RushCrew · Doritosch · Dec 22, 2025 · Dec 22, 2025 · Dec 22, 2025 · Dec 22, 2025
@@ -2,7 +2,7 @@ name: Deploy to Amazon ECR (Develop)
 
 on:
   push:
-    branches: [ "develop" ] # develop 브랜치에 푸시(머지)될 때만 실행
+    branches: [ "develop", "improve/infra/217" ] # develop 브랜치에 푸시(머지)될 때만 실행
 
   workflow_dispatch: # 수동 실행 버튼 추가
     inputs:
@@ -24,6 +24,7 @@ on:
 env:
   AWS_REGION: ap-northeast-2                  # 리전 (서울)
   ECR_REPOSITORY_PREFIX: rushdeal              # ECR 리포지토리 이름 접두사 (예: rushdeal-user-service)
+  ECS_CLUSTER: rush_deal_msa
 
 permissions:
   contents: read
@@ -112,9 +113,70 @@ jobs:
           echo "Pushing $REPO_NAME:latest..."
           docker push $ECR_REGISTRY/$REPO_NAME:latest
 
-          echo "✅ Successfully pushed $REPO_NAME"
-
-      # 7. 빌드 결과 요약
+          echo "--- Successfully pushed $REPO_NAME"
+
+      # 7. ECS 서비스에 새로운 ERC 이미지 갱신, 새로운 태스크 정의 등록 및 서비스 업데이트 (# 예: user-service)
+      - name: Register new Task Definition an Update ECS Service with new image
+        env:
+          ECR_REGISTRY: ${{ steps.login-ecr.outputs.registry }}
+          IMAGE_TAG: develop-${{ github.sha }}
+        run: |
+          # 이름 규칙 정의
+          # matrix.service: product-service -> SERVICE_BASE: product
+          SERVICE_BASE=$(echo "${{ matrix.service }}" | sed 's/-service//')
+
+          # 태스크 정의 패밀리 명: rushdeal-product-task
+          TASK_FAMILY="rushdeal-${SERVICE_BASE}-task"
+
+
+          # 새 이미지 주소: .../rushdeal-product-service:develop-abcdef
+          NEW_IMAGE_URI="$ECR_REGISTRY/${{ env.ECR_REPOSITORY_PREFIX }}-${{ matrix.service }}:$IMAGE_TAG"
+
+          echo "Target Task Family: $TASK_FAMILY"
+          echo "Target Service Name: $REAL_ECS_SERVICE_NAME"
+          echo "New Image URI: $NEW_IMAGE_URI"
+
+          # 현재 사용 중인 태스크 정의를 가져옵니다.
+          TASK_DEFINITION=$(aws ecs describe-task-definition --task-definition $TASK_FAMILY --region ${{ env.AWS_REGION }})
+
+          # 이미지 주소만 최신 이미지(SHA 포함된 것)로 갈아끼웁니다.
+          NEW_TASK_DEF=$(echo $TASK_DEFINITION | jq --arg IMAGE "$NEW_IMAGE_URI" \
+            '.taskDefinition | .containerDefinitions[0].image = $IMAGE | del(.taskDefinitionArn) | del(.revision) | del(.status) | del(.requiresAttributes) | del(.compatibilities) | del(.registeredAt) | del(.registeredBy)')
+
+          # 새로운 태스크 정의 리비전을 등록합니다.
+          NEW_TASK_DEF_ARN=$(aws ecs register-task-definition --region ${{ env.AWS_REGION }} --cli-input-json "$NEW_TASK_DEF" --query 'taskDefinition.taskDefinitionArn' --output text)
+
+          # 실제 ECS에 등록된 서비스 이름을 정확히 맞춰야 합니다.
+          # matrix.service가 user-service라면 -> rushdeal-user-service
+          REAL_ECS_SERVICE_NAME="${{ env.ECR_REPOSITORY_PREFIX }}-${{ matrix.service }}"
+
+          echo "----Deploying to ECS Cluster: ${{ env.ECS_CLUSTER }}----"
+          echo "----Service Name: $REAL_ECS_SERVICE_NAME----"
+
+          # ECS 서비스 강제 재배포 (최신 이미지 사용)
+          # 새 리비전으로 서비스를 업데이트 (새 태스크 정의)
+          aws ecs update-service \
+            --cluster ${{ env.ECS_CLUSTER }} \
+            --service $REAL_ECS_SERVICE_NAME \
+            --task-definition $NEW_TASK_DEF_ARN \
+            --force-new-deployment \
+            --region ${{ env.AWS_REGION }}
+
+
+      - name: Wait for deployment to complete
+        run: |
+          REAL_ECS_SERVICE_NAME="${{ env.ECR_REPOSITORY_PREFIX }}-${{ matrix.service }}"
+
+          echo "---Waiting for $REAL_ECS_SERVICE_NAME deployment to stabilize..."
+
+          aws ecs wait services-stable \
+                      --cluster ${{ env.ECS_CLUSTER }} \
+                      --services $REAL_ECS_SERVICE_NAME \
+                      --region ${{ env.AWS_REGION }}
+
+                    echo "--- $REAL_ECS_SERVICE_NAME is now stable!"
+
+      # 8. 빌드 결과 요약
       - name: Image digest
         run: |
           echo "Service: ${{ matrix.service }}"

@@ -11,7 +11,7 @@
 import org.springframework.web.bind.annotation.PostMapping;
 import org.springframework.web.bind.annotation.RequestBody;
 
-@FeignClient(name = "user-service")
+@FeignClient(name = "user-service", url = "${USER_SERVICE_URL}")
 public interface UserFeignClient {
     @PostMapping("/api/v1/users")
     UserCreateResponse createUser(@RequestBody UserCreateRequest request);

@@ -1,9 +1,11 @@
 package com.rushcrew.auth_service.global.config;
 
+import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
+import org.springframework.security.config.http.SessionCreationPolicy;
 import org.springframework.security.web.SecurityFilterChain;
 
 @Configuration
@@ -15,7 +17,19 @@ public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Excepti
             .csrf(AbstractHttpConfigurer::disable)
             .formLogin(AbstractHttpConfigurer::disable)
             .logout(AbstractHttpConfigurer::disable)
-            .authorizeHttpRequests(auth -> auth.anyRequest().permitAll());
+            .sessionManagement(session ->
+                session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 세션 사용 안 함 (Stateless 설정)
+            .authorizeHttpRequests(auth -> auth
+                // Actuator 엔드포인트를 경로와 상관없이 모두 허용
+                // 엔드포인트 요청(health, info 등)을 자동으로 인식하여 허용합니다.
+                .requestMatchers(EndpointRequest.toAnyEndpoint()).permitAll()
+                // 경로별 권한 설정
+                // 보통 @PreAuthorize로 처리하므로 모두 허용하거나 authenticated로 설정
+                // Actuator나 헬스 체크 경로는 열어두는 것이 좋음
+                .requestMatchers("/actuator/**", "/health").permitAll()
+                .requestMatchers("/api/v1/auth/**").permitAll()
+                .anyRequest().authenticated()
+            );
         return http.build();
     }
 }
@@ -18,6 +18,8 @@ spring:
       host: ${AUTH_REDIS_HOST:localhost}
       port: ${AUTH_REDIS_PORT:6378}
       password: ${REDIS_PASSWORD}
+      ssl:
+        enabled: false # 스프링 부트에서도 SSL(TLS)을 사용하겠다고 설정
       timeout: 3000ms
       lettuce:
         pool:
@@ -31,6 +33,9 @@ server:
 
 eureka:
   client:
+    enabled: false # Eureka 클라이언트 기능 자체를 끕니다.
+    register-with-eureka: false # 서버에 등록하지 않음
+    fetch-registry: false # 서버로부터 정보를 가져오지 않음
     service-url:
       defaultZone: ${EUREKA_URL:http://localhost:8761/eureka/}
 
@@ -55,12 +60,18 @@ management:
   endpoint:
     health:
       show-details: always
+      redis:
+        enabled: false  # Redis가 죽어도 전체 앱을 DOWN 시키지 않음
+      db:
+        enabled: false     # DB가 죽어도 전체 앱을 DOWN 시키지 않음
     prometheus:
       access: unrestricted
   tracing:
+    enabled: false
     sampling:
       probability: ${MANAGEMENT_TRACING_SAMPLING_PROBABILITY:1.0}
 
     zipkin:
       tracing:
+        enabled: false
         endpoint: ${MANAGEMENT_ZIPKIN_TRACING_ENDPOINT:http://localhost:9411/api/v2/spans}
@@ -79,9 +79,6 @@ resilience4j:
         timeout-duration: 3s
         cancel-running-future: true
 
-server:
-  port: 9000
-
 eureka:
   client:
     service-url:

@@ -64,5 +64,7 @@ subprojects {
         // 테스트 시에도 Lombok 사용 가능하도록
         testCompileOnly 'org.projectlombok:lombok'
         testAnnotationProcessor 'org.projectlombok:lombok'
+
+        implementation 'org.springframework.boot:spring-boot-starter-actuator'
     }
 }
@@ -0,0 +1,56 @@
+#!/bin/bash
+
+# ==========================================
+# AWS 리소스 비용 절감 스크립트 (퇴근용)
+# ==========================================
+
+CLUSTER_NAME="rush_deal_msa"
+DB_INSTANCE_ID="postgres" # RDS 인스턴스 식별자
+REGION="ap-northeast-2"
+
+echo "🛑 AWS 리소스 정리를 시작합니다..."
+
+# 1. ECS 서비스 개수 0으로 줄이기 (Fargate 비용 0원 만들기)
+# 서비스 목록: user, order, payment, product, queue, timedeal (auth 포함)
+SERVICES=("user-service" "order-service" "payment-service" "product-service" "queue-service" "timedeal-service" "auth-service")
+
+for SERVICE in "${SERVICES[@]}"
+do
+    echo "   [ECS] Stopping tasks for $SERVICE..."
+    # Auto Scaling이 다시 늘리는 걸 막기 위해 Min/Max도 0으로 수정 (선택사항이나 안전함)
+    # 단순히 Desired Count만 0으로 하면 Auto Scaling이 다시 1로 늘릴 수 있음!
+    aws application-autoscaling register-scalable-target \
+        --service-namespace ecs \
+        --resource-id service/$CLUSTER_NAME/$SERVICE \
+        --scalable-dimension ecs:service:DesiredCount \
+        --min-capacity 0 \
+        --max-capacity 0 \
+        --region $REGION > /dev/null 2>&1
+
+    aws ecs update-service \
+        --cluster $CLUSTER_NAME \
+        --service $SERVICE \
+        --desired-count 0 \
+        --region $REGION > /dev/null
+done
+echo "✅ ECS 모든 태스크 종료 완료 (비용 발생 중단)"
+
+# 2. RDS 데이터베이스 일시 정지 (Stop)
+# 주의: 최대 7일간만 정지됨. 그 이후엔 자동으로 다시 켜짐.
+echo "   [RDS] Stopping Database ($DB_INSTANCE_ID)..."
+aws rds stop-db-instance \
+    --db-instance-identifier $DB_INSTANCE_ID \
+    --region $REGION > /dev/null 2>&1
+
+if [ $? -eq 0 ]; then
+    echo "✅ RDS 정지 명령 전송 완료 (완전히 멈추는데 몇 분 걸림)"
+else
+    echo "⚠️ RDS 정지 실패 (이미 꺼져있거나 이름이 틀림)"
+fi
+
+# 3. NAT Gateway 경고 (스크립트로 지우긴 위험함)
+echo "--------------------------------------------------------"
+echo "⚠️ [중요] NAT Gateway와 MSK는 '일시 정지'가 불가능합니다!"
+echo "   비용이 걱정된다면 AWS 콘솔에서 직접 '삭제(Delete)' 하세요."
+echo "   (NAT Gateway는 시간당 약 60원이 계속 나갑니다)"
+echo "--------------------------------------------------------"
@@ -1,9 +1,11 @@
 package com.rushcrew.order_service.global.security.config;
 
+import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
 import org.springframework.security.config.annotation.web.builders.HttpSecurity;
+import org.springframework.security.config.http.SessionCreationPolicy;
 import org.springframework.security.web.SecurityFilterChain;
 import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
 
@@ -15,10 +17,22 @@ public class SecurityConfig {
     @Bean
     public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
         http
-                .csrf(AbstractHttpConfigurer::disable)
-                .formLogin(AbstractHttpConfigurer::disable)
-                .logout(AbstractHttpConfigurer::disable)
-                .authorizeHttpRequests(auth -> auth.anyRequest().permitAll());
+            .csrf(AbstractHttpConfigurer::disable)
+            .formLogin(AbstractHttpConfigurer::disable)
+            .logout(AbstractHttpConfigurer::disable)
+            .sessionManagement(session ->
+                session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 세션 사용 안 함 (Stateless 설정)
+            .authorizeHttpRequests(auth -> auth
+                // Actuator 엔드포인트를 경로와 상관없이 모두 허용
+                // 엔드포인트 요청(health, info 등)을 자동으로 인식하여 허용합니다.
+                .requestMatchers(EndpointRequest.toAnyEndpoint()).permitAll()
+                // 경로별 권한 설정
+                // 보통 @PreAuthorize로 처리하므로 모두 허용하거나 authenticated로 설정
+                // Actuator나 헬스 체크 경로는 열어두는 것이 좋음
+                .requestMatchers("/actuator/**", "/health").permitAll()
+                .requestMatchers("/api/v1/orders/**", "/api/v1/batch/**").permitAll()
+                .anyRequest().authenticated()
+            );
         return http.build();
     }
 }
@@ -27,6 +27,13 @@ protected void doFilterInternal(
             FilterChain filterChain
     ) throws IOException, ServletException {
 
+        String requestURI = request.getRequestURI();
+        // internal 경로는 JWT 검사 없이 바로 통과시키기
+        if (requestURI.startsWith("/api/v1/internal/")) {
+            filterChain.doFilter(request, response);
+            return;
+        }
+
         String userId = request.getHeader(USER_ID_HEADER);
         String email = request.getHeader(USER_NAME_HEADER);
         String role = request.getHeader(USER_ROLE_HEADER);

@@ -8,7 +8,7 @@
 import com.rushcrew.order_service.infrastructure.dto.payment.PaymentPrepareResponse;
 import com.rushcrew.order_service.infrastructure.dto.payment.PaymentRequest;
 
-@FeignClient(name = "payment-service")
+@FeignClient(name = "payment-service", url = "${PAYMENT_SERVICE_URL}")
 public interface PaymentFeignClient {
 	@PostMapping("/api/v1/payments")
 	PaymentPrepareResponse requestPayment(@RequestBody PaymentRequest request);

@@ -10,7 +10,7 @@
 import com.rushcrew.order_service.infrastructure.dto.point.PointBalanceResponse;
 import com.rushcrew.order_service.infrastructure.dto.point.UsePointRequest;
 
-@FeignClient(name = "user-service")
+@FeignClient(name = "user-service", url = "${USER_SERVICE_URL}")
 public interface PointFeignClient {
 
 	/* 포인트 사용 */

@@ -7,7 +7,7 @@
 
 import com.rushcrew.common.dto.ApiResponse;
 
-@FeignClient(name = "queue-service")
+@FeignClient(name = "queue-service", url = "${QUEUE_SERVICE_URL}")
 public interface QueueFeignClient {
 
 	@GetMapping("/api/v1/internal/queues/tokens/verify")

@@ -6,7 +6,7 @@
 import com.rushcrew.order_service.infrastructure.dto.timedeal.TimeDealResponse;
 import com.rushcrew.order_service.infrastructure.dto.timedeal.TimeDealStockResponse;
 
-@FeignClient(name = "timedeal-service")
+@FeignClient(name = "timedeal-service", url = "${TIMEDEAL_SERVICE_URL}")
 public interface TimeDealStockFeignClient {
 
 	@GetMapping("/api/v1/timedeals/{timeDealId}/order")

@@ -31,7 +31,7 @@ public RedissonClient redissonClient() {
 			.setRetryInterval(1500);
 
 		if (redisPassword != null && !redisPassword.trim().isEmpty()) {
-			singleServerConfig.setPassword(redisPassword);
+//			singleServerConfig.setPassword(redisPassword);
 		}
 
 		return Redisson.create(config);