FastAPI는 2023~2026년 사이 Python 백엔드 생태계에서 가장 빠르게 채택된 프레임워크다. GitHub Star 8만을 넘었고, Netflix·Uber·Microsoft 등이 내부 서비스에 도입했다. FastAPI가 Django REST Framework나 Flask 대비 유리한 이유는 하나다: 비동기 I/O를 프레임워크 레벨에서 기본 지원 한다.
FastAPI는 2023~2026년 사이 Python 백엔드 생태계에서 가장 빠르게 채택된 프레임워크다. GitHub Star 8만을 넘었고, Netflix·Uber·Microsoft 등이 내부 서비스에 도입했다. 하지만 uvicorn main:app 한 줄로 띄운 개발 서버와 실제 트래픽을 버티는 프로덕션 서버는 전혀 다른 이야기다. 이 글은 FastAPI를 실무에 배포하기 위한 구조 설계, 인증, 데이터베이스, 배포, 모니터링을 코드 중심으로 정리한다.
FastAPI가 Django REST Framework나 Flask 대비 유리한 이유는 하나다: 비동기 I/O를 프레임워크 레벨에서 기본 지원한다. 외부 API 호출, DB 쿼리, 파일 I/O가 많은 백엔드에서 async/await는 스레드 수보다 더 효율적으로 동시 요청을 처리한다.
/docs (Swagger UI), /redoc 자동 생성소규모 프로젝트는 단일 main.py로도 동작하지만, 서비스가 커지면 모듈화가 필수다. 아래는 팀 단위 프로덕션에서 검증된 구조다.
프로젝트 디렉토리 구조app/ ├── main.py # FastAPI 앱 인스턴스, 라우터 등록 ├── config.py # 환경변수 (pydantic-settings) ├── database.py # SQLAlchemy async 엔진·세션 ├── dependencies.py # 공통 의존성 (현재 유저, DB 세션) ├── models/ # SQLAlchemy ORM 모델 │ ├── user.py │ └── item.py ├── schemas/ # Pydantic 요청/응답 스키마 │ ├── user.py │ └── item.py ├── routers/ # 기능별 APIRouter │ ├── auth.py │ ├── users.py │ └── items.py ├── services/ # 비즈니스 로직 (DB 직접 접근 금지) │ ├── auth_service.py │ └── item_service.py ├── middleware/ # 커스텀 미들웨어 │ └── logging.py └── tests/ ├── conftest.py └── test_items.py
app/main.py — 앱 팩토리 패턴from contextlib import asynccontextmanager from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware from app.routers import auth, users, items from app.database import engine, Base @asynccontextmanager async def lifespan(app: FastAPI): # 앱 시작 시: DB 테이블 생성, 커넥션 풀 초기화 async with engine.begin() as conn: await conn.run_sync(Base.metadata.create_all) yield # 앱 종료 시: 커넥션 풀 정리 await engine.dispose() app = FastAPI( title="My API", version="1.0.0", lifespan=lifespan, ) app.add_middleware( CORSMiddleware, allow_origins=["https://yourdomain.com"], allow_credentials=True, allow_methods=["*"], allow_headers=["*"], ) app.include_router(auth.router, prefix="/api/v1/auth", tags=["auth"]) app.include_router(users.router, prefix="/api/v1/users", tags=["users"]) app.include_router(items.router, prefix="/api/v1/items", tags=["items"])
프로덕션에서 DB는 가장 빈번한 병목이다. 동기 SQLAlchemy(psycopg2)를 FastAPI에 쓰면 async 이점을 모두 잃는다. asyncpg + SQLAlchemy 2.0 async 조합이 현재 최선이다.
app/database.py — async SQLAlchemy 설정from sqlalchemy.ext.asyncio import create_async_engine, AsyncSession, async_sessionmaker from sqlalchemy.orm import DeclarativeBase from app.config import settings # asyncpg 드라이버 사용: postgresql+asyncpg:// engine = create_async_engine( settings.DATABASE_URL, # postgresql+asyncpg://user:pass@host/db pool_size=10, # 커넥션 풀 최대 10개 max_overflow=20, # 풀 초과 시 최대 20개 추가 pool_timeout=30, # 커넥션 획득 대기 30초 pool_recycle=1800, # 30분 후 커넥션 재생성 (RDS 권장) echo=False, ) AsyncSessionLocal = async_sessionmaker( engine, expire_on_commit=False ) class Base(DeclarativeBase): pass # 의존성 주입용 세션 제공자 async def get_db(): async with AsyncSessionLocal() as session: try: yield session await session.commit() except Exception: await session.rollback() raise
max_connections)를 초과하지 않도록 계산해야 한다.Pydantic 모델은 ORM 모델과 분리해야 한다. ORM 모델은 DB 구조, Pydantic 스키마는 API 계약이다. 섞으면 DB 변경이 API 변경을 강제한다.
app/schemas/user.py — 요청/응답 스키마 분리from pydantic import BaseModel, EmailStr, field_validator from datetime import datetime from typing import Optional # 생성 요청 스키마 (비밀번호 포함) class UserCreate(BaseModel): email: EmailStr password: str name: str @field_validator('password') @classmethod def password_strength(cls, v): if len(v) < 8: raise ValueError('비밀번호는 최소 8자 이상이어야 합니다') return v # 응답 스키마 (비밀번호 제외) class UserResponse(BaseModel): id: int email: str name: str created_at: datetime model_config = {"from_attributes": True} # ORM 모드 (v2) # 업데이트 요청 (Optional 필드) class UserUpdate(BaseModel): name: Optional[str] = None email: Optional[EmailStr] = None
FastAPI의 OAuth2PasswordBearer와 python-jose(또는 PyJWT)를 조합해 Access + Refresh Token 패턴을 구현한다. Access Token은 짧게(15분), Refresh Token은 길게(7일) 설정하는 것이 표준이다.
app/services/auth_service.py — JWT 핵심 로직from datetime import datetime, timedelta, timezone from jose import JWTError, jwt from fastapi import Depends, HTTPException, status from fastapi.security import OAuth2PasswordBearer from app.config import settings oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/api/v1/auth/login") def create_access_token(data: dict) -> str: expire = datetime.now(timezone.utc) + timedelta(minutes=15) return jwt.encode( {**data, "exp": expire, "type": "access"}, settings.SECRET_KEY, algorithm="HS256" ) def create_refresh_token(data: dict) -> str: expire = datetime.now(timezone.utc) + timedelta(days=7) return jwt.encode( {**data, "exp": expire, "type": "refresh"}, settings.SECRET_KEY, algorithm="HS256" ) async def get_current_user(token: str = Depends(oauth2_scheme), db=Depends(get_db)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="인증 정보가 유효하지 않습니다", headers={"WWW-Authenticate": "Bearer"}, ) try: payload = jwt.decode(token, settings.SECRET_KEY, algorithms=["HS256"]) if payload.get("type") != "access": raise credentials_exception user_id: int = payload.get("sub") if user_id is None: raise credentials_exception except JWTError: raise credentials_exception user = await get_user_by_id(db, user_id) if user is None: raise credentials_exception return user
개발 시 uvicorn main:app --reload를 쓰지만, 프로덕션에서는 Gunicorn이 프로세스 매니저 역할을 하고 각 워커를 uvicorn으로 실행한다. Gunicorn이 워커 크래시를 감지하고 재시작한다.
gunicorn.conf.py — 프로덕션 Gunicorn 설정import multiprocessing # 워커 수: CPU 코어 × 2 + 1 (I/O 중심 서비스) workers = multiprocessing.cpu_count() * 2 + 1 worker_class = "uvicorn.workers.UvicornWorker" bind = "0.0.0.0:8000" timeout = 120 # 요청 타임아웃 (초) keepalive = 5 # keep-alive 연결 유지 시간 max_requests = 1000 # 워커당 최대 요청 수 (메모리 누수 방지) max_requests_jitter = 100 # 재시작 시점 분산 (동시 재시작 방지) # 로깅 accesslog = "-" # stdout errorlog = "-" # stderr loglevel = "warning" # 시작 명령 # gunicorn app.main:app -c gunicorn.conf.py
Dockerfile — 멀티스테이지 빌드# ── 빌드 스테이지 ── FROM python:3.12-slim AS builder WORKDIR /app COPY requirements.txt . RUN pip install --no-cache-dir --prefix=/install -r requirements.txt # ── 실행 스테이지 ── FROM python:3.12-slim WORKDIR /app # 비루트 사용자 (보안) RUN addgroup --system appgroup && adduser --system --ingroup appgroup appuser COPY --from=builder /install /usr/local COPY . . RUN chown -R appuser:appgroup /app USER appuser EXPOSE 8000 CMD ["gunicorn", "app.main:app", "-c", "gunicorn.conf.py"]
docker-compose.yml — FastAPI + Nginx + PostgreSQLversion: "3.9" services: api: build: . env_file: .env restart: unless-stopped depends_on: db: condition: service_healthy nginx: image: nginx:1.25-alpine ports: - "80:80" - "443:443" volumes: - ./nginx.conf:/etc/nginx/conf.d/default.conf - ./certbot/conf:/etc/letsencrypt depends_on: [api] restart: unless-stopped db: image: postgres:16-alpine environment: POSTGRES_DB: ${DB_NAME} POSTGRES_USER: ${DB_USER} POSTGRES_PASSWORD: ${DB_PASSWORD} volumes: - pg_data:/var/lib/postgresql/data healthcheck: test: ["CMD-SHELL", "pg_isready -U ${DB_USER}"] interval: 5s timeout: 5s retries: 5 volumes: pg_data:
nginx.conf — 리버스 프록시 + 보안 헤더upstream api { server api:8000; } server { listen 443 ssl; server_name api.yourdomain.com; ssl_certificate /etc/letsencrypt/live/api.yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/api.yourdomain.com/privkey.pem; # 보안 헤더 add_header X-Frame-Options "DENY"; add_header X-Content-Type-Options "nosniff"; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; # 요청 크기 제한 (파일 업로드 고려) client_max_body_size 10M; location / { proxy_pass http://api; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_read_timeout 90; } } # HTTP → HTTPS 리다이렉트 server { listen 80; server_name api.yourdomain.com; return 301 https://$host$request_uri; }
이메일 발송, 이미지 처리, 데이터 집계 등 응답 시간이 긴 작업은 Celery로 비동기 처리해야 한다. FastAPI 엔드포인트에서 즉시 응답을 반환하고 작업을 큐에 넣는다.
app/worker.py — Celery 설정from celery import Celery from app.config import settings celery_app = Celery( "worker", broker=settings.REDIS_URL, # redis://localhost:6379/0 backend=settings.REDIS_URL, ) celery_app.conf.update( task_serializer="json", result_expires=3600, # 결과 1시간 보관 worker_prefetch_multiplier=1, # 한 번에 1개 작업만 가져옴 task_acks_late=True, # 작업 완료 후 ACK (크래시 대비) ) @celery_app.task(bind=True, max_retries=3) def send_welcome_email(self, user_id: int, email: str): try: # 이메일 발송 로직 pass except Exception as exc: raise self.retry(exc=exc, countdown=60) # 60초 후 재시도
FastAPI 엔드포인트에서 Celery 태스크 발행from fastapi import APIRouter, Depends from app.worker import send_welcome_email from app.schemas.user import UserCreate, UserResponse router = APIRouter() @router.post("/register", response_model=UserResponse, status_code=201) async def register(user_data: UserCreate, db=Depends(get_db)): user = await create_user(db, user_data) # 비동기 작업 큐에 추가 — 응답 블로킹 없음 send_welcome_email.delay(user.id, user.email) return user
prometheus-fastapi-instrumentator 패키지로 요청 수, 응답 시간, 에러율 수집sentry-sdk[fastapi] 미들웨어로 5분 내 설치 완료fastapi-cache2: DB 쿼리가 많은 엔드포인트에 @cache(expire=60) 데코레이터 1줄selectinload / joinedload 옵션으로 관련 모델을 한 번의 쿼리로 로딩Prometheus 메트릭 엔드포인트 추가from prometheus_fastapi_instrumentator import Instrumentator # main.py lifespan 또는 앱 초기화 시 Instrumentator().instrument(app).expose(app) # → GET /metrics 엔드포인트 자동 생성
Sentry 연동 (3줄)import sentry_sdk from sentry_sdk.integrations.fastapi import FastApiIntegration sentry_sdk.init( dsn=settings.SENTRY_DSN, integrations=[FastApiIntegration()], traces_sample_rate=0.2, # 20% 트랜잭션 추적 )
GET /health 엔드포인트로 로드밸런서 상태 확인
