🚀 Terraform + MCP: 더 똑똑하고 더 혁신 인프라로?!?!

|주된 내용은 Terraform MCP Server가 AI Model과 Terraform Registry 연결되서, Terraform 설정에 필요한 실시간 문서 · Schema · Module 을 불러오고, 이를 통해서, IaC 작성, 최신 Provider 정보 제공 등 DevOps 생산성 극대화한다고 합니다.

모든 Case에 100% 확신을 가지고 사용해야할 수 있을지 아래 모범 상세 내용을 참고해보세요.

[출처] Terraform + MCP: Your Fast Track to Smarter, Faster Infrastructure | by rajni singh | GenusofTechnology | Aug, 2025 | Medium 의 내용을 번역할 글입니다.

HashiCorp의 Terraform MCP Server는 AI 도구를 Terraform Registry의 실제 데이터(Providers, Resources, Modules, Policies)에 직접 연결해 줍니다. 그 결과는 근거 있는 답변과 더 나은 IaC 작성 경험입니다.

이 가이드는 MCP가 무엇인지, 왜 중요한지, 그리고 이를 로컬 또는 원격에서 어떻게 활성화하는지 보여주며, 첫날부터 실질적인 가치를 얻을 수 있는 방법까지 다룹니다.

• Terraform을 위한 MCP란 무엇인가
• 왜 중요한가
• 어떻게 설정하는가
• 실제 예제들
• CI/CD 파이프라인에서 MCP + Terraform 활용하기
• DevOps 팀에 주는 진짜 이점

MCP(Model Context Protocol)란 무엇이며, 왜 Terraform에 필요한가?

MCP는 AI 클라이언트(Copilot, Claude, Cursor 등)가 외부 도구와 안전하고 구조화된 방식으로 통신할 수 있게 해주는 표준입니다. Terraform MCP Server는 HashiCorp의 공식 MCP 구현체로, Terraform Registry API를 AI 클라이언트에 노출해 필요한 문서, 스키마, 모듈을 실시간으로 조회할 수 있게 합니다. Docker 컨테이너로 실행되며 stdio(로컬) 또는 streamable-http(원격) 전송을 지원합니다.

Terraform을 위한 MCP란 무엇인가?

MCP는 Model Context Protocol의 약자로, AI 기반 도구들이 외부 데이터 소스 및 API와 샌드박스된 안전한 방식으로 연결할 수 있는 표준입니다.

Terraform MCP Server는 HashiCorp의 공식 MCP 구현체입니다.
이 서버는 AI 도구를 Terraform Registry에 직접 연결하여 다음을 가능하게 합니다:

• Providers, Resources, Data Sources 검색
• 최신 Markdown 문서 가져오기
• 모듈 탐색 및 분석
• Sentinel/Terraform 정책 확인

즉, 이제 AI Assistant는 추측 대신 실제 출처로부터 직접 확인한 정보를 제공합니다.

왜 MCP + Terraform이 게임 체인저인가?

• Zero Hallucination Docs: LLM이 잘못된 argument를 만들어내는 대신 provider 문서에 있는 정확한 정보를 보여줍니다.
• Always Fresh: Terraform Registry에서 최신 스키마와 예제를 가져옵니다.
• Multi-Client Support: GitHub Copilot(VS Code Agent), Cursor, Claude Desktop, Amazon Q Developer 등과 호환됩니다.
• Security Friendly: 로컬(stdio) 또는 원격(HTTP)에서 origin 제한을 적용해 실행할 수 있습니다.
• Fast Dev Onboarding: 신규 팀원이 문서를 뒤질 필요 없이 자연어로 자원과 모듈을 탐색할 수 있습니다.

일상적인 사용 예제

MCP를 활성화하면 AI 도구에 이렇게 말할 수 있습니다:

“Google Cloud provider에서 AI 관련 리소스를 나열해 줘.”
→ google_vertex_ai_endpoint, google_document_ai_processor 등을 반환합니다.

“azurerm_storage_account에 대한 문서와 예제를 보여줘.”
→ 공식 resource 문서와 사용 예제를 가져옵니다.

“IBM Cloud VM을 생성하는 모듈을 찾아서 input/output을 요약해줘.”
→ Terraform Registry를 검색하고 세부 내용을 보여줍니다.

전체 아키텍처 개요

• AI Client(Copilot/Claude/Cursor)가 MCP 도구를 호출
• Terraform MCP Server가 Terraform Registry에서 실시간 데이터 가져오기
• Client가 문서, 버전, input/output, 예제를 렌더링 — 추측은 없습니다.

Terraform MCP 서버 개요

이 문서는 Terraform Model Context Protocol(MCP) 서버에 대해 설명합니다. 이 서버는 Terraform Registry에서 정보를 직접 가져와 AI 또는 LLM이 Terraform 구성을 작성할 때 도움을 줄 수 있도록 합니다. 이렇게 하면 AI는 공식 Provider 코드와 문서를 신뢰할 수 있는 소스로 활용하게 됩니다.

Model Context Protocol(MCP)은 AI 모델이 외부 도구, 애플리케이션, 데이터 소스와 표준화된 방식으로 연결될 수 있도록 합니다. 쉽게 말해, AI(예: LLM 기반 대화)와 필요한 시스템 간의 범용 번역기 역할을 합니다.

AI 모델을 Terraform MCP 서버에 연결하면, 오래된 학습 데이터에 의존하지 않고 공식 Terraform Registry에서 최신 Provider, Module, Policy 정보를 직접 가져올 수 있습니다. 이를 통해 Terraform 관련 질문에 대해 더 정확하고 최신이며 실행 가능한 답변을 얻을 수 있습니다.

핵심 포인트: 이 서버는 Terraform Registry의 Provider 구성과 관련된 질문에서 가장 효과적입니다. 일반적인 Terraform 개념이나 코드 생성과 같은 경우에는 여전히 인터넷과 같은 다른 소스를 활용할 수 있습니다.

동작 방식

1. Terraform MCP 서버 배포

   • Docker 컨테이너에서 실행
   • 로컬 환경 → stdio 모드로 시작
   • 원격 환경 → Streamable HTTP 통신을 위한 http 모드로 시작
   • 전체 지침은 문서의 Deploy server 항목을 참고

2. AI에게 MCP 도구 사용 요청

   • 연결이 완료되면, AI는 MCP 서버의 특정 도구를 호출해 문서 조회, 모듈 검색, 정책 세부 정보 확인 등을 Registry에서 직접 가져올 수 있습니다.

왜 Terraform에서 MCP를 사용해야 할까요?

• 항상 최신 데이터 — Registry의 소스 코드에서 직접 가져옵니다.
• 더 높은 정확성 — 오래되었거나 잘못된 AI 답변을 피할 수 있습니다.
• 매끄러운 AI 통합 — 문서를 복사해 붙여넣을 필요가 없습니다.

Terraform MCP 서버 배포

Terraform MCP(Model Context Protocol) 서버는 AI 도구가 Terraform Registry에서 최신 Terraform provider와 module 데이터를 직접 가져올 수 있도록 합니다. 이 서버는 Docker 컨테이너에서 실행되며, 로컬과 원격 설정 모두를 지원합니다.

1. 요구사항

• Docker
• Docker Engine v20.10.21 이상
• Docker Desktop v4.14.0 이상
• MCP 지원 클라이언트
• VS Code + Copilot
• Cursor
• Anthropic Claude Desktop

2. 로컬 설정 (stdio 모드)
   Docker 실행:

docker run -i --rm hashicorp/terraform-mcp-server

VS Code 사용자 설정(settings.json):

{
  "mcp": {
    "servers": {
      "terraform": {
        "command": "docker",
        "args": [
          "run",
          "-i",
          "--rm",
          "hashicorp/terraform-mcp-server"
        ]
      }
    }
  }
}

3. 소스에서 설치 (선택 사항)
   최신 릴리스:

go install github.com/hashicorp/terraform-mcp-server/cmd/terraform-mcp-server@latest

메인 브랜치:

go install github.com/hashicorp/terraform-mcp-server/cmd/terraform-mcp-server@main

클라이언트 설정:

{
  "mcp": {
    "servers": {
      "terraform": {
        "command": "/path/to/terraform-mcp-server",
        "args": ["stdio"]
      }
    }
  }
}

4. 원격 설정 (HTTP 모드)
   환경 변수:

export TRANSPORT_MODE=streamable-http
export TRANSPORT_HOST=0.0.0.0
export TRANSPORT_PORT=8080

빌드 및 실행:

git clone https://github.com/hashicorp/terraform-mcp-server.git
cd terraform-mcp-server
make docker-build
docker run -p 8080:8080 --rm -e MODE=streamable-http terraform-mcp-server:dev

5. 클라이언트에서 MCP 활성화

• VS Code: Settings → Enable MCP → Terraform MCP tools 선택
• Cursor: Chat Settings → Enable MCP → 도구 활성화 확인
• Claude Desktop: Tools Menu → Enable Terraform MCP

이제 AI는 Terraform Registry에서 최신 문서를 가져오고, 모듈을 검색하며, 정책을 확인할 수 있습니다. 오래된 데이터가 아닌 최신 정보를 바로 활용할 수 있게 됩니다.

Terraform MCP 서버와 연결된 모델 프롬프트 사용하기

Terraform MCP 서버를 배포한 후(Deploy the Terraform MCP server 참고), AI 모델에게 질문을 던져 Terraform 설정을 작성하는 데 도움을 받을 수 있습니다.

참고: MCP는 아직 베타 단계이며, 프로덕션 환경에서는 사용되지 않습니다.

작동 방식

MCP 서버는 AI를 Terraform Registry의 최신 데이터와 연결합니다.
질문이 Registry의 provider나 module과 관련된 경우, AI는 MCP 서버를 통해 조회합니다.
일반적인 Terraform 질문이나 코드 생성과 관련된 경우에는 인터넷이나 다른 소스를 사용할 수 있습니다.

시작 전 준비

• Terraform MCP 서버가 배포되어 있어야 합니다.
• AI 클라이언트가 MCP를 사용하도록 설정되어 있어야 합니다.

MCP 프롬프트 작성 팁

• 구체적으로 작성하세요: provider나 module 이름을 정확히 언급합니다.
  • 예: “compute disk” 대신 google_compute_disk 사용
• 전체 resource 주소를 활용하세요 (Terraform CLI 문서 참고).
• 최신 버전이나 특정 provider/module 세부 정보를 요청하세요.

프롬프트 예시

1. Google Provider에서 AI 관련 리소스 가져오기
프롬프트:

I need help understanding what resources are available in the Google provider that are for A

결과: Google AI 리소스 목록 제공

• vertex_ai_dataset
• vertex_ai_endpoint
• vertex_ai_feature_group
• document_ai_processor

이 리소스들은 Google Cloud에서 AI/ML 워크플로우를 관리하는 데 사용됩니다.

2. Azure에서 Storage Bucket 설정하기

프롬프트:

I need help setting up storage buckets in the Azure provide

결과: 관련 리소스 제공

• azurerm_storage_account
• azurerm_storage_container

예시 코드:

resource "azurerm_resource_group" "example" {
  name     = "example-resources"
  location = "West Europe"
}

resource "azurerm_storage_account" "example" {
  name                     = "storageaccountname"
  resource_group_name      = azurerm_resource_group.example.name
  location                 = azurerm_resource_group.example.location
  account_tier             = "Standard"
  account_replication_type = "GRS"
  tags = {
    environment = "staging"
  }
}

3. IBM VM 모듈 찾기
프롬프트:

Is there a module to help with setting up an IBM VM?

결과:

• 모듈: intel/ibm-vm/intel/1.2.2
• 설명: Intel Cloud Optimization Module — IBM VM
• 소스: GitHub — intel/terraform-intel-ibm-vm

다음 단계: MCP가 설정된 후, provider나 module에 대한 구체적인 질문을 하면 Terraform Registry에서 최신 데이터를 바로 가져옵니다.

이점 (팀에서 채택하는 이유)

• 근거 있는 답변: 실시간 Registry 데이터 기반으로 provider/resource/module 정보를 가져오므로 최신 문법과 일치하고 오류가 줄어듭니다.
• 빠른 작성과 리뷰: 정확한 인자, 버전별 예제, module I/O를 요청해 깨끗한 Terraform 코드 조각을 바로 붙여넣을 수 있습니다.
• 유연한 배포: 로컬(stdio) 실행 또는 중앙(streamable-http) 호스팅 가능.
• 온보딩 용이: 주니어 엔지니어가 대화형으로 provider/module을 탐색하며 공식 문서와 일관성 유지.

사전 요구사항

• Docker (Desktop/Engine)
• MCP를 지원하는 클라이언트 (예: VS Code GitHub Copilot Chat, Claude Desktop, Cursor)

옵션 A — 로컬 설정 (stdio)

로컬에서 MCP를 실행하면 클라이언트가 stdio를 통해 서버를 실행합니다.

1. 클라이언트 MCP 설정에 추가
(파일 위치는 클라이언트에 따라 다르지만 패턴은 비슷합니다.)

{
  "mcp": {
    "servers": {
      "terraform": {
        "command": "docker",
        "args": ["run","-i","--rm","hashicorp/terraform-mcp-server"]
      }
    }
  }
}

공식 Docker 이미지는 hashicorp/terraform-mcp-server에 있으며, Docker Hub에서 확인할 수 있습니다.
HashiCorp는 stdio를 기본 로컬 전송 방식으로 권장합니다.

옵션 B — 원격 설정 (streamable-http)

Terraform MCP를 VM/컨테이너에 호스팅해 여러 팀원이 연결할 수 있게 합니다.

1. 서버 실행

docker run --rm -p 8080:8080 \
  -e TRANSPORT_MODE=streamable-http \
  hashicorp/terraform-mcp-server

원격 배포에서는 streamable-http 전송을 사용해야 합니다.

2. 보안 강화
허용 origin과 프론트에 둘 인증(예: gateway/OIDC)을 설정합니다. 예시:

docker run --rm -p 8080:8080 \
  -e TRANSPORT_MODE=streamable-http \
  -e MCP_ALLOWED_ORIGINS="https://your-ai-client.app,https://your-copilot" \
  hashicorp/terraform-mcp-server

팁: 많은 팀이 MCP 서버를 API Gateway/Zero-Trust 프록시 뒤에 둡니다. (일반적인 MCP 하드닝 패턴은 최근 보안 글을 참고하세요.)

3. 클라이언트를 원격 서버로 지정
Streamable HTTP를 지원하는 클라이언트는 URL이 포함된 서버 엔트리를 필요로 합니다(클라이언트의 MCP 문서 참고).

Terraform MCP 서버 배포

MCP가 활성화되면 Copilot/Claude/Cursor에서 다음을 시도해 보세요:

• “hashicorp/google provider에서 AI/ML 리소스를 나열하고 문서 링크를 보여줘.”
• “azurerm_storage_account의 최신 버전 문서와 최소 예제를 보여줘.”
• “flow logs가 있는 보안 VPC를 만드는 모듈을 찾아줘; inputs/outputs와 예제를 요약해줘.”
• “태그 강제와 비용 가드레일을 다루는 Sentinel/Terraform 정책은 무엇이 있지? 상세를 보여줘.”

이 프롬프트들이 동작하는 이유는, 클라이언트가 학습된 메모리에 의존하지 않고 Registry를 조회하는 MCP 도구로 라우팅하기 때문입니다.

“가장 적합한” 사용 사례

• IaC 작성 가속: 근거가 있는 리소스 인자, 최신 예제, 버전별 변경 사항으로 PR 반복을 줄입니다.
• 코드 리뷰: “provider vX.Y에서 이 인자가 유효한가?”를 즉시 Registry 데이터로 교차 확인합니다.
• 모듈 탐색: 검증된 모듈을 검색하고 변수/출력을 비교해 예제를 바로 레포지토리에 가져옵니다.
• 정책 인지: 설계 단계에서 정책 세트와 구현 노트를 노출해 드리프트 이후가 아닌 사전에 반영합니다.

더 나아가기(유용한 추가 요소)

• 이미지 버전 고정(예: hashicorp/terraform-mcp-server:0.2)으로 재현 가능한 환경을 만들고, 보안 업데이트를 위해 릴리스 노트를 지속적으로 확인하세요.
• “execution servers”와 결합: 일부 커뮤니티 MCP 서버는 샌드박스에서 terraform plan/apply(또는 Terragrunt)를 실행하고, AI 분석용 구조화된 출력을 반환할 수 있습니다. 엄격한 가드레일과 함께 사용하세요.
• 사용량 추적: 원격 MCP를 API Gateway 뒤에 두어 요청을 계량·감사합니다.

문제 해결 간단 체크

• 클라이언트가 도구를 못 보나? MCP 설정 블록을 다시 확인하고 클라이언트를 재시작하세요.
• 원격 403/차단? MCP_ALLOWED_ORIGINS 또는 gateway/CORS 구성을 검증하세요.
• 응답이 오래되었나? “latest” provider 문서를 요청하거나(가능한 경우) 클라이언트 캐시를 비워 보세요.
• 보안 검토: localhost를 넘어 노출할 때는 OAuth/OIDC 또는 단기 토큰으로 서버를 프런트하세요.

Terraform용 MCP는 단순한 개발자 편의 기능을 넘어, 인프라 코드를 작성할 때 AI를 신뢰하는 방식 자체를 바꿉니다.
LLM에 공식 Terraform 데이터로 가는 직접 파이프라인을 제공하면, 오류와 재작업, 불필요한 디버깅 시간을 크게 줄일 수 있습니다.

이미 Terraform과 AI 코딩 보조 도구를 사용 중이라면, MCP 활성화는 오늘 당장 워크플로를 업그레이드하는 가장 빠른 방법 중 하나입니다.

CI/CD 파이프라인에서 MCP + Terraform 결합

PR에 추가되는 것

• 변경된 .tf 파일의 각 resource/data source가 지정한 provider/버전에 존재하는지 검증
• 라이브 문서 기준으로 사용 중단/알 수 없는 인자 플래그
• 수정된 리소스/모듈에 대해 최신 버전 노트/예제를 제안
• PR에 Markdown 리포트를 게시

상위 플로우(CI Job)

• 저장소 체크아웃
• terraform init -backend=false 실행(+ terraform validate, tflint)
• 잡 내에서 Terraform MCP Server(HTTP 모드) 기동
• 경량 체크 스크립트 실행:
  • 변경된 .tf 파싱 → (provider, version, resource_type, used_args)
  • 각 resource에 대해 MCP 도구를 쿼리해 라이브 문서/스키마 수집
  • 비교 → Doc Drift Report 생성(알 수 없음/이름 변경/사용 중단 인자, 누락된 리소스, 모듈 I/O 불일치)
  • 리포트를 업로드하고 PR에 코멘트
  • (선택) 차단 이슈가 있으면 잡 실패 처리

GitHub Actions: 드롭인 워크플로

.github/workflows/terraform-mcp-doccheck.yml 생성:

name: Terraform MCP Doc Check
on:
  pull_request:
    paths:
      - "**/*.tf"
      - "**/*.tf.json"
jobs:
  doccheck:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    steps:
      - uses: actions/checkout@v4
      - name: Setup Terraform
        uses: hashicorp/setup-terraform@v3
        with:
          terraform_version: 1.8.5
      - name: Terraform init/validate
        run: |
          terraform -chdir=. init -backend=false -input=false
          terraform -chdir=. validate
      - name: Run tflint (optional but recommended)
        uses: terraform-linters/setup-tflint@v4
      - run: |
          tflint --init
          tflint -f compact || true
      - name: Start Terraform MCP Server (HTTP)
        run: |
          docker run -d --name tf-mcp -p 8080:8080 \
            -e TRANSPORT_MODE=streamable-http \
            hashicorp/terraform-mcp-server
          # simple wait
          sleep 5
      - name: Install checker deps
        run: |
          python -m pip install --upgrade pip
          pip install python-hcl2 requests
      - name: Run MCP doc checker
        id: check
        env:
          MCP_URL: "http://localhost:8080"
        run: |
          python .ci/mcp_doccheck.py > mcp_report.md || true
      - name: Upload report artifact
        uses: actions/upload-artifact@v4
        with:
          name: mcp-doc-report
          path: mcp_report.md
      - name: Comment on PR
        uses: marocchino/sticky-pull-request-comment@v2
        with:
          path: mcp_report.md
      - name: Stop MCP
        if: always()
        run: docker rm -f tf-mcp || true

GitLab CI나 Azure Pipelines에서도 동일하게 동작합니다. 컨테이너를 시작하고, 체크 스크립트를 실행하며, Markdown을 게시하고, 차단 이슈가 있으면 실패 처리하면 됩니다.

체커 스크립트(Python)

.ci/mcp_doccheck.py에 배치합니다. 이 스크립트는 다음을 수행합니다:

• 로컬 실행 시 변경된 .tf 파일을 찾고(로컬에서 실행 중이면 모든 Terraform 파일로 폴백)
  python-hcl2로 파싱
• required_providers/lockfile에서 버전 읽기
• 각 (provider, resource)에 대해 MCP 서버를 호출해 문서/스키마 가져오기
• 사용한 인자와 문서상의 인자를 비교
• PR에 친화적인 Markdown 테이블로 출력

#!/usr/bin/env python3
import os, re, json, glob, subprocess, sys
import requests, hcl2
from pathlib import Path
MCP_URL = os.getenv("MCP_URL", "http://localhost:8080")
def git_changed_tf():
    try:
        base = os.getenv("GITHUB_BASE_REF")
        head = os.getenv("GITHUB_SHA") or "HEAD"
        if base:
            diff = subprocess.check_output(["git","diff","--name-only",f"origin/{base}...{head}"]).decode()
        else:
            diff = subprocess.check_output(["git","diff","--name-only","HEAD~1"]).decode()
        return [f for f in diff.splitlines() if f.endswith((".tf",".tf.json"))]
    except Exception:
        return []
def parse_tf_files(paths):
    resources = []  # (provider, type, used_args, file, line)
    req_providers = {}  # "hashicorp/aws": "~> 5.55"
    for p in paths:
        with open(p,"r") as fh:
            try:
                data = hcl2.load(fh)
            except Exception:
                continue
        # required_providers
        for b in (data.get("terraform") or []):
            rp = b.get("required_providers") or {}
            for name, spec in rp.items():
                src = spec.get("source", f"hashicorp/{name}")
                ver = spec.get("version", "")
                req_providers[src] = ver
        # resources
        for block in (data.get("resource") or []):
            for rtype, instances in block.items():
                # provider guessed as prefix if "<prov>_<rest>"
                provider = rtype.split("_",1)[0]
                for name, body in instances.items():
                    args = list(body.keys()) if isinstance(body, dict) else []
                    resources.append({
                        "provider_guess": provider,
                        "resource_type": rtype,
                        "args": args,
                        "file": p
                    })
    return resources, req_providers
# --- MCP helper (HTTP streamable) ---
def mcp_call(tool, params):
    # Minimal client: call tool via MCP server's HTTP tool endpoint.
    # NOTE: Exact path may vary by server build; adjust if needed.
    r = requests.post(f"{MCP_URL}/tools/{tool}", json=params, timeout=30)
    r.raise_for_status()
    return r.json()
def fetch_resource_doc(provider_src, resource_type, version_hint=""):
    # Example tool names; adjust to server’s published tool list
    payload = {
        "provider": provider_src,
        "resource": resource_type,
        "version": version_hint
    }
    # Try docs first; fall back to schema
    try:
        return mcp_call("registry.get_resource_docs", payload)
    except Exception:
        return mcp_call("registry.get_resource_schema", payload)
def main():
    files = git_changed_tf()
    if not files:
        files = [*glob.glob("**/*.tf", recursive=True)]
    resources, reqp = parse_tf_files(files)
    if not resources:
        print("### Terraform MCP Doc Check\nNo Terraform resources detected.")
        return
    print("### Terraform MCP Doc Check\n")
    print("| Resource | Provider | Version | Unknown Args | Deprecated | Notes |")
    print("|---|---|---|---|---|---|")
    for r in resources:
        prov_short = r["provider_guess"]
        # best-effort mapping to full source (e.g., hashicorp/aws)
        candidates = [k for k in reqp.keys() if k.endswith(f"/{prov_short}")]
        provider_src = candidates[0] if candidates else f"hashicorp/{prov_short}"
        ver = reqp.get(provider_src,"")
        try:
            doc = fetch_resource_doc(provider_src, r["resource_type"], ver)
            valid_args = set(doc.get("args", [])) | set(doc.get("attributes", []))
            deprecated = set(doc.get("deprecated", []))
            used = set(r["args"])
            unknown = sorted(list(used - valid_args))
            dep_used = sorted(list(used & deprecated))
            note = doc.get("summary","")
        except Exception as e:
            unknown = ["<tool error>"]
            dep_used = []
            note = f"{type(e).__name__}"
        print(f"| `{r['resource_type']}` | `{provider_src}` | `{ver}` | "
              f"{', '.join(unknown) if unknown else '—'} | "
              f"{', '.join(dep_used) if dep_used else '—'} | "
              f"{note[:80]} |")
if __name__ == "__main__":
    main()

참고: mcp_call("registry.get_resource_docs", …) 아래 도구 이름/경로는 예시입니다. 서버가 노출하는 도구 목록이 다르면, fetch_resource_doc의 두 호출을 서버에 맞게 수정하세요. 폴백으로 동일 스크립트에서 직접 Terraform Registry API를 호출하도록 구현할 수도 있습니다(MCP가 다운이어도 파이프라인을 유용하게 유지).

정책: PR 실패 시점

• 고정된(provider 버전이 핀된) provider 버전에서 누락/알 수 없는 리소스가 있으면 실패
• 알 수 없는 인자(오타/이름 변경)가 사용되면 실패
• 사용 중단 인자이거나 provider 버전이 오래된 경우는 경고(실패하지 않음, 업그레이드 제안)

이 임계값은 mcp_report.md를 스캔해 비영(0이 아닌) 종료 코드를 설정하는 작은 후처리기로 손쉽게 구현할 수 있습니다.

GitLab CI & Azure Pipelines 간단 변형

GitLab (.gitlab-ci.yml)

stages: [test]
mcp-doccheck:
  stage: test
  image: docker:24
  services: [docker:24-dind]
  variables: { DOCKER_TLS_CERTDIR: "" }
  script:
    - apk add --no-cache python3 py3-pip git
    - pip install python-hcl2 requests
    - docker run -d --name tf-mcp -p 8080:8080 -e TRANSPORT_MODE=streamable-http hashicorp/terraform-mcp-server
    - sleep 5
    - python .ci/mcp_doccheck.py > mcp_report.md || true
  artifacts:
    paths: [mcp_report.md]
    when: always

Azure Pipelines (azure-pipelines.yml)

trigger: none
pr: [ main ]
pool: { vmImage: "ubuntu-latest" }
steps:
  - checkout: self
  - task: Bash@3
    displayName: Start MCP
    inputs:
      targetType: inline
      script: |
        docker run -d --name tf-mcp -p 8080:8080 \
          -e TRANSPORT_MODE=streamable-http \
          hashicorp/terraform-mcp-server
        sleep 5
  - task: Bash@3
    displayName: Run checker
    inputs:
      targetType: inline
      script: |
        pip install python-hcl2 requests
        python .ci/mcp_doccheck.py > mcp_report.md || true
  - task: PublishBuildArtifacts@1
    inputs:
      PathtoPublish: mcp_report.md
      ArtifactName: mcp-doc-report

하드닝 & 위생

• MCP 이미지 태그를 고정하세요(예: hashicorp/terraform-mcp-server:0.2.x) 그리고 릴리스 노트를 주시하세요.
• 서버는 CI 내에서만(에페메럴) 실행하거나, 장기 실행 인스턴스는 API Gateway + OIDC와 엄격한 MCP_ALLOWED_ORIGINS로 프런트하세요.
• Terraform provider는 required_providers + lockfile로 핀 상태를 유지해 MCP 체크가 버전별로 동작하도록 하세요.

DevOps 팀을 위한 실제 이점

“문서가 좀 더 신선해진다”를 넘어, MCP + Terraform은 인프라 코드 품질을 실시간 레퍼런스로 검증해 오류·재작업·디버깅 낭비를 크게 줄여 줍니다.

1. PR 피드백 줄이기

잘못된 인자, 오래된 예제, 누락된 필수 필드 때문에 PR에서 불필요한 왕복이 줄어듭니다. 리뷰 시 MCP가 Terraform Registry를 조회하기 때문에 실제 provider 문법과의 드리프트를 머지 전에 바로 잡을 수 있습니다.

2. 수동 문서 확인 없이 최신 유지

Provider 버전은 자주 바뀌고, 이를 직접 추적하는 일은 번거롭습니다. MCP는 required_providers에 지정된 정확한 버전에 대해 실시간 문서와 스키마를 제공하므로 더 이상 검색, 북마크, 기억에 의존할 필요가 없습니다.

3. 멀티 프로바이더 환경에서의 자신감

멀티 클라우드나 하이브리드(AWS + Azure + GCP + SaaS) 환경에서는 팀원이 특정 provider에는 익숙하지만 다른 provider에는 그렇지 않을 수 있습니다. MCP는 모든 DevOps 엔지니어가 모든 provider에 대해 “문서 네이티브”가 되도록 해 컨텍스트 전환을 줄이고 적응 속도를 높입니다.

4. 신규 엔지니어 온보딩 가속화

새로운 팀원은 Registry 페이지를 뒤지지 않고 자연어 쿼리로 리소스와 모듈을 탐색할 수 있습니다. 이는 첫 PR까지 걸리는 시간을 줄이고 복잡한 인프라로의 온보딩을 더 안전하게 만듭니다.

5. 프로덕션 드리프트 위험 감소

사용 중단된 인자나 provider 버전 불일치를 초기 단계에서 드러내므로, 프로덕션에서 발생할 수 있는 미묘한 드리프트나 깨진 플랜을 예방할 수 있습니다.

6. 향상된 CI/CD 품질 게이트

MCP 도구를 프리머지 파이프라인에 연결하면 자동으로 다음을 수행합니다:

• Registry에서 찾을 수 없는 리소스 플래그 처리
• 알 수 없는 인자 사용 시 빌드 실패
• 모듈 업데이트나 정책 세트 제안

7. 정책 집행을 더 쉽게

MCP를 통해 정책 세트도 조회할 수 있으므로, 개발 중에 태그 강제, 리전 제한, 비용 제어를 자동으로 검사할 수 있습니다. 이는 드리프트 감지 이후가 아니라 코드 작성 시점에서 이뤄집니다.

8. 작성 중 컨텍스트 전환 최소화

기존 방식:
코드 작성 → 브라우저 열기 → Registry 검색 → 스니펫 복사 → 코드 수정

MCP 방식:
AI에 질문 → 검증된 스니펫이 에디터에서 반환 → 붙여넣기

흐름이 끊기지 않아 DevOps 작업이 더 매끄럽습니다.

Terraform + MCP는 AI 어시스턴트가 Terraform 생태계의 실시간 소스 오브 트루스에 접근할 수 있게 합니다. 활성화는 간단합니다(Docker + 클라이언트 설정). 운영도 안전합니다(로컬 stdio 또는 게이트웨이 뒤 HTTP). 일상적인 IaC 작성과 리뷰에서 즉시 활용할 수 있습니다. “환각된” Terraform 답변으로 어려움을 겪은 적이 있다면, 이것이 바로 필요한 업그레이드입니다.

참고 자료

• HashiCorp 문서 — Terraform MCP 서버 개요 및 배포 모드 (HashiCorp Developer)
• Docker Hub — 공식 이미지 및 태그 (Docker Hub)
• 릴리스 노트 및 업데이트 (GitHub)
• InfoQ — 출시 보도 및 맥락 (InfoQ)
• MCP 보안/하드닝 패턴 (InfraCloud, Speakeasy)

[출처] Terraform + MCP: Your Fast Track to Smarter, Faster Infrastructure | by rajni singh | GenusofTechnology | Aug, 2025 | Medium