Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Secara otomatis membangun dan menyebarkan aplikasi Java ke Amazon EKS menggunakan pipeline CI/CD
*MAHESH RAGHUNANDANAN, Jomcy Pappachen, dan James Radtke, Amazon Web Services*
## Ringkasan
Pola ini menjelaskan cara membuat pipeline continuous integration and continuous delivery (CI/CD) yang secara otomatis membangun dan menyebarkan aplikasi Java dengan DevSecOps praktik yang direkomendasikan ke cluster Amazon Elastic Kubernetes Service (Amazon EKS) di file. AWS Cloud Pola ini menggunakan aplikasi salam yang dikembangkan dengan kerangka Spring Boot Java dan yang menggunakan Apache Maven.
Anda dapat menggunakan pendekatan pola ini untuk membangun kode untuk aplikasi Java, mengemas artefak aplikasi sebagai gambar Docker, memindai keamanan gambar, dan mengunggah gambar sebagai wadah beban kerja di Amazon EKS. Pendekatan pola ini berguna jika Anda ingin bermigrasi dari arsitektur monolitik yang digabungkan erat ke arsitektur layanan mikro. Pendekatan ini juga membantu Anda memantau dan mengelola seluruh siklus hidup aplikasi Java, yang memastikan tingkat otomatisasi yang lebih tinggi dan membantu menghindari kesalahan atau bug.
## Prasyarat dan batasan
**Prasyarat**
+ Aktif Akun AWS.
+ AWS Command Line Interface (AWS CLI) versi 2, diinstal dan dikonfigurasi. Untuk informasi selengkapnya tentang ini, lihat [Menginstal atau memperbarui ke versi terbaru](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html) dari AWS CLI dokumentasi. AWS CLI
AWS CLI versi 2 harus dikonfigurasi dengan peran AWS Identity and Access Management (IAM) yang sama yang membuat kluster Amazon EKS, karena hanya peran itu yang diizinkan untuk menambahkan peran IAM lainnya ke. `aws-auth` `ConfigMap` Untuk informasi dan langkah-langkah untuk mengkonfigurasi AWS CLI, lihat [Mengkonfigurasi pengaturan](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html) dalam AWS CLI dokumentasi.
+ Peran dan izin IAM dengan akses penuh ke. AWS CloudFormation Untuk informasi selengkapnya tentang ini, lihat [Mengontrol akses dengan IAM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) dalam CloudFormation dokumentasi.
+ Cluster Amazon EKS yang ada, dengan detail nama peran IAM dan Nama Sumber Daya Amazon (ARN) peran IAM untuk node pekerja di cluster EKS.
+ Kubernetes Cluster Autoscaler, diinstal dan dikonfigurasi di klaster Amazon EKS Anda. Untuk informasi selengkapnya, lihat [Komputasi klaster skala dengan Karpenter dan Cluster Autoscaler](https://docs.aws.amazon.com/eks/latest/userguide/cluster-autoscaler.html) di dokumentasi Amazon EKS.
+ Akses ke kode di GitHub repositori.
**penting**
AWS Security Hub CSPM diaktifkan sebagai bagian dari CloudFormation template yang disertakan dalam kode untuk pola ini. Secara default, setelah Security Hub CSPM diaktifkan, ia dilengkapi dengan uji coba gratis 30 hari. Setelah persidangan, ada biaya yang terkait dengan ini Layanan AWS. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS Security Hub CSPM](https://aws.amazon.com/security-hub/pricing/).
**Versi produk**
+ Helm versi 3.4.2 atau yang lebih baru
+ Apache Maven versi 3.6.3 atau yang lebih baru
+ BridgeCrew Checkov versi 2.2 atau yang lebih baru
+ Aqua Security Trivy versi 0.37 atau yang lebih baru
## Arsitektur
**Tumpukan teknologi**
+ AWS CodeBuild
+ AWS CodeCommit
+ Amazon CodeGuru
+ AWS CodePipeline
+ Amazon Elastic Container Registry (Amazon ECR)
+ Amazon EKS
+ Amazon EventBridge
+ AWS Security Hub CSPM
+ Amazon Simple Notification Service (Amazon SNS)
**Arsitektur target**
![\[Alur kerja untuk menyebarkan aplikasi Java ke Amazon EKS.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/95a5b5c2-d7fb-41eb-9089-455318c0d585/images/4f5fd8c2-2b6d-4945-aa64-fcf317521711.png)
Diagram menunjukkan alur kerja berikut:
1. Pengembang memperbarui kode aplikasi Java di cabang dasar CodeCommit repositori, yang membuat permintaan tarik (PR).
1. Segera setelah PR dikirimkan, Amazon CodeGuru Reviewer secara otomatis meninjau kode, menganalisisnya berdasarkan praktik terbaik untuk Java, dan memberikan rekomendasi kepada pengembang.
1. Setelah PR digabungkan ke cabang dasar, EventBridge acara Amazon dibuat.
1. EventBridge Acara memulai CodePipeline pipa, yang dimulai.
1. CodePipeline menjalankan tahap CodeSecurity Scan (keamanan berkelanjutan).
1. AWS CodeBuild memulai proses pemindaian keamanan di mana file Helm penerapan Dockerfile dan Kubernetes dipindai dengan menggunakan Checkov, dan kode sumber aplikasi dipindai berdasarkan perubahan kode tambahan. Pemindaian kode sumber aplikasi dilakukan oleh pembungkus [CodeGuru Reviewer Command Line Interface (CLI)](https://github.com/aws/aws-codeguru-cli).
**catatan**
Mulai 7 November 2025, Anda tidak dapat membuat asosiasi repositori baru di Amazon Reviewer. CodeGuru Untuk mempelajari tentang layanan dengan kemampuan yang mirip dengan CodeGuru Reviewer, lihat [Perubahan ketersediaan Amazon CodeGuru Reviewer di dokumentasi](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/codeguru-reviewer-availability-change.html) CodeGuru Reviewer.
1. Jika tahap pemindaian keamanan berhasil, tahap Build (integrasi berkelanjutan) dimulai.
1. Pada tahap CodeBuild Build, membangun artefak, mengemas artefak ke image Docker, memindai gambar untuk kerentanan keamanan dengan menggunakan Aqua Security Trivy, dan menyimpan gambar di Amazon ECR.
1. Kerentanan yang terdeteksi dari langkah 8 diunggah ke Security Hub CSPM untuk analisis lebih lanjut oleh pengembang atau insinyur. Security Hub CSPM memberikan gambaran umum dan rekomendasi untuk memulihkan kerentanan.
1. Pemberitahuan email tentang fase berurutan dalam CodePipeline pipeline dikirim melalui Amazon SNS.
1. Setelah fase integrasi berkelanjutan selesai, CodePipeline memasuki tahap Deploy (pengiriman berkelanjutan).
1. Image Docker di-deploy ke Amazon EKS sebagai beban kerja kontainer (pod) dengan menggunakan bagan Helm.
1. Pod aplikasi dikonfigurasi dengan agen Amazon CodeGuru Profiler, yang mengirimkan data profil aplikasi (CPU, penggunaan heap, dan latensi) ke CodeGuru Profiler, yang membantu pengembang memahami perilaku aplikasi.
## Alat
**Layanan AWS**
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)membantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan Wilayah.
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)adalah layanan build yang dikelola sepenuhnya yang membantu Anda mengkompilasi kode sumber, menjalankan pengujian unit, dan menghasilkan artefak yang siap digunakan.
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)adalah layanan kontrol versi yang membantu Anda menyimpan dan mengelola repositori Git secara pribadi, tanpa perlu mengelola sistem kontrol sumber Anda sendiri.
+ [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/what-is-codeguru-profiler.html) mengumpulkan data performa runtime dari aplikasi live Anda, dan memberikan rekomendasi yang dapat membantu Anda menyempurnakan performa aplikasi.
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)membantu Anda dengan cepat memodelkan dan mengkonfigurasi berbagai tahapan rilis perangkat lunak dan mengotomatiskan langkah-langkah yang diperlukan untuk merilis perubahan perangkat lunak secara terus menerus.
+ [Amazon Elastic Container Registry (Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html)) adalah layanan registri gambar kontainer terkelola yang aman, terukur, dan andal.
+ [Amazon Elastic Kubernetes Service (Amazon](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) EKS) membantu Anda menjalankan AWS Kubernetes tanpa perlu menginstal atau memelihara control plane atau node Kubernetes Anda sendiri.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data real-time dari berbagai sumber, termasuk AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberikan pandangan komprehensif tentang keadaan keamanan Anda AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.
+ [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
**Layanan lainnya**
+ [Helm](https://helm.sh/docs/) adalah manajer paket open-source untuk Kubernetes.
+ [Apache Maven](https://maven.apache.org/) adalah alat manajemen dan pemahaman proyek perangkat lunak.
+ [BridgeCrew Checkov](https://www.checkov.io/1.Welcome/What%20is%20Checkov.html) adalah alat analisis kode statis untuk memindai infrastruktur sebagai file kode (IAc) untuk kesalahan konfigurasi yang dapat menyebabkan masalah keamanan atau kepatuhan.
+ [Aqua Security Trivy](https://github.com/aquasecurity/trivy) adalah pemindai komprehensif untuk kerentanan dalam gambar kontainer, sistem file, dan repositori Git, selain masalah konfigurasi.
**Kode**
Kode untuk pola ini tersedia di GitHub [aws-codepipeline-devsecops-amazoneks](https://github.com/aws-samples/aws-codepipeline-devsecops-amazoneks)repositori.
## Praktik terbaik
+ Pola ini mengikuti [praktik terbaik keamanan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) untuk menerapkan prinsip hak istimewa terkecil untuk entitas IAM di semua fase solusi. Jika Anda ingin memperluas solusi dengan alat tambahan Layanan AWS atau pihak ketiga, kami sarankan Anda meninjau bagian tentang [penerapan izin hak istimewa paling sedikit dalam dokumentasi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).
+ Jika Anda memiliki beberapa aplikasi Java, kami sarankan Anda membuat CI/CD pipeline terpisah untuk setiap aplikasi.
+ Jika Anda memiliki aplikasi monolit, kami sarankan Anda memecah aplikasi menjadi layanan mikro jika memungkinkan. Layanan mikro lebih fleksibel, memudahkan penerapan aplikasi sebagai wadah, dan memberikan visibilitas yang lebih baik ke dalam keseluruhan pembuatan dan penyebaran aplikasi.
## Epik
### Mengatur lingkungan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Kloning GitHub repositori. | Untuk mengkloning repositori, jalankan perintah berikut.git clone https://github.com/aws-samples/aws-codepipeline-devsecops-amazoneks
| Pengembang aplikasi, DevOps insinyur |
| Buat bucket S3 dan unggah kodenya. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | AWS DevOps, administrator Cloud, DevOps insinyur |
| Buat CloudFormation tumpukan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | AWS DevOps, DevOps insinyur |
| Validasi penyebaran CloudFormation tumpukan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | AWS DevOps, DevOps insinyur |
| Hapus bucket S3. | Kosongkan dan hapus bucket S3 yang Anda buat sebelumnya. Untuk informasi selengkapnya, lihat [Menghapus bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) di dokumentasi Amazon S3. | AWS DevOps, DevOps insinyur |
### Konfigurasikan bagan Helm
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Konfigurasikan bagan Helm aplikasi Java Anda. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | DevOps insinyur |
| Validasi bagan Helm untuk kesalahan sintaks. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | DevOps insinyur |
### Siapkan CI/CD pipeline Java
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat CI/CD pipa. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | AWS DevOps |
### Aktifkan integrasi antara Security Hub CSPM dan Aqua Security
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Aktifkan integrasi Aqua Security. | Langkah ini diperlukan untuk mengunggah temuan kerentanan gambar Docker yang dilaporkan oleh Trivy ke Security Hub CSPM. Karena CloudFormation tidak mendukung integrasi CSPM Security Hub, proses ini harus dilakukan secara manual.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | Administrator AWS, DevOps insinyur |
### Konfigurasi CodeBuild untuk menjalankan perintah Helm atau kubectl
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Izinkan CodeBuild untuk menjalankan perintah Helm atau kubectl di cluster Amazon EKS. | CodeBuild Agar dapat diautentikasi untuk menggunakan Helm atau `kubectl` perintah dengan kluster Amazon EKS, Anda harus menambahkan peran IAM ke. `aws-auth` `ConfigMap` Dalam hal ini, tambahkan ARN dari peran IAM`EksCodeBuildkubeRoleARN`, yang merupakan peran IAM yang dibuat untuk CodeBuild layanan untuk mengakses kluster Amazon EKS dan menyebarkan beban kerja di dalamnya. Ini adalah kegiatan satu kali.Prosedur berikut harus diselesaikan sebelum tahap persetujuan penyebaran di CodePipeline.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html)`aws_auth``ConfigMap`Ini dikonfigurasi, dan akses diberikan. | DevOps |
### Validasi pipa CI/CD
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Verifikasi bahwa CI/CD pipeline dimulai secara otomatis. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html)Untuk informasi selengkapnya tentang memulai pipeline dengan menggunakan CodePipeline, lihat [Memulai pipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-about-starting.html)CodePipeline, [Memulai pipeline secara manual](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html), dan [Memulai pipeline sesuai jadwal](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-trigger-source-schedule.html) dalam CodePipeline dokumentasi. | DevOps |
| Menyetujui penyebaran. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automatically-build-and-deploy-a-java-application-to-amazon-eks-using-a-ci-cd-pipeline.html) | DevOps |
| Validasi pembuatan profil aplikasi. | Setelah penerapan selesai dan pod aplikasi dikerahkan di Amazon EKS, agen Amazon CodeGuru Profiler yang dikonfigurasi dalam aplikasi akan mencoba mengirim data profil aplikasi (CPU, ringkasan heap, latensi, dan bottleneck) ke Profiler. CodeGuru Untuk penerapan awal aplikasi, CodeGuru Profiler membutuhkan waktu sekitar 15 menit untuk memvisualisasikan data profil. | AWS DevOps |
## Sumber daya terkait
+ [AWS CodePipeline dokumentasi](https://docs.aws.amazon.com/codepipeline/index.html)
+ [Memindai gambar dengan Trivy di AWS CodePipeline](https://aws.amazon.com/blogs/containers/scanning-images-with-trivy-in-an-aws-codepipeline/) (posting AWS blog)
+ [Meningkatkan aplikasi Java Anda menggunakan Amazon CodeGuru Profiler](https://aws.amazon.com/blogs/devops/improving-your-java-applications-using-amazon-codeguru-profiler) (posting AWS blog)
+ [AWS Sintaks Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-syntax.html)
+ [Pola EventBridge acara Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)
+ [Peningkatan helm](https://helm.sh/docs/helm/helm_upgrade/)
## Informasi tambahan
+ CodeGuru Profiler tidak harus bingung dengan AWS X-Ray layanan dalam hal fungsionalitas. Kami menyarankan Anda menggunakan CodeGuru Profiler untuk mengidentifikasi baris kode paling mahal yang dapat menyebabkan kemacetan atau masalah keamanan, dan memperbaikinya sebelum menjadi risiko potensial. Layanan X-Ray adalah untuk pemantauan kinerja aplikasi.
+ Dalam pola ini, aturan acara dikaitkan dengan bus acara default. Jika diperlukan, Anda dapat memperluas pola untuk menggunakan bus acara khusus.
+ Pola ini menggunakan CodeGuru Reviewer sebagai alat pengujian keamanan aplikasi statis (SAST) untuk kode aplikasi. Anda juga dapat menggunakan pipeline ini untuk alat lain, seperti SonarQube atau Checkmarx. Anda dapat menambahkan petunjuk pengaturan pemindaian untuk salah satu alat ini `buildspec/buildspec_secscan.yaml` untuk mengganti instruksi CodeGuru pemindaian.
**catatan**
Mulai 7 November 2025, Anda tidak dapat membuat asosiasi repositori baru di Amazon Reviewer. CodeGuru Untuk mempelajari tentang layanan dengan kemampuan yang mirip dengan CodeGuru Reviewer, lihat [Perubahan ketersediaan Amazon CodeGuru Reviewer di dokumentasi](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/codeguru-reviewer-availability-change.html) CodeGuru Reviewer.