AWS CI/CD之二：配置CodeDeploy

问题

前面一篇文章介绍了CodeBuild中构建一个Java的Maven项目。在这个基础上面，我们继续AWS CI/CD工作流构建之路。

1.配置CodePipeline简配版

这里主要是利用CodePipeline配置之前的CodeBuild项目，以便生产出需要部署的jar文件和CodeDeploy需要用到相关脚本文件。打开CodePipeline主页，开始创建管道，如下图：

这次创建CodePipeline只涉及到CodeBuild，也就是只配置到Build阶段。下面开始管道设置，如下图：

下一步，设置源代码，如下图：

下一步，设置构建阶段，这里选择，之前CodeBuild设置的构建项目，如下图：

下一步，设置部署阶段，这次我们先跳过，这个步骤，具体如下图：


点击创建管道，如下图：

配置成功后，如下图：

等待一段时间后，等这个管道构建jar文件完成后，就可以去s3页面查看，构建好的压缩包，如下图：

这样就可以去s3页面，查看管道生产的构件文件了，如下图：

将该构件zip文件下载，到本地检查查看如下图：

这里涉及到的脚本文件，我们在启动模板里面再解释。

2.创建EC2实例的IAM角色

这里使用的IAM角色，是提供给EC2实例使用的角色。打开IAM主页，点击角色，点击创建角色，如下图：

选择AWS服务，使用EC2服务实例，点击下一步，如下图：

配置ec2实例角色，需要的aws托管权限策略，添加AmazonAPIGatewayInvokeFullAccess，如下图：

设置角色名称和描述，如下图：

点击编辑，继续添加aws托管权限策略，添加AmazonSSMManagedInstanceCore，如下图：

在依次添加AmazonSSMReadOnlyAccess，CloudWatchAgentServerPolicy策略，具体托管策略如下图：

点击创建角色，得到如下结果图：

再添加两种自定义权限策略，一种是读取指定s3桶策略；一种是读取配置中心的secretsmanager策略。

GetSecretValue

打开策略主页，开始创建新策略，如下图：

读取配置中心的secretsmanager策略，内容如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "secretsmanagerRead",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:账户ID:secret:*"
        }
    ]
}

具体设置如下图：

创建策略，如下图：

dev-s3

按照上述方法，创建读取指定s3桶读策略。策略内容如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::dev-xxx-data",
                "arn:aws:s3:::codepipeline-us-east-1-414194568564",
                "arn:aws:s3:::codepipeline-us-east-1-414194568564/*"
            ]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": [
                "arn:aws:s3:::dev-xxx-data/*"
            ]
        }
    ]
}

这里主要设定s3桶和桶中的读权限，其中一个codepipeline桶是上面codepipeline构件生成位置。

CodeDeployCLI策略

方便EC2实例调用codedeploy命令权限策略，具体内容如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "codedeploy-commands-secure:GetDeploymentSpecification",
                "codedeploy-commands-secure:PollHostCommand",
                "codedeploy-commands-secure:PutHostCommandAcknowledgement",
                "codedeploy-commands-secure:PutHostCommandComplete"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

然后，将这上述自定义的权限策略添加到ec2角色中去，具体如下图：


依次添加上述自定义权限策略，最终结果如下图：

3.配置spring服务日志组

打开CloudWatch主页，开始创建日志组，如下图：

设置日志组名称，点击创建，如下图：

4.Spring中配置日志服务

只需要配置application.yaml即可，具体如下类似内容：

spring:
    application:
        name: demo
logging:
    file:
        name: ${user.home}/log/demo.log
    level:
        root: info
        org.springframework.web: debug
        org.hibernate: error
    logback:
        rollingpolicy:
            total-size-cap: 1GB

这里主要是要确定spring的日志文件输出位置。

5.配置EC2启动模板

打开EC2启动模板主页，开始进行创建启动模板，如下图：

先简单配置启动模板，如下图：

注意这里，还需要设置密钥文件和IAM实例配置文件，如下图：

在用户数据部分设置，启动ec2实例的关键脚本，如下图：

具体内容参考如下：

#!/bin/bash
# 安装CodeDeploy 代理程序
sudo yum -y update
sudo yum -y install ruby
sudo yum -y install wget
cd ~
aws s3 cp s3://aws-codedeploy-us-east-1/latest/install . --region us-east-1
chmod +x ./install
sudo ./install auto
# 调整codedeploy使用IAM授权
echo -e "\n:enable_auth_policy: true" | sudo tee -a /etc/codedeploy-agent/conf/codedeployagent.yml
sudo systemctl restart codedeploy-agent.service
# 安装Corretto17
sudo yum -y install java-17-amazon-corretto
java -version
# 设置环境变量
echo "export SPRING_PROFILES_ACTIVE=dev" | sudo tee /etc/profile.d/load_env.sh
echo "export SPRING_APPLICATION_NAME=xxxc" | sudo tee -a /etc/profile.d/load_env.sh
export SPRING_PROFILES_ACTIVE=dev
export SPRING_APPLICATION_NAME=xxxc
echo "export DEPLOYMENT_GROUP_NAME=dev" | sudo tee -a /etc/profile.d/load_env.sh
echo "export APPLICATION_NAME=xxxc" | sudo tee -a /etc/profile.d/load_env.sh
export DEPLOYMENT_GROUP_NAME=dev
export APPLICATION_NAME=xxxc
# 下载构建文件
cd ~
buildArtif=$(aws s3 ls s3://codepipeline-us-east-1-414194568564/dev-xxxc/BuildArtif/ --recursive --region us-east-1 | sort | tail -n 1 | awk '{print $4}') 
aws s3 cp s3://codepipeline-us-east-1-414194568564/$buildArtif . --region us-east-1
fileName=$(basename $buildArtif)
unzip ~/$fileName
chmod +x ~/*.sh
source ~/install_dependencies.sh
source ~/change_permissions.sh
source ~/start_server.sh

上述脚本，主要就是安装CodeDeploy代理程序，并开启CodeDeploy的IAM角色授权，安装JDK运行环境和相关环境变量设置，最后，就是下载CodePipeline构建好的jar和相关启动脚本，运行相关启动脚本。
最后点击创建启动模板。最终，结果如下图：

到这里可以手动测试一下这个启动模板，能否正常工作，具体如下图：

6.配置负责均衡器ELB

6.1创建ELB安全组

6.2创建目标组

下一步，挑选一个之前用启动模板创建的EC2实例，进行创建目标组，如下图：

等待一段时间，如下图：

6.3. 配置NLB

开始创建LB，如下图：

选择创建NLB，如下图：

详细设置如下：

创建完NLB一段时间后，回到目标组，查看注册目标状态，如下图，表示NLB创建成功了：

7.配置Auto Scaling组

开始创建Auto Scaling组，设置组名称，选择之前创建的启动模板，如下图：

选择实例启动选项，如下图：

配置高级选项，如下图：

配置组大小和扩展策略，如下图：

跳过通知设置，直接开始设置标签，如下图：

下一步，审核通过后，直接创建即可。审核页面，如下图：

等待一段时间后，auto scaling组就创建好了。如下图：

8.配置CodeDeploy

8.1 创建应用程序

开始创建CodeDeploy的应用程序，如下图：

创建应用程序，如下图：

8.2 创建AutoScalingForCodeDeploy自定义策略

打开策略主页，开始创建AutoScalingForCodeDeploy策略，如下图：

点击创建策略，将下面内容复制进去，如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AutoScalingForCodeDeploy",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "ec2:CreateTags",
                "ec2:RunInstances"
            ],
            "Resource": "*"
        }
    ]
}

点击下一步，如下图：

点击创建策略，如下图：

8.3 创建角色

打开角色主页，开始创建新角色，如下图：

点击创建角色，选中相关服务，如下图：

点击下一步，如下图：

点击创建角色，如下图：

找到刚才创建的CodeDeployServiceRole角色，点击进入详情，如下图：

开始添加自定义权限策略，如下图：

添加AutoScalingForCodeDeploy自定义策略，如下图：

最终角色的权限策略，如下图：

8.4 创建部署组

打开CodeDeploy之前创建的应用程序的部署组部分，我们开始创建dev环境的部署组，如下图：

设置基本设置后，开始创建部署组，如下图：

到这里就创建部署组成功了。

总结

这个CodeDeploy是AWS CI/CD里面比较复杂一个部分，只要我们保证CodeBuild和CodeDeploy没问题的前提下面，我们就可以开始AWS CI/CD最后一个核心服务CodePipeline。

参考：

• 使用 CodeDeploy 亚马逊 Virtual Private Cloud
• Amazon Corretto 17 Installation Instructions for Amazon Linux 2 and Amazon Linux 2023