Feature/scrum 71 monitoring

[hiwon-lee]

#️⃣ 연관된 이슈

관련된 이슈 번호를 적어주세요. 예: #이슈번호
#72

#️⃣ 작업 내용

이번 PR에서 작업한 내용을 간략히 설명해주세요. (이미지 첨부 가능)
https://www.notion.so/2b0714c1a808806787edfe8eaed2955c
위의 노션 페이지에서 확인

배포 후 정상 작동하는 지 재확인 해야한다.

#️⃣ 테스트 결과

코드 변경에 대해 테스트를 수행한 결과를 요약해주세요. 예: 모든 테스트 통과 여부, 새로 작성한 테스트 케이스 등

#️⃣ 변경 사항 체크리스트

• 코드에 영향이 있는 모든 부분에 대한 테스트를 작성하고 실행했나요?
• 문서를 작성하거나 수정했나요? (필요한 경우)
• 코드 컨벤션에 따라 코드를 작성했나요?
• 본 PR에서 발생할 수 있는 모든 의존성 문제가 해결되었나요?

#️⃣ 스크린샷 (선택)

관련된 스크린샷이 있다면 여기에 첨부해주세요.

#️⃣ 리뷰 요구사항 (선택)

리뷰어가 특별히 봐주었으면 하는 부분이 있다면 작성해주세요.
예시: 이 부분의 코드가 잘 작동하는지 테스트해 주실 수 있나요?

📎 참고 자료 (선택)

관련 문서, 스크린샷, 또는 예시 등이 있다면 여기에 첨부해주세요

[gemini-code-assist]

Summary of Changes

Hello @hiwon-lee, I'm Gemini Code Assist¹! I'm currently reviewing this pull request and will post my feedback shortly. In the meantime, here's a summary to help you and other reviewers quickly get up to speed!

이 PR은 Prometheus와 Grafana를 활용한 포괄적인 애플리케이션 모니터링 솔루션을 도입합니다. 필요한 의존성을 추가하고, Docker Compose 설정을 통해 모니터링 도구를 배포하며, Spring Boot Actuator 엔드포인트를 노출하여 애플리케이션과 인프라의 상세 메트릭 수집 및 시각화를 가능하게 하는 것이 주요 목적입니다.

Highlights

• 모니터링 시스템 구축: Prometheus와 Grafana를 활용한 애플리케이션 모니터링 시스템을 구축했습니다.
• 의존성 추가: build.gradle에 micrometer-registry-prometheus 의존성을 추가하여 Prometheus 연동을 가능하게 했습니다.
• Docker Compose 설정: Prometheus와 Grafana를 위한 docker-compose.prometheus.yml 파일을 새로 추가하고, 기존 docker-compose.yml에 Prometheus 서비스를 포함하도록 수정했습니다.
• Prometheus 설정: prometheus.yml 파일을 추가하여 Spring Boot 애플리케이션 및 EC2 인스턴스에서 메트릭을 수집하도록 Prometheus 스크랩 작업을 정의했습니다.
• Actuator 엔드포인트 노출: Spring Boot Actuator의 prometheus 엔드포인트를 포함한 여러 엔드포인트(beans, httptrace, info, metrics)를 노출하고, SecurityConfig에서 /actuator/** 경로에 대한 접근을 허용하도록 업데이트했습니다.

🧠 New Feature in Public Preview: You can now enable Memory to help Gemini Code Assist learn from your team's feedback. This makes future code reviews more consistent and personalized to your project's style. Click here to enable Memory in your admin console.

Using Gemini Code Assist

The full guide for Gemini Code Assist can be found on our documentation page, here are some quick tips.

Invoking Gemini

You can request assistance from Gemini at any point by creating a comment using either /gemini <command> or @gemini-code-assist <command>. Below is a summary of the supported commands on the current page.

Feature	Command	Description
Code Review	/gemini review	Performs a code review for the current pull request in its current state.
Pull Request Summary	/gemini summary	Provides a summary of the current pull request in its current state.
Comment	@gemini-code-assist	Responds in comments when explicitly tagged, both in pull request comments and review comments.
Help	/gemini help	Displays a list of available commands.

Customization

To customize Gemini Code Assist for GitHub experience, repository maintainers can create a configuration file and/or provide a custom code review style guide (such as PEP-8 for Python) by creating and adding files to a .gemini/ folder in the base of the repository. Detailed instructions can be found here.

Limitations & Feedback

Gemini Code Assist may make mistakes. Please leave feedback on any instances where its feedback is incorrect or counter productive. You can react with 👍 and 👎 on @gemini-code-assist comments. If you're interested in giving your feedback about your experience with Gemini Code Assist for Github and other Google products, sign up here.

You can also get AI-powered code generation, chat, as well as code reviews directly in the IDE at no cost with the Gemini Code Assist IDE Extension.

Footnotes

1. Review the Privacy Notices, Generative AI Prohibited Use Policy, Terms of Service, and learn how to configure Gemini Code Assist in GitHub here. Gemini can make mistakes, so double check it and use code with caution. ↩

[gemini-code-assist]

Code Review

이 PR은 Prometheus와 Grafana를 사용하여 애플리케이션 모니터링을 설정하는 변경 사항을 포함하고 있습니다. 전반적으로 모니터링 기능 추가의 방향은 좋지만, 몇 가지 중요한 보안 및 유지보수 관련 문제를 발견했습니다. 특히, Actuator 엔드포인트를 과도하게 노출하는 보안 설정과 설정 파일에 IP 주소를 하드코딩한 부분은 반드시 수정이 필요합니다. 또한 Docker 컨테이너를 root 사용자로 실행하는 것은 보안상 위험하므로 지양해야 합니다. 자세한 내용은 각 파일에 남긴 코멘트를 참고해주세요.

[gemini-code-assist]

설정 파일에 IP 주소를 하드코딩하면 서버 IP 변경 시 유연하게 대처하기 어렵고 유지보수 비용이 증가합니다. 환경 변수나 서비스 디스커버리 메커니즘을 사용하여 대상을 동적으로 설정하는 것을 강력히 권장합니다. 예를 들어, 환경 변수를 사용하여 다음과 같이 설정할 수 있습니다:

- targets: ['${APP_INSTANCE_1_HOST}:8080', '${APP_INSTANCE_2_HOST}:8081']

이렇게 하면 배포 환경에 따라 유연하게 대상을 설정할 수 있습니다.

[gemini-code-assist]

이곳의 IP 주소 또한 하드코딩되어 있습니다. 유지보수성과 확장성을 위해 환경 변수나 서비스 디스커버리를 통해 동적으로 주소를 설정하도록 변경해주세요. 예를 들어:

- targets: ['${EC2_HOST}:9100']

[gemini-code-assist]

/actuator/** 경로를 permitAll()로 설정하면 애플리케이션의 민감한 내부 정보(예: 설정 속성, 환경 변수, 스레드 덤프 등)가 외부에 노출될 수 있는 심각한 보안 취약점이 발생할 수 있습니다. application.yml에서 beans, httptrace, info 등 많은 엔드포인트를 노출하고 있어 위험이 더욱 큽니다.

Prometheus 연동에 필요한 /actuator/prometheus와 상태 확인을 위한 /actuator/health만 명시적으로 허용하도록 패턴을 수정해야 합니다.

            "/actuator/health",
            "/actuator/prometheus"

[gemini-code-assist]

보안상의 이유로 Docker 컨테이너를 root 사용자로 실행하는 것은 권장되지 않습니다. prom/prometheus 이미지는 nobody라는 비-root 사용자를 기본으로 제공합니다. user: root 라인을 제거하여 기본 사용자로 실행하도록 변경하는 것을 강력히 권장합니다. 이렇게 하면 컨테이너 내부에서 잠재적인 취약점이 악용되더라도 호스트 시스템에 미치는 영향을 최소화할 수 있습니다.

[gemini-code-assist]

Prometheus 서비스와 마찬가지로 Grafana 컨테이너도 root 사용자로 실행하는 것은 보안상 위험합니다. grafana/grafana 이미지는 grafana라는 비-root 사용자를 제공합니다. user: root 라인을 제거하여 보다 안전한 기본 사용자로 실행되도록 수정해주세요.

[gemini-code-assist]

Docker 이미지에 :latest 태그를 사용하는 것은 예기치 않은 버전 변경으로 인해 빌드 실패나 동작 오류를 유발할 수 있습니다. 안정적인 운영을 위해 특정 버전(예: v2.53.0)을 명시하는 것이 좋습니다.

    image: prom/prometheus:v2.53.0