AWS Codeシリーズの基本的な設定の流れなど

1. CodePipeline
Commit()
Build()
Deploy()
継続的デプロイ
＋
HOOK
で
JAWS UG GUNMA 2019 .6 .18

2. 前回CodePipelineの話が出たのでLTしてみようと思い立ちま
した。
AWS Codeシリーズを使った継続的デプロイ環境の構築。
また、Codeシリーズを利用してどんなことが実現できるのか？
などについて、入門的なお話ができればと思っています。
概要

3. 継続的デリバリーと継続的デプロイ
CI/CD
継続的デリバリーと継続的デプロイの違いは、運用環境
への更新に手動での承認が必要か否かという点です。
継続的デプロイでは、明示的な承認が行われることはな
く、自動的に本番環境になります。
AWS公式 「継続的デリバリーとは」より引用
https://aws.amazon.com/jp/devops/continuous-delivery/

4. 自動化
今回試してみたこと
GitからAWS上のリポジトリにPush
アーティファクト(成果物)生成
アプリケーションをEC2にデプロイ
hookでByteCodeCacheやSessionのクリア
&
CodePipeline

5. 対象
Gitのリポジトリ操作をAWSマネジメントコンソール上で行いたい
デプロイを自動化したい
デプロイするだけじゃなくて、ちょっとしたことも自動化したい
1.
2.
3.
それ、○○でも出来るよ！みたいなことは当然あると思いますが、
このスライドの作成にあたり、他のGitホスティングサービスやCIツールと比較してどうか
といったような細かい調査までは行なっておりません。
※
こんな方を想定

6. 実現
1. Gitのリポジトリ操作をAWSマネジメントコンソール上で行いたい
IAMでユーザ別の権限の設定が可能
他のGitホスティングサービスに頼らず
AWSのみで一元管理
で出来ること。

7. 実現
とりあえずプッシュしたらデプロイ、
くらいであれば設定の敷居は比較的低い
2. デプロイを自動化したい
( Git WebHook → git pullなどと比較して )
で出来ること。

8. 実現
3. デプロイするだけじゃなくて、ちょっとしたことも自動化したい
設定ファイルからタスク別に実行するタイ
ミングを細かく指定できる
他のAWSサービスとの連携が可能
(Lambda, SESなど)
で出来ること。

9. さっそく自動化してみる。
と、いう訳で
Advance preparationNext ...

10. 準備
• AMS CLI
必要なもの
• buildspec.yml
• appspec.yml
( localにインストール. commit時に必要なCredential情報の登録で使用 )
( Buildステージでの動作を定義するファイル. 必須 )
( Deployステージでの動作を定義するファイル. 必須 )

11. version: 0.1
phases:
build:
install:
runtime-versions:
php: 73
commands:
- aws deploy push --region
ap-northeast-1 --application-name
{ $your_application_name }
--s3-location
s3://{ $your_application_name }codebuild/app.zip
--source src
artifacts:
files:
- '**/*'
base-directory: src
name: app.zip
buildspec.yml
ランタイムのバージョンはbuildアプリ
ケーション作成時に選択するものを指定
アーティファクトの名称を指定。
srcディレクトリ以下を対象とする。
ymlファイルはsrcと同階層に設置。

12. version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/
appspec.yml
アプリケーションのルートディレクトリに配置します。
( 先ほどのsrcの例だとsrcの一階層下)
後にこちらのファイルへデプロイ時のhookなどの動作
を追加していきます
CodeCommitNext ...

13. 1. マネジメントコンソールにログイン
2. CodeCommitにてリポジトリを作成
3. IAMにてアクセスキーIDとシークレットアクセスキーを取得
( IAM → ユーザー → 認証情報 →アクセスキーの作成 )
CodeCommit

14. $ aws configure
$ AWS Access Key ID : { ******************** }
$ AWS Secret Access Key : { ******************** }
$ Default region name : { e.g. ap-northeast-1 }
$ Default output format : { json | text | table }
IAMのクレデンシャル情報を使ってawsのリポジトリにcommitします
CodeCommit

15. $ git config --global credential.helper
'!aws —region { $region } codecommit
$ git config --global credential.UseHttpPath true
credential-helper $@'
Code BuildNext ...
AWS 認証情報プロファイルでGit認証情報ヘルパーを使用するように指定します
オプションにて一緒にリージョンの設定をしています。
$region = e.g. “ap-northeast-1”
CodeCommit

16. 1. S3でアーティファクト格納用のバケットを作成する
2. バケットのプロパティ→バージョニングを有効化しておく
3. CodeBuildのプロジェクトを作成する
( 各オプションはデフォルトでOK )
( バージョン管理用 )
CodeBuild

17. 4. 新規CodeBuildプロジェクトの各設定を行います
先ほど作成したbuildspec.ymlを使用するに選択
こちらも先ほど作成したS3のアーティファクト格納用バケットを指定
CodeBuild

18. 5. IAMにてCodeBuild用のロールを作成します
CodeBuildプロジェクト名に対応したポリシーが作成されているのでアタッチします
CodeBuildプロジェクトを削除してもこちらのポリシーは削除されません。
同名でプロジェクトを再作成する際には一旦古いポリシーを手動で削除する必要があるようです
※
Code DeployNext ...
CodeBuild

19. 1. EC2用にS3アクセス用のロールを作成
( CodeBuildで生成したアーティファクトを参照できるようにします )
2. 作成したロールをEC2インスタンスに割り当てる
( ec2 → インスタンスを選択 → アクション → インスタンスの設定 → ロールの割り当て )
3. EC2インスタンスにCodeDeployエージェントをインストール
4. CodeDeploy用のIAMロールを作成
5. CodeDeployアプリケーションを作成
( EC2インスタンスにSSHでログインしcurlなりwgetで導入します ※次ページで詳しく)
( AWSCodeDeployRoleをアタッチ )
( 名称はCodeBuildと合わせる )
6. デプロイグループを作成
( デプロイタイプは特に難しいことをしないのであればインプレースデプロイを指定 )
( 環境設定ではタグのキーと値をEC2インスタンスと一致させます )
CodeDeploy

20. $ curl -O https://aws-codedeploy-
$ wget https://aws-codedeploy-
wget
$region = e.g. “ap-northeast-1”
{ $region }.s3.amazonaws.com/latest/install && sudo
chmod +x ./install && sudo ./install auto
curl
{ $region }.s3.amazonaws.com/latest/install
CodeDeploy
EC2インスタンスに、CodeDeployエージェントをインストール

21. $ sudo service codedeploy-agent status
CodePipelineNext ...
正常にインストールできたか確認を行います
エージェントのインストールがうまくいかない場合
• appspec.ymlが正しく書かれているか?
• ロールの割り当てよりも前にCodeDeployエージェントをインストールしてしまった場合は
エージェントの再起動が必要
• エージェントのログを確認。(※以下のパスは私のCentOS7における環境です)
tail -f -n 200 /var/log/aws/codedeploy-agent/codedeploy-agent.log
デプロイがうまくいかない場合
CodeDeploy

22. ( サービスロールは新しいサービスロールを選択すると自動生成、割り当てが行われます )
1. マネジメントコンソールから新規Pipelineを作成
2. ソースステージを追加
3. ビルドステージを追加
4. デプロイステージを追加
(作成したCodeCommitとpusu時に動作させたいブランチを指定します)
( 作成したCodeBuildプロジェクトを指定します )
( 作成したCodeDeployアプリケーションとデプロイグループを指定します)
5. Pipelineは作成時に1度動作し、以後Push時に動作します
AWS公式 リファレンス : CodePipelineでパイプラインを作成する
https://docs.aws.amazon.com/ja_jp/codepipeline/latest/userguide/pipelines-create.html
CodePipeline

23. デプロイ時にPermission変更
Setting ...Next ...
Hook

24. version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/
appspec.yml
permissions:
- object: /var/www/html/auth
pattern: "**"
owner: root
group: root
mode: 606
type:
- file
- object: /path/to/log
pattern: “sample.log"
owner: root
group: root
mode: 606
type:
- file
ドキュメントルート
ワイルドカードで指定
ファイル名で指定
詳しくはAWS公式リファレンスを参照
https://docs.aws.amazon.com/ja_jp/codedeploy/latest/
userguide/reference-appspec-file-example.html

25. もう少しいろいろやってみます。

26. デプロイ時に、
Setting ...Next ...
Hook
既存のセッションファイルを一掃し、
ByteCodeCache(opcache)をクリアする

27. appspec.yml
files: …
hooks:
BeforeInstall:
- location: script/clean.sh
runas: root
AfterInstall:
- location: script/destroy_session.sh
runas: root
ApplicationStart :
- location: script/clean_opcache.sh
runas: root
ValidateService:
- location: sample.sh
permissions: …
rm -rf /var/www/html/
php opcache消去用
wgetでphpスクリプトを叩く
rm -rf /session_file_path*
BeforeInstallでも良さそう

28. 実際にPipelineを流してみます。
と、いう訳で
ご静聴ありがとうございました一旦...