Terraform を使用してロードバランサーエンドポイントが変更されたときの CloudFront 更新を自動化する - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Terraform を使用してロードバランサーエンドポイントが変更されたときの CloudFront 更新を自動化する

Tamilselvan P、Mohan Annam、および Naveen Suthar、Amazon Web Services

概要

Amazon Elastic Kubernetes Service (Amazon EKS) のユーザーが Helm チャートを使用して進入設定を削除して再インストールすると、新しい Application Load Balancer (ALB) が作成されます。Amazon CloudFront が古い ALB の DNS レコードを参照し続けるため、この問題が発生します。その結果、このエンドポイント宛てのサービスには到達できません。(この問題のあるワークフローの詳細については、「追加情報」を参照してください)。

この問題を解決するために、このパターンでは Python で開発されたカスタム AWS Lambda 関数の使用について説明します。この Lambda 関数は、Amazon EventBridge ルールを使用して新しい ALB がいつ作成されたかを自動的に検出します。を使用して AWS SDK for Python (Boto3)、関数は新しい ALB の DNS アドレスで CloudFront 設定を更新し、トラフィックが正しいエンドポイントにルーティングされるようにします。

この自動化されたソリューションは、追加のルーティングやレイテンシーなしでサービスの継続性を維持します。このプロセスは、基盤となるインフラストラクチャが変更されても、CloudFront が常に正しい ALB DNS エンドポイントを参照するのに役立ちます。

前提条件と制限

前提条件

制約事項

製品バージョン

アーキテクチャ

次の図表は、このパターンのアプリケーションのワークフローとアーキテクチャコンポーネントを示しています。

EventBridge ルールで検出された新しい ALB DNS アドレスで CloudFront を更新するワークフロー。

このソリューションでは、次のステップを実行します。

  1. Amazon EKS Ingress Controller は、Helm の再起動またはデプロイが行われるたびに、新しい Application Load Balancer (ALB) を作成します。

  2. EventBridge は ALB 作成イベントを検索します。

  3. ALB 作成イベントは Lambda 関数をトリガーします。

  4. Lambda 関数は python 3.9 に基づいてデプロイされており、boto3 API を使用して を呼び出します AWS のサービス。Lambda 関数は、ロードバランサーの作成イベントから受信した最新のロードバランサー DNS 名で CloudFront エントリを更新します。

ツール

AWS のサービス

  • Amazon CloudFront は、世界中のデータセンターネットワークを通じて配信することで、ウェブコンテンツの配信を高速化します。これにより、レイテンシーが減少し、パフォーマンスが向上します。

  • Amazon Elastic Kubernetes Service (Amazon EKS) を使用すると、独自の Kubernetes コントロールプレーンやノードをインストールまたは維持 AWS することなく、 で Kubernetes を実行できます。

  • Amazon EventBridge」 は、アプリケーションをさまざまなソースのデータに接続するために支援するサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。

  • AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。

  • AWS SDK for Python (Boto3) は、Python アプリケーション、ライブラリ、またはスクリプトを と統合するのに役立つソフトウェア開発キットです AWS のサービス。

その他のツール

  • Python」は汎用のコンピュータープログラミング言語です。

  • Terraform」は、HashiCorpのinfrastructure as code (IaC) ツールで、クラウドとオンプレミスのリソースの作成と管理を支援します。

コードリポジトリ

このパターンのコードは、GitHub aws-cloudfront-automation-terraform-samples リポジトリで入手できます。

エピック

タスク説明必要なスキル

Git CLI をセットアップして設定します。

ローカルワークステーションに Git コマンドラインインターフェイス (CLI) をインストールして設定するには、Git ドキュメントの「開始方法 – Git のインストール」の手順に従います。

DevOps エンジニア

プロジェクトフォルダを作成し、ファイルを追加します。

  1. パターンの GitHub リポジトリに移動し、コードボタンを選択します。

  2. クローンダイアログで、HTTPS タブを選択します。ウェブ URL を使用してクローンを作成するで、表示されている URL をコピーします。

  3. ローカルマシンにフォルダを作成します。プロジェクト名で名前を付けます。

  4. ローカルマシンでターミナルを開き、このフォルダに移動します。

  5. このパターンの git リポジトリのクローンを作成するには、次のコマンドを実行します。 git clone https://github.com/aws-samples/aws-cloudfront-automation-terraform-samples

  6. リポジトリのクローンを作成したら、次のコマンドを使用してクローンされたディレクトリに移動します。 cd <directory name>/cloudfront-update

    このプロジェクトを任意の統合開発環境 (IDE) で開きます。

DevOps エンジニア
タスク説明必要なスキル

ソリューションをデプロイします。

ターゲットにリソースをデプロイするには AWS アカウント、次の手順を実行します。

  1. cloudfront-update フォルダに移動します。

  2. terraform.tfvars ファイルを更新しますcloudfront_distribution_id

  3. AWS プロファイル AWS リージョン の を設定するには、次のコマンドを実行します。

    export AWS_REGION={{ REGION }}

  4. Terraform を初期化するには、次のコマンドを実行します。

    terraform init

  5. Terraform を検証するには、次のコマンドを実行します。

    terraform validate

  6. Terraform 実行プランを作成するには、次のコマンドを実行します。

    terraform plan

  7. からアクションを適用するにはterraform plan、次のコマンドを実行します。

    terraform apply
DevOps エンジニア
タスク説明必要なスキル

デプロイを検証します。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudfront/v4/home で Amazon CloudFront コンソールを開きます。

  2. 左側のナビゲーションペインで、ディストリビューションを選択し、CloudFront ディストリビューションを開きます。

  3. オリジンタブで、オリジン名とオリジンマッピングに更新された ALB DNS レコードがあることを確認します。

DevOps エンジニア
タスク説明必要なスキル

インフラストラクチャをクリーンアップします。

前に作成したインフラストラクチャをクリーンアップするには、次の手順を実行します。

  1. 次のコマンドを実行します。terraform destroy

  2. destroy コマンドを確認するには、「」と入力しますyes

DevOps エンジニア

トラブルシューティング

問題ソリューション

プロバイダー認証情報の検証中にエラーが発生しました。

ローカルマシンから Terraform applyまたは destroy コマンドを実行すると、次のようなエラーが発生することがあります。

Error: configuring Terraform AWS Provider: error validating provider 
credentials: error calling sts:GetCallerIdentity: operation error STS: 
GetCallerIdentity, https response error StatusCode: 403, RequestID: 
123456a9-fbc1-40ed-b8d8-513d0133ba7f, api error InvalidClientTokenId: 
The security token included in the request is invalid.

このエラーは、ローカルマシンの設定で使用されている認証情報のセキュリティトークンの有効期限が切れていることが原因です。

エラーを解決するには、 AWS Command Line Interface (AWS CLI) ドキュメントの「設定の設定と表示」を参照してください。

関連リソース

AWS リソース

Terraformのドキュメント

追加情報

問題のあるワークフロー

CloudFront でout-of-dateALB DNS エントリを生成するワークフロー。

この図表は、次のワークフローを示しています:

  1. ユーザーがアプリケーションにアクセスすると、呼び出しは CloudFront に送信されます。

  2. CloudFront は、呼び出しをそれぞれの Application Load Balancer (ALB) にルーティングします。

  3. ALB には、アプリケーションポッドの IP アドレスであるターゲット IP アドレスが含まれます。そこから、ALB はユーザーに期待される結果を提供します。

ただし、このワークフローは問題を示しています。アプリケーションのデプロイは Helm チャートを通じて行われます。デプロイがあるたびに、または誰かが Helm を再起動すると、それぞれの進入も再作成されます。その結果、外部ロードバランサーコントローラーは ALB を再作成します。また、再作成のたびに、ALB は別の DNS 名で再作成されます。このため、CloudFront にはオリジン設定に古いエントリがあります。この古いエントリのため、ユーザーはアプリケーションにアクセスできません。この問題により、ユーザーのダウンタイムが発生します。

代替ソリューション

もう 1 つの可能な解決策は、ALB の外部 DNS を作成し、CloudFront の Amazon Route 53 プライベートホストゾーンエンドポイントを指すことです。ただし、このアプローチではアプリケーションフローに別のホップが追加されるため、アプリケーションのレイテンシーが発生する可能性があります。このパターンの Lambda 関数ソリューションは、現在のフローを中断しません。