government-cloud-ecs-iac-cicd

© 2024, Amazon Web Services, Inc. or its affiliates. All
rights reserved. Amazon Confidential and Trademark. ガバメントクラウドで始める CI/CDパイプライン : 明⽇からの実践ガイド後半パート 2024/11/5 アマゾンウェブサービスジャパン株式会社パブリックセクター東健⼀ 1

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 東健⼀（Kenichi Azuma）＜職務内容＞ • 中央省庁のお客様を担当するソリューションアーキテクト § デジタル庁、経産省、厚⽣労働省・⽀払基⾦、こども家庭庁、関連外郭団体の案件を中⼼にご担当させていただいております。 • コンテナ利⽤に関わる案件のご⽀援（EKS、App Runner、ECS） § EKS / Istio によるサービスメッシュワークショップ＜趣味＞ • 散歩、家でゆっくりすること、銭湯是⾮みなさまの知⾒を私も学ばせてください。本⽇はよろしくお願いいたします︕

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. はじめに • 今年9⽉に開催された AWS Innovate でお話しした内容をベースにお話しいたします • ⽐較的抽象的な内容となりますが、もし興味がある⽅はご覧いただけますと幸いです。 © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Kenichi Azuma アマゾンウェブサービスジャパン合同会社ソリューションアーキテクトステップバイステップで考える Amazon ECS の CI/CD と IaC T 5 - 4

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. はじめに本パートでは⾚枠の部分にフォーカスし、ECS/CDKを中⼼に説明 Infrastructure as Code (IaC) Step3 Step2 テスト⾃動化 CI/CD Step1 マネージドサービス (コンテナ) マネージドサービス (サーバレス) セキュリティのシフトレフトオブザーバビリティ Git リポジトリインフラストラクチャアプリケーション CI/CD パイプライン設定と Observability IaC を中⼼としてチームがコラボレーションする IaC はガバメントクラウド移⾏に求められるモダン化の⼟台

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon VPC Private subnet Public subnet Amazon ECS でコンテナを動かすまでのステップ Amazon ECS で Web アプリケーションをデプロイする場合・・・ Application Load Balancer Amazon ECR Amazon ECS Image Task Definition Service ② AWS Fargate Amazon RDS ① ③ ④ IAM Role インフラ担当アプリ担当インフラ担当 ① 関連するリソースの作成 • ECS クラスター、ECR • VPC、RDS 等アプリ担当 ② コンテナイメージ Push ③ タスク定義の作成 ④ サービスの作成（デプロイ）

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ECS でアプリケーションをデプロイするときの選択肢アプリケーション Task Definition, Service インフラストラクチャ ECS クラスター VPC, ALB, ECR など • ecspresso （ on AWS CodeBuild ) • AWS CodePipeline ECS デプロイ • AWS CodeDeploy （ B/G デプロイ ) • AWS CDK （ on AWS CodeBuild ) • Terraform （ on AWS CodeBuild ) • AWS CodePipeline CloudFormation デプロイ • Amazon CodeCatalyst 管理のスコープをどうするか、デプロイツールで対応しているデプロイ⽅式（ローリングアップデート、B/G デプロイ等）も踏まえ、ツールを選定アプリケーション（ ECS サービス ) の柔軟なデプロイインフラも含めた包括的なデプロイ

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ローリングアップデートと B/G デプロイについて AWS Dev Day 2022 Blue / Green デプロイと安全性と複雑性とまずはローリングアップデート（例︓CodePipeline ECS Deploy アクション)で要件を満たせるか検証しつつ、プロジェクトやチームの特性を踏まえて判断 -> 特定ユーザ向け（省内利⽤等）の場合は B/G デプロイを選択せずにシンプルな構成を取ることも可能なケースが多いと推察

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ECS の環境を CDK で⼀括管理する CDK Template Amazon ECS • Docker Image Assets コンストラクトなどを使⽤し、コンテナのビルドも CDK のライフサイクルに含めて実装することが可能 • 必須適⽤テンプレートやその他のインフラストラクチャと同じ様に CDK で管理したいケースや同⼀のソースコード / リポジトリで管理したいケースに適⽤可能 v1.0.0 v1.0.0 Task Definition Service Application Load Balancer Amazon RDS Amazon VPC AWS CDK ・・・ Amazon ECR Image GitHub

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon VPC Private subnet Public subnet 全て CDK で管理する場合の注意事項（1/2) • ECS におけるタスク定義やサービス、コンテナイメージ等は VPC や RDS、ECS クラスターといったリソースとはライフサイクル、デプロイの頻度が異なるケースが多い • ⼀⽅で担当チームが分かれている場合は、別チームのデプロイの際にパイプラインが⼀緒に実⾏されてしまうため、管理が難しい。(スタックを分ける等で解決可能な場合もある） -> 現場ではインフラチームとアプリチームが分かれていることが多い Application Load Balancer Amazon ECR Amazon ECS Image Task Definition Service Amazon RDS IAM Role 責務︓アプリチームデプロイ頻度︓⾼責務︓インフラチームデプロイ頻度︓低

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 全て CDK で管理する場合の注意事項（2/2) • Docker Image Assets の仕様に依存したデプロイとなる • ECS のデプロイはローリングアップデートのみ対応 • ⼀時的にPushされるECRリポジトリが作成される / 任意のリポジトリやタグを利⽤できない • cdklabs にある cdk-docker-image-deployment を⽤いることで任意の ECRリポジトリの利⽤やタグの付与は可能となるが、2024/11時点ではCDKの正式なコンストラクトではない • また、各レイヤーのテスト等をパイプラインに⼊れるとパイプライン全体の実⾏時間が⻑期化する

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. （参考）GCAS におけるリファレンスアーキテクチャ CodeBuildで各種テスト・コンテナイメージビルド / ブランチごとにデプロイ先を変更 CodeBuildで各種テスト・ cdk deployコマンドの実⾏ / ブランチごとにデプロイ先を変更

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. （参考）GCAS におけるリファレンスアーキテクチャ CodeBuildで各種テスト・コンテナイメージビルド / ブランチごとにデプロイ先を変更 CodeBuildで各種テスト・ cdk deployコマンドの実⾏ / ブランチごとにデプロイ先を変更インフラストラクチャとアプリケーションのデプロイを別のパイプラインとして管理することで柔軟なデプロイを実現

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. （参考）GCAS におけるリファレンスアーキテクチャ CodeBuildで各種テスト・コンテナイメージビルド / ブランチごとにデプロイ先を変更 CodeBuildで各種テスト・ cdk deployコマンドの実⾏ / ブランチごとにデプロイ先を変更インフラストラクチャとアプリケーションのデプロイを別のパイプラインとして管理することで柔軟なデプロイを実現 ↓ いざチャレンジ︕する前に少し整理・注意が必要

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ECS リソースを管理する際の注意事項 Template v1.0.0 AWS CodeDeploy v1.0.0 IaC によるインフラデプロイ別のデプロイツールによる ECS サービスのデプロイ • CodeDeploy 等の別サービス経由でコンテナイメージや ECS サービスを更新した場合、タスク定義・サービスの設定が IaC の記述内容と乖離が⽣じる • ECS の設定更新を IaC から実施する際に、意図せぬ状態となる恐れがある AWS CDK Task Count : 2 Task Def Revision : 1 Application Task Count : 2 Task Def Revision : 2 ↓ Task Def Revision : 4 Task Count : 4 Task Def Revision : 1 Template v1.1.0 v1.1.0 AWS CDK v1.0.1 v1.0.2 v1.0.3 ① ECS サービスを含めた各リソースのデプロイ ② アプリケーションの変更等に伴い、コンテナイメージを更新タスク定義、サービスも併せて更新 ③ 負荷増⼤に伴い、 ECS サービスのタスク数を更新 ④ CDK の⽅ではタスク定義がリビジョン 1 のままとなっており、デグレーションが発⽣ Infra

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 対策案 1 サービス、タスク定義は別管理とする AWS Account VPC・Subnet IAM ECS Cluster ECS Service A Task Task ECS Service B Task Task Container Image Container Image インフラストラクチャの IaC で管理するスコープ RDS Security Service ECR Repository Service B Application Infra Repository Service B アプリチームインフラチーム ② ① Service A Application Service A アプリチーム ② • インフラストラクチャを管理する IaC と ECS サービス、タスク定義は別の管理とする • チームやプロジェクトの特性に応じて ECS サービス毎に異なるデプロイツールを使うことも可能 ecspresso CDK

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS CodePipeline（インフラ） Amazon ECS ・・・ ECS Service ECS Task GitHub （インフラ） AWS CodeBuild AWS CDK AWS CodePipeline（アプリ） AWS CodeBuild Amazon ECR Image アプリチームインフラチーム ①インフラチームがあらかじめ VPC や ECS クラスター、 ECR等を IaC（CDK等）作成 ②-2 アプリチームは開発からテスト、 ECS サービスのデプロイまで⾃分たちで実施（インフラチームが作成したクラスターや VPC 等を利⽤） ②-1 インフラチームはインフラチームのスコープリソースを適宜リリース・変更 Application Load Balancer Amazon RDS Amazon VPC GitHub （アプリ）対策案 1 実装イメージ

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. 対策案 2 コンテナイメージのみ別管理とする AWS Account VPC・Subnet IAM ECS Cluster Task Task Task Task Container Image Container Image インフラストラクチャの IaC で管理するスコープ RDS Security Service ECR Repository Service B Application Infra Repository アプリチームインフラチーム • コンテナイメージのみ別管理とし、アプリチームはコンテナイメージビルドまで責務を持つ • ECS サービスや新しいイメージを⽤いたタスク定義の更新はインフラストラクチャの IaC で管理 ECS Service A ECS Service B Service A Application ① ② ② ③

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS CodePipeline（インフラ） Amazon ECS ・・・ ECS Service ECS Task AWS CodeBuild AWS CDK AWS CodePipeline（アプリ） AWS CodeBuild Amazon ECR Image アプリチームインフラチーム ①インフラチームがあらかじめ VPC や ECS クラスター、 ECR 等を IaC（CDK 等）作成 ②アプリチームがコードを Push しコンテナイメージをビルドして ECR に Push イメージタグをインフラチームに連携 GitHub （インフラ） GitHub （アプリ） Application Load Balancer Amazon RDS Amazon VPC ③アプリチームから連携されたイメージタグをセットし、 ECS サービスをデプロイ対策案 2 実装イメージ

rights reserved. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. それぞれの管理⽅法の⽐較 • インフラストラクチャと ECS サービスの設定を含むアプリケーションは別のコードベースで管理 • 各チーム、担当が個別にパイプラインを管理し、デプロイ • アプリチームはアプリケーションと ECS サービスを管理 • コンテナイメージ（アプリケーション）以外の ECS サービスを含めた全リソースを１つのコードベースで管理 • アプリチームはアプリケーションを管理のみ、コンテナを PUSH するまでが責務 • インフラチームが ECS サービスを管理 IaC で全て管理サービス、タスク定義は別管理コンテナイメージのみ別管理管理⽅法はあくまで⼀例。組織やプロジェクトの特性に合わせて導⼊の形式を検討 • IaC でコンテナイメージを含め、全リソースを１つのコードベースで管理 • 1 チームでデプロイ • インフラ、アプリケーション、 ECS の設定を全て管理コードの管理チームの責務ツールの選定 • ツール選定の Ownership をチームに持たせることも可能 • ツール選定の Ownership をチームに持たせることも可能 • 全て同⼀のツールで管理

government-cloud-ecs-iac-cicd

government-cloud-ecs-iac-cicd

kenicazu

More Decks by kenicazu

Featured

Transcript

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All

© 2024, Amazon Web Services, Inc. or its affiliates. All