AWS CodeDeployを使ったAmazon S3からの自動デプロイ
AWS CodeDeployはAmazon EC2とオンプレミスのあらゆるインスタンスにソフトウェアをデプロイできます。またデプロイ中のダウンタイムを回避したり、アプリケーション・インスタンス・デプロイ・デプロイの設定を中央管理することができます。CodeDeployについてもっと知りたい方はこちらをご覧ください。このブログ投稿ではAmazon S3にアプリケーションをアップロードしたら自動的にCodeDeployのデプロイを開始する方法を紹介します。アプリケーションの新しいリビジョンがアップロードされたら可能な限り速くCodeDeployに通知するためにAWS Lambdaを使います。
AWS Lambdaはイベントに反応してコードを実行することができるコンピュートサービスです。サポートされたAWSのサービスでイベントが生成されると、そのイベントが発火するとすぐにLambdaが実行されます。Lambdaについてもっと知りたい場合にはこちらをご覧ください。
事前準備
Lambdaのロール
Lambdaを動作させるために2つのロールが必要です。1つはinvocation roleで新しいバージョンのアプリケーションがアップロードされたらAmazon S3がLambdaを起動できるためのもので、もう1つはexecution roleでLambdaが指定したパーミッションでデプロイを作成する機能を実行するためのものです。
Invocation Role
invocation roleを作成する方法です
- IAM Rolesのページに行きます
- Create New Roleをクリックします
- LambdaInvocationRoleという名前を入力してNext Stepをクリックします
- Select Role Typeの中で、AWS Service Roles、AWS S3 Invocation for Lambda Functionsを選びます
- ポリシー名のなかでAWSLambdaRoleを選びNext Stepをクリックします
- Create Roleをクリックします
invocation roleを作成したら、以下の項目が確認できます。
invocation roleはこの様になっています。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": ["*"]
}]
このロールはLambdaのInvokeFunctionを実行することを許可しています。このロールはS3を信頼したエンティティとして持っているので、S3はこのLambda関数を起動できます。そのロールのTrust Relationshipsの下のShow policy documentをクリックすると見ることができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:s3:::*"
}
}
}
]
}
Execution role
execution roleを作るために以下のポリシーをコピーします。
CodeDeploy Deployment Policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:*"
],
"Resource": "arn:aws:logs:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::BUCKET_NAME/*"
]
},
{
"Effect": "Allow",
"Action": "codedeploy:GetDeploymentConfig",
"Resource": "arn:aws:codedeploy:us-east-1:123ACCOUNTID:deploymentconfig:*"
},
{
"Effect": "Allow",
"Action": "codedeploy:RegisterApplicationRevision",
"Resource": "arn:aws:codedeploy:us-east-1:123ACCOUNTID:application:*"
},
{
"Effect": "Allow",
"Action": "codedeploy:GetApplicationRevision",
"Resource": "arn:aws:codedeploy:us-east-1:123ACCOUNTID:application:*"
},
{
"Effect": "Allow",
"Action": "codedeploy:CreateDeployment",
"Resource": "arn:aws:codedeploy:us-east-1:123ACCOUNTID:deploymentgroup:*"
}
]
}
BUCKET_NAMEをCodeDeployのアプリケーションのリビジョンをアップロードする先のS3バケットに書き換えます。もし違うリージョンを使っている場合”us-east-1”も置き換え、”123ACCOUNTID”をAccount SettingsページにあるAWSのアカウントIDで置き換えます。
- IAM Policiesのページに行きます
- Create Policyをクリックします
- Create Your Own Policyを選びます
- Policy NameをCodeDeployDeploymentPolicyにして、上のCodeDeployのデプロイポリシーをPolicy Documentのセクションに貼り付けます。
- IAM Rolesのページに行きます
- Create New Roleをクリックします
- LambdaExecutionRoleと入力してNext Stepをクリックします
- Select Role Typeの中でAWS Service Roles、AWS Lambdaを選びNext Stepをクリックします
- Attach Policyページの中でCodeDeployDeploymentPolicyを選びNext Stepをクリックします
- Create Roleをクリックしてロールを作成します
Lambda execution roleが作成できるとTrust Relationshipsのポリシーはこの様になっています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
このロールはAmazon CloudWatch Logsへの書き込み、特定のS3バケットへのGetObject、そしてCodeDeployのデプロイ実行を許可しています。CloudWatch Logsのパーミッションはオプションですが、何かおかしなことがあった時に例外をログに書き込んでくれるので、デバッグには便利です。trust policyは上記の許可されたアクションをLambdaが実行できるように権限を与えています。
Lambda関数
Lambda関数はAmazon S3から通知を受け取ります。イベントにはソースのバケットとキーが含まれています。この関数は拡張子を見てオブジェクトのタイプを検出しています。デフォルトではtarを想定しています。その後s3バケットとキーを使ってgetObjectを呼び出してオブジェクトのメタデータを読み込みます。メタデータ内には2つのパラメータが含まれることを期待しています。
その値は、S3のオブジェクトを自動でデプロイしたいCodeDeployのアプリケーションとデプロイメントグループを指しています。これらの値がどうやってLambda関数に渡されるかはすぐに説明します。
var aws = require('aws-sdk');
var s3 = new aws.S3({apiVersion: '2006-03-01'});
var codedeploy = new aws.CodeDeploy();
var artifact_type;
var bucket;
var key;
exports.handler = function(event, context) {
/* runtime functions */
function getS3ObjectAndCreateDeployment() {
// Get the s3 object to fetch application-name and deploymentgroup-name metadata.
s3.getObject({
Bucket: bucket,
Key: key
}, function(err, data) {
if (err) {
context.done('Error', 'Error getting s3 object: ' + err);
} else {
console.log('Creating deployment');
createDeployment(data);
}
});
}
function createDeployment(data) {
if (!data.Metadata['application-name'] || !data.Metadata['deploymentgroup-name']) {
console.error('application-name and deploymentgroup-name object metadata must be set.');
context.done();
}
var params = {
applicationName: data.Metadata['application-name'],
deploymentGroupName: data.Metadata['deploymentgroup-name'],
description: 'Lambda invoked codedeploy deployment',
ignoreApplicationStopFailures: false,
revision: {
revisionType: 'S3',
s3Location: {
bucket: bucket,
bundleType: artifact_type,
key: key
}
}
};
codedeploy.createDeployment(params,
function (err, data) {
if (err) {
context.done('Error','Error creating deployment: ' + err);
}
else {
console.log(data); // successful response
console.log('Finished executing lambda function');
context.done();
}
});
}
console.log('Received event:');
console.log(JSON.stringify(event, null, ' '));
// Get the object from the event
bucket = event.Records[0].s3.bucket.name;
key = event.Records[0].s3.object.key;
tokens = key.split('.');
artifact_type = tokens[tokens.length - 1];
if (artifact_type == 'gz') {
artifact_type = 'tgz';
} else if (['zip', 'tar', 'tgz'].indexOf(artifact_type) < 0) {
artifact_type = 'tar';
}
getS3ObjectAndCreateDeployment();
};
Lambda関数の登録
Lambda関数の登録は簡単です。以下のステップに従います。
- AWS Lambdaコンソールに行きます
- Create A Lambda Functionをクリックします
- NameとDescriptionを入力します
- 上のコードスニペットをLambda Function Codeセクションに貼り付けてデフォルトのコンテンツを置き換えます
- ハンドラの名前は’handler’のままにします
- Role nameの中で作成したLambda execution roleを選びます
- 例えば5MB以上の大きいアプリケーションをアップロードしたいときには、Advanced Settingsの中でMemoryとTimeoutを増やすことができます。そうでなければデフォルトの値を使います。
- Create Lambda Functionをクリックします
- 次のページではConfigure Event Sourceをクリックします
- 自分のS3バケットを選択します
- 前に作成したLambda invocation roleをInvocation Roleに選択します
- Submitをクリックします
Amazon S3へのアップロード
以上のステップが終わったら、設定したS3のバケットにアプリケーションの新リビジョンをアップロードすることができます。アップロードの際に、以下のカスタムメタデータを指定する様にして下さい。
- application-name
- deploymentgroup-name
これによって、Lambdaはどのアプリケーションのどのデプロイメントグループに対するデプロイを作成すればいいのかがわかります。Amazon S3コンソールからアップロードする場合、以下の様にします。
- S3コンソールに行き、アプリケーションのリビジョンをアップロードするバケットを選びます
- Uploadをクリックします
- AddFilesをクリックしてCodeDeployのバンドルを追加します
- SetDetailsをクリックします
- SetPermissionsをクリックします
- SetMetadataをクリックします
- Add more metadataをクリックします
- 必要なメタデータを追加したら、Start Uploadをクリックします
注意: カスタムメタデータはx-amz-meta-で始まる必要があります。例えばx-amz-meta-application-nameやx-amz-meta-deploymentgroup-nameのような形です。Amazon S3はこのプレフィックスを使ってその他のヘッダからユーザのメタデータを区別することができます。
もしS3のアップロード時にこれらのメタデータを指定し忘れたら、Lambda関数は以下の様なエラーをAWS CloudWatchにログとして残します。
その他の連携
このLambda関数はAWS CodeDeployと他のAWSサービスを繋げる一つの単純な例です。他のイベントを使って他のCodeDeployのアクションを実行する似たような関数を作ることもできます。皆さんのアイデアやコメントをフォーラムの中で聞けることを楽しみにしています。
元記事: Automatically Deploy from Amazon S3 using AWS CodeDeploy - Application Management Blog (翻訳 : 岩永)
コメント