31. Claude Code GitLab CI/CD
GitLab CI/CD 파이프라인 통합·MR 자동화·YAML 설정 등 구성 가이드
Claude Code GitLab CI/CD
Claude Code를 GitLab CI/CD와 함께 개발 워크플로우에 통합하는 방법을 알아보세요
참고:
GitLab CI/CD용 Claude Code는 현재 베타 버전입니다. 경험을 개선해 나가면서 기능이 변경될 수 있습니다.
이 통합은 GitLab에서 유지 관리합니다. 지원이 필요하면 다음 GitLab 이슈를 참조하세요.
참고:
이 통합은 Claude Code CLI 및 Agent SDK 위에 구축되어 있으며, CI/CD 작업 및 커스텀 자동화 워크플로우에서 Claude를 프로그래밍 방식으로 사용할 수 있습니다.
GitLab에서 Claude Code를 사용하는 이유
- 즉각적인 MR 생성: 필요한 사항을 설명하면 Claude가 변경 사항과 설명이 포함된 완전한 MR을 제안합니다
- 자동화된 구현: 하나의 명령어 또는 멘션으로 이슈를 동작하는 코드로 변환합니다
- 프로젝트 인식: Claude가
CLAUDE.md가이드라인과 기존 코드 패턴을 따릅니다 - 간편한 설정:
.gitlab-ci.yml에 하나의 작업을 추가하고 마스킹된 CI/CD 변수를 설정하면 됩니다 - 엔터프라이즈 지원: 데이터 거주지 및 조달 요구사항을 충족하기 위해 Claude API, AWS Bedrock 또는 Google Vertex AI를 선택할 수 있습니다
- 기본적으로 안전: GitLab 러너에서 브랜치 보호 및 승인 규칙과 함께 실행됩니다
작동 방식
Claude Code는 GitLab CI/CD를 사용하여 격리된 작업에서 AI 태스크를 실행하고 MR을 통해 결과를 커밋합니다:
-
이벤트 기반 오케스트레이션: GitLab은 선택한 트리거를 감지합니다(예: 이슈, MR 또는 리뷰 스레드에서
@claude를 멘션하는 댓글). 작업은 스레드와 리포지토리에서 컨텍스트를 수집하고, 해당 입력으로 프롬프트를 구성한 후 Claude Code를 실행합니다. -
프로바이더 추상화: 환경에 맞는 프로바이더를 사용합니다:
- Claude API (SaaS)
- AWS Bedrock (IAM 기반 액세스, 크로스 리전 옵션)
- Google Vertex AI (GCP 네이티브, Workload Identity Federation)
-
샌드박스 실행: 각 상호작용은 엄격한 네트워크 및 파일시스템 규칙이 적용된 컨테이너에서 실행됩니다. Claude Code는 워크스페이스 범위의 권한을 적용하여 쓰기를 제한합니다. 모든 변경 사항은 MR을 통해 흐르므로 리뷰어가 diff를 확인할 수 있고 승인 절차가 여전히 적용됩니다.
리전별 엔드포인트를 선택하여 기존 클라우드 계약을 활용하면서 지연 시간을 줄이고 데이터 주권 요구사항을 충족할 수 있습니다.
Claude가 할 수 있는 작업
Claude Code는 코드 작업 방식을 혁신하는 강력한 CI/CD 워크플로우를 제공합니다:
- 이슈 설명이나 댓글로부터 MR을 생성하고 업데이트합니다
- 성능 저하를 분석하고 최적화를 제안합니다
- 브랜치에서 직접 기능을 구현한 후 MR을 엽니다
- 테스트나 댓글에서 확인된 버그와 회귀를 수정합니다
- 후속 댓글에 응답하여 요청된 변경 사항을 반복 수행합니다
설정
빠른 설정
시작하는 가장 빠른 방법은 .gitlab-ci.yml에 최소한의 작업을 추가하고 API 키를 마스킹된 변수로 설정하는 것입니다.
-
마스킹된 CI/CD 변수 추가
- Settings → CI/CD → Variables로 이동합니다
ANTHROPIC_API_KEY를 추가합니다 (마스킹 처리, 필요에 따라 보호)
-
.gitlab-ci.yml에 Claude 작업 추가
stages:
- ai
claude:
stage: ai
image: node:24-alpine3.21
# Adjust rules to fit how you want to trigger the job:
# - manual runs
# - merge request events
# - web/API triggers when a comment contains '@claude'
rules:
- if: '$CI_PIPELINE_SOURCE == "web"'
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
variables:
GIT_STRATEGY: fetch
before_script:
- apk update
- apk add --no-cache git curl bash
- curl -fsSL https://claude.ai/install.sh | bash
script:
# Optional: start a GitLab MCP server if your setup provides one
- /bin/gitlab-mcp-server || true
# Use AI_FLOW_* variables when invoking via web/API triggers with context payloads
- echo "$AI_FLOW_INPUT for $AI_FLOW_CONTEXT on $AI_FLOW_EVENT"
- >
claude
-p "${AI_FLOW_INPUT:-'Review this MR and implement the requested changes'}"
--permission-mode acceptEdits
--allowedTools "Bash Read Edit Write mcp__gitlab"
--debug
작업과 ANTHROPIC_API_KEY 변수를 추가한 후, CI/CD → Pipelines에서 수동으로 작업을 실행하여 테스트하거나, MR에서 트리거하여 Claude가 브랜치에 업데이트를 제안하고 필요시 MR을 열도록 할 수 있습니다.
참고:
Claude API 대신 AWS Bedrock 또는 Google Vertex AI에서 실행하려면 아래의 AWS Bedrock 및 Google Vertex AI와 함께 사용하기 섹션에서 인증 및 환경 설정을 참조하세요.
수동 설정 (프로덕션 권장)
더 세밀한 제어가 필요하거나 엔터프라이즈 프로바이더를 사용하는 경우:
-
프로바이더 액세스 구성:
- Claude API:
ANTHROPIC_API_KEY를 생성하고 마스킹된 CI/CD 변수로 저장합니다 - AWS Bedrock: Configure GitLab → AWS OIDC를 설정하고 Bedrock용 IAM 역할을 생성합니다
- Google Vertex AI: Configure Workload Identity Federation for GitLab → GCP를 설정합니다
- Claude API:
-
GitLab API 작업을 위한 프로젝트 자격 증명 추가:
- 기본적으로
CI_JOB_TOKEN을 사용하거나api스코프가 있는 Project Access Token을 생성합니다 - PAT을 사용하는 경우
GITLAB_ACCESS_TOKEN으로 저장합니다 (마스킹 처리)
- 기본적으로
-
.gitlab-ci.yml에 Claude 작업 추가 (아래 예제 참조) -
(선택 사항) 멘션 기반 트리거 활성화:
- 이벤트 리스너(사용하는 경우)에 "Comments (notes)" 프로젝트 웹훅을 추가합니다
- 댓글에
@claude가 포함되면 리스너가AI_FLOW_INPUT및AI_FLOW_CONTEXT같은 변수와 함께 파이프라인 트리거 API를 호출하도록 합니다
사용 사례 예시
이슈를 MR로 변환
이슈 댓글에서:
@claude implement this feature based on the issue description
Claude가 이슈와 코드베이스를 분석하고, 브랜치에 변경 사항을 작성한 후 리뷰를 위한 MR을 엽니다.
구현 도움 받기
MR 토론에서:
@claude suggest a concrete approach to cache the results of this API call
Claude가 변경 사항을 제안하고, 적절한 캐싱이 적용된 코드를 추가하며, MR을 업데이트합니다.
빠르게 버그 수정하기
이슈 또는 MR 댓글에서:
@claude fix the TypeError in the user dashboard component
Claude가 버그를 찾아 수정을 구현하고, 브랜치를 업데이트하거나 새 MR을 엽니다.
AWS Bedrock 및 Google Vertex AI와 함께 사용하기
엔터프라이즈 환경에서는 동일한 개발 경험을 유지하면서 Claude Code를 클라우드 인프라에서 완전히 실행할 수 있습니다.
AWS Bedrock
사전 요구사항
AWS Bedrock에서 Claude Code를 설정하기 전에 다음이 필요합니다:
- 원하는 Claude 모델에 대한 Amazon Bedrock 액세스가 있는 AWS 계정
- AWS IAM에서 OIDC ID 프로바이더로 구성된 GitLab
- Bedrock 권한과 GitLab 프로젝트/ref로 제한된 신뢰 정책이 있는 IAM 역할
- 역할 위임을 위한 GitLab CI/CD 변수:
AWS_ROLE_TO_ASSUME(역할 ARN)AWS_REGION(Bedrock 리전)
설정 방법
GitLab CI 작업이 OIDC를 통해 IAM 역할을 위임할 수 있도록 AWS를 구성합니다 (정적 키 불필요).
필수 설정:
- Amazon Bedrock을 활성화하고 대상 Claude 모델에 대한 액세스를 요청합니다
- 아직 없다면 GitLab용 IAM OIDC 프로바이더를 생성합니다
- GitLab OIDC 프로바이더에서 신뢰하는 IAM 역할을 생성하고 프로젝트 및 보호된 ref로 제한합니다
- Bedrock 호출 API에 대한 최소 권한을 연결합니다
CI/CD 변수에 저장할 필수 값:
AWS_ROLE_TO_ASSUMEAWS_REGION
Settings → CI/CD → Variables에서 변수를 추가합니다:
# For AWS Bedrock:
- AWS_ROLE_TO_ASSUME
- AWS_REGION
위의 AWS Bedrock 작업 예제를 사용하여 런타임에 GitLab 작업 토큰을 임시 AWS 자격 증명으로 교환합니다.
Google Vertex AI
사전 요구사항
Google Vertex AI에서 Claude Code를 설정하기 전에 다음이 필요합니다:
- 다음이 구성된 Google Cloud 프로젝트:
- Vertex AI API 활성화
- GitLab OIDC를 신뢰하도록 구성된 Workload Identity Federation
- 필요한 Vertex AI 역할만 부여된 전용 서비스 계정
- WIF를 위한 GitLab CI/CD 변수:
GCP_WORKLOAD_IDENTITY_PROVIDER(전체 리소스 이름)GCP_SERVICE_ACCOUNT(서비스 계정 이메일)
설정 방법
GitLab CI 작업이 Workload Identity Federation을 통해 서비스 계정을 가장할 수 있도록 Google Cloud를 구성합니다.
필수 설정:
- IAM Credentials API, STS API, Vertex AI API를 활성화합니다
- GitLab OIDC용 Workload Identity Pool 및 프로바이더를 생성합니다
- Vertex AI 역할이 있는 전용 서비스 계정을 생성합니다
- WIF 주체에게 서비스 계정을 가장할 권한을 부여합니다
CI/CD 변수에 저장할 필수 값:
GCP_WORKLOAD_IDENTITY_PROVIDERGCP_SERVICE_ACCOUNT
Settings → CI/CD → Variables에서 변수를 추가합니다:
# For Google Vertex AI:
- GCP_WORKLOAD_IDENTITY_PROVIDER
- GCP_SERVICE_ACCOUNT
- CLOUD_ML_REGION (for example, us-east5)
위의 Google Vertex AI 작업 예제를 사용하여 키 저장 없이 인증합니다.
구성 예제
파이프라인에 맞게 조정할 수 있는 바로 사용 가능한 스니펫입니다.
기본 .gitlab-ci.yml (Claude API)
stages:
- ai
claude:
stage: ai
image: node:24-alpine3.21
rules:
- if: '$CI_PIPELINE_SOURCE == "web"'
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
variables:
GIT_STRATEGY: fetch
before_script:
- apk update
- apk add --no-cache git curl bash
- curl -fsSL https://claude.ai/install.sh | bash
script:
- /bin/gitlab-mcp-server || true
- >
claude
-p "${AI_FLOW_INPUT:-'Summarize recent changes and suggest improvements'}"
--permission-mode acceptEdits
--allowedTools "Bash Read Edit Write mcp__gitlab"
--debug
# Claude Code will use ANTHROPIC_API_KEY from CI/CD variables
AWS Bedrock 작업 예제 (OIDC)
사전 요구사항:
- 선택한 Claude 모델에 대한 액세스가 활성화된 Amazon Bedrock
- GitLab 프로젝트 및 ref를 신뢰하는 역할로 AWS에 구성된 GitLab OIDC
- Bedrock 권한이 있는 IAM 역할 (최소 권한 권장)
필수 CI/CD 변수:
AWS_ROLE_TO_ASSUME: Bedrock 액세스를 위한 IAM 역할의 ARNAWS_REGION: Bedrock 리전 (예:us-west-2)
claude-bedrock:
stage: ai
image: node:24-alpine3.21
rules:
- if: '$CI_PIPELINE_SOURCE == "web"'
before_script:
- apk add --no-cache bash curl jq git python3 py3-pip
- pip install --no-cache-dir awscli
- curl -fsSL https://claude.ai/install.sh | bash
# Exchange GitLab OIDC token for AWS credentials
- export AWS_WEB_IDENTITY_TOKEN_FILE="${CI_JOB_JWT_FILE:-/tmp/oidc_token}"
- if [ -n "${CI_JOB_JWT_V2}" ]; then printf "%s" "$CI_JOB_JWT_V2" > "$AWS_WEB_IDENTITY_TOKEN_FILE"; fi
- >
aws sts assume-role-with-web-identity
--role-arn "$AWS_ROLE_TO_ASSUME"
--role-session-name "gitlab-claude-$(date +%s)"
--web-identity-token "file://$AWS_WEB_IDENTITY_TOKEN_FILE"
--duration-seconds 3600 > /tmp/aws_creds.json
- export AWS_ACCESS_KEY_ID="$(jq -r .Credentials.AccessKeyId /tmp/aws_creds.json)"
- export AWS_SECRET_ACCESS_KEY="$(jq -r .Credentials.SecretAccessKey /tmp/aws_creds.json)"
- export AWS_SESSION_TOKEN="$(jq -r .Credentials.SessionToken /tmp/aws_creds.json)"
script:
- /bin/gitlab-mcp-server || true
- >
claude
-p "${AI_FLOW_INPUT:-'Implement the requested changes and open an MR'}"
--permission-mode acceptEdits
--allowedTools "Bash Read Edit Write mcp__gitlab"
--debug
variables:
AWS_REGION: "us-west-2"
참고:
Bedrock의 모델 ID에는 리전별 접두사가 포함됩니다 (예:
us.anthropic.claude-sonnet-4-6). 워크플로우에서 지원하는 경우 작업 구성이나 프롬프트를 통해 원하는 모델을 전달하세요.
Google Vertex AI 작업 예제 (Workload Identity Federation)
사전 요구사항:
- GCP 프로젝트에서 Vertex AI API 활성화
- GitLab OIDC를 신뢰하도록 구성된 Workload Identity Federation
- Vertex AI 권한이 있는 서비스 계정
필수 CI/CD 변수:
GCP_WORKLOAD_IDENTITY_PROVIDER: 전체 프로바이더 리소스 이름GCP_SERVICE_ACCOUNT: 서비스 계정 이메일CLOUD_ML_REGION: Vertex 리전 (예:us-east5)
claude-vertex:
stage: ai
image: gcr.io/google.com/cloudsdktool/google-cloud-cli:slim
rules:
- if: '$CI_PIPELINE_SOURCE == "web"'
before_script:
- apt-get update && apt-get install -y git && apt-get clean
- curl -fsSL https://claude.ai/install.sh | bash
# Authenticate to Google Cloud via WIF (no downloaded keys)
- >
gcloud auth login --cred-file=<(cat <<EOF
{
"type": "external_account",
"audience": "${GCP_WORKLOAD_IDENTITY_PROVIDER}",
"subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
"service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/${GCP_SERVICE_ACCOUNT}:generateAccessToken",
"token_url": "https://sts.googleapis.com/v1/token"
}
EOF
)
- gcloud config set project "$(gcloud projects list --format='value(projectId)' --filter="name:${CI_PROJECT_NAMESPACE}" | head -n1)" || true
script:
- /bin/gitlab-mcp-server || true
- >
CLOUD_ML_REGION="${CLOUD_ML_REGION:-us-east5}"
claude
-p "${AI_FLOW_INPUT:-'Review and update code as requested'}"
--permission-mode acceptEdits
--allowedTools "Bash Read Edit Write mcp__gitlab"
--debug
variables:
CLOUD_ML_REGION: "us-east5"
참고:
Workload Identity Federation을 사용하면 서비스 계정 키를 저장할 필요가 없습니다. 리포지토리별 신뢰 조건과 최소 권한 서비스 계정을 사용하세요.
모범 사례
CLAUDE.md 구성
리포지토리 루트에 CLAUDE.md 파일을 생성하여 코딩 표준, 리뷰 기준 및 프로젝트별 규칙을 정의합니다. Claude는 실행 중에 이 파일을 읽고 변경 사항을 제안할 때 해당 규칙을 따릅니다.
보안 고려사항
API 키나 클라우드 자격 증명을 리포지토리에 커밋하지 마세요. 항상 GitLab CI/CD 변수를 사용합니다:
ANTHROPIC_API_KEY를 마스킹된 변수로 추가합니다 (필요시 보호 설정)- 가능한 경우 프로바이더별 OIDC를 사용합니다 (장기 키 불필요)
- 작업 권한 및 네트워크 이그레스를 제한합니다
- Claude의 MR을 다른 기여자의 것처럼 리뷰합니다
성능 최적화
CLAUDE.md를 집중적이고 간결하게 유지합니다- 반복을 줄이기 위해 명확한 이슈/MR 설명을 제공합니다
- 무한 실행을 방지하기 위해 적절한 작업 타임아웃을 구성합니다
- 가능한 경우 러너에서 npm 및 패키지 설치를 캐싱합니다
CI 비용
GitLab CI/CD에서 Claude Code를 사용할 때 관련 비용에 유의하세요:
-
GitLab Runner 시간:
- Claude는 GitLab 러너에서 실행되며 컴퓨팅 분을 소비합니다
- 자세한 내용은 GitLab 플랜의 러너 과금 정보를 참조하세요
-
API 비용:
- 각 Claude 상호작용은 프롬프트 및 응답 크기에 따라 토큰을 소비합니다
- 토큰 사용량은 작업 복잡도와 코드베이스 크기에 따라 다릅니다
- 자세한 내용은 Anthropic 가격 정책을 참조하세요
-
비용 최적화 팁:
- 불필요한 턴을 줄이기 위해 구체적인
@claude명령어를 사용합니다 - 적절한
max_turns및 작업 타임아웃 값을 설정합니다 - 동시 실행 수를 제한하여 병렬 실행을 제어합니다
- 불필요한 턴을 줄이기 위해 구체적인
보안 및 거버넌스
- 각 작업은 제한된 네트워크 액세스가 적용된 격리된 컨테이너에서 실행됩니다
- Claude의 변경 사항은 MR을 통해 흐르므로 리뷰어가 모든 diff를 확인할 수 있습니다
- 브랜치 보호 및 승인 규칙이 AI 생성 코드에도 적용됩니다
- Claude Code는 워크스페이스 범위의 권한을 사용하여 쓰기를 제한합니다
- 자체 프로바이더 자격 증명을 사용하므로 비용은 사용자가 관리합니다
문제 해결
@claude 명령에 Claude가 응답하지 않는 경우
- 파이프라인이 트리거되고 있는지 확인합니다 (수동, MR 이벤트 또는 노트 이벤트 리스너/웹훅을 통해)
- CI/CD 변수 (
ANTHROPIC_API_KEY또는 클라우드 프로바이더 설정)가 존재하고 마스킹이 해제되어 있는지 확인합니다 - 댓글에
@claude가 포함되어 있는지 (/claude가 아닌) 그리고 멘션 트리거가 구성되어 있는지 확인합니다
작업에서 댓글을 작성하거나 MR을 열 수 없는 경우
CI_JOB_TOKEN이 프로젝트에 대해 충분한 권한을 가지고 있는지 확인하거나,api스코프가 있는 Project Access Token을 사용합니다--allowedTools에mcp__gitlab도구가 활성화되어 있는지 확인합니다- 작업이 MR 컨텍스트에서 실행되거나
AI_FLOW_*변수를 통해 충분한 컨텍스트를 가지고 있는지 확인합니다
인증 오류
- Claude API의 경우:
ANTHROPIC_API_KEY가 유효하고 만료되지 않았는지 확인합니다 - Bedrock/Vertex의 경우: OIDC/WIF 구성, 역할 가장 및 시크릿 이름을 확인하고, 리전 및 모델 가용성을 확인합니다
고급 구성
공통 매개변수 및 변수
Claude Code는 다음과 같이 자주 사용되는 입력을 지원합니다:
prompt/prompt_file: 인라인(-p) 또는 파일을 통해 지시사항을 제공합니다max_turns: 왕복 반복 횟수를 제한합니다timeout_minutes: 총 실행 시간을 제한합니다ANTHROPIC_API_KEY: Claude API에 필수 (Bedrock/Vertex에서는 사용하지 않음)- 프로바이더별 환경:
AWS_REGION, Vertex용 프로젝트/리전 변수
참고:
정확한 플래그와 매개변수는
@anthropic-ai/claude-code버전에 따라 다를 수 있습니다. 지원되는 옵션을 확인하려면 작업에서claude --help를 실행하세요.
Claude의 동작 커스터마이징
Claude를 안내하는 두 가지 주요 방법이 있습니다:
- CLAUDE.md: 코딩 표준, 보안 요구사항 및 프로젝트 규칙을 정의합니다. Claude는 실행 중에 이 파일을 읽고 규칙을 따릅니다.
- 커스텀 프롬프트: 작업에서
prompt/prompt_file을 통해 태스크별 지시사항을 전달합니다. 다른 작업(예: 리뷰, 구현, 리팩토링)에 다른 프롬프트를 사용할 수 있습니다.