙니다. 빌린 하드웨어는 강제 취소와 좌석 격리를 계약에 싣기 어렵고 정책 논의가 측정 불가 약속으로 기울기 쉽습니다. 본격 메시 CI에서 아이덴티티 경계를 회전 가능하게 유지하려면 VpsMesh Mac Mini 클라우드 대여가 현실적인 적합이 되기 쉽습니다. 사용량에 가까운 청구 주기, 선택 가능한 리전, 계약에 적을 수 있는 전용 노드가 있어 가동률 논의를 측정 가능한 전제로 되돌립니다.삼 년 TCO 판단 매트릭스와 함께 읽고 회전 인건비까지 포함한 비교를 권합니다.
러너 그룹과 환경 Audience를 먼저 고정한 뒤 작업 체인 봉투와 리스 필드를 맞춥니다.공유 빌드 풀과관측 가능 작업 체인을 함께 읽고 리전과 사이즈는가격 페이지와주문 페이지에서 확인하세요.
고객 센터에서 시작해SSH 대 VNC 글로 지연과 세션 전제를 확인합니다. 자격 증명이 이상하면 Audience와 클레임 검증으로 되돌아가고 발주 전 확인은주문 페이지도 함께 보세요.