Application Load Balancer を使用して Amazon ECS の相互 TLS でアプリケーション認証を簡素化する - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Load Balancer を使用して Amazon ECS の相互 TLS でアプリケーション認証を簡素化する

作成者: Olawale Olaleye (AWS) と Shamanth Devagari (AWS)

概要

このパターンは、Application Application Load Balancer (ALB) を使用して、Amazon Elastic Container Service (Amazon ECS) の相互 TLS でアプリケーション認証を簡素化し、セキュリティの負担を軽減するのに役立ちます。ALB では、X.509 クライアント証明書を認証できます AWS Private Certificate Authority。この強力な組み合わせにより、 サービス間の安全な通信を実現し、アプリケーション内の複雑な認証メカニズムの必要性を軽減できます。さらに、このパターンは Amazon Elastic Container Registry (Amazon ECR) を使用してコンテナイメージを保存します。

このパターンの例では、パブリックギャラリーの Docker イメージを使用して、最初にサンプルワークロードを作成します。その後、新しい Docker イメージは Amazon ECR に保存されるように構築されます。ソースとして、GitHubGitLab ベースのシステムを検討するか、Amazon Simple Storage Service Amazon S3 (Amazon S3) を使用します。Docker イメージを構築するには、後続のイメージ AWS CodeBuild に を使用することを検討してください。

前提条件と制限

前提条件

制約事項

  • Application Load Balancer の相互 TLS は、X.509v3 クライアント証明書のみをサポートします。X.509v1 クライアント証明書はサポートされていません。

  • このパターンのコードリポジトリで提供されている CloudFormation テンプレートには、スタックの一部として CodeBuild プロジェクトをプロビジョニングすることは含まれません。

  • 一部の AWS のサービス は では使用できません AWS リージョン。リージョンの可用性については、AWS 「リージョン別のサービス」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」を参照して、サービスのリンクを選択します。

製品バージョン

  • Docker バージョン 27.3.1 以降

  • AWS CLI バージョン 2.14.5 以降

アーキテクチャ

次の図は、このパターンのアーキテクチャコンポーネントを示しています。

Application Load Balancer を使用して相互 TLS で認証するワークフロー。

この図表は、次のワークフローを示しています:

  1. Git リポジトリを作成し、アプリケーションコードをリポジトリにコミットします。

  2. でプライベート認証機関 (CA) を作成します AWS Private CA。

  3. CodeBuild プロジェクトを作成する。CodeBuildprojectは、コミットの変更によってトリガーされ、Docker イメージを作成し、ビルドされたイメージを Amazon ECR に発行します。

  4. CA から証明書チェーンと証明書本文をコピーし、証明書バンドルを Amazon S3 にアップロードします。

  5. Amazon S3 にアップロードした CA バンドルを使用してトラストストアを作成します。Application Load Balancer (ALB) の相互 TLS リスナーにトラストストアを関連付けます。

  6. プライベート CA を使用して、コンテナワークロードのクライアント証明書を発行します。また、 を使用してプライベート TLS 証明書を作成します AWS Private CA。

  7. プライベート TLS 証明書を AWS Certificate Manager (ACM) にインポートし、ALB で使用します。

  8. のコンテナワークロードは、発行されたクライアント証明書ServiceTwoを使用して、 のコンテナワークロードと通信するときに ALB と認証しますServiceOne

  9. のコンテナワークロードは、発行されたクライアント証明書ServiceOneを使用して、 のコンテナワークロードと通信するときに ALB と認証しますServiceTwo

自動化とスケール

このパターンは、CloudFormation、 AWS Cloud Development Kit (AWS CDK) または SDK の API オペレーションを使用して AWS リソースをプロビジョニングすることで完全に自動化できます。

AWS CodePipeline を使用して、CodeBuild を使用して継続的インテグレーションと継続的デプロイ (CI/CD) パイプラインを実装し、コンテナイメージのビルドプロセスを自動化し、Amazon ECS クラスターサービスに新しいリリースをデプロイできます。

ツール

AWS のサービス

  • AWS Certificate Manager (ACM) は、 AWS ウェブサイトとアプリケーションを保護するパブリックおよびプライベート SSL/TLS X.509 証明書とキーの作成、保存、更新に役立ちます。

  • AWS CloudFormation は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウント および 全体のライフサイクルを通じてリソースを管理するのに役立ちます AWS リージョン。

  • AWS CodeBuild は、ソースコードのコンパイル、ユニットテストの実行、デプロイ可能なアーティファクトの生成に役立つフルマネージド型のビルドサービスです。

  • Amazon Elastic Container Registry (Amazon ECR) は、セキュリティ、スケーラビリティ、信頼性を備えたマネージドコンテナイメージレジストリサービスです。

  • Amazon Elastic Container Service (Amazon ECS) は、クラスター上のコンテナを実行、停止、管理するための非常にスケーラブルで高速なコンテナ管理サービスです。タスクとサービスは、 が管理するサーバーレスインフラストラクチャで実行できます AWS Fargate。または、インフラストラクチャをより詳細に制御するために、管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのクラスターでタスクとサービスを実行できます。

  • Amazon ECS Exec を使用すると、最初にホストコンテナオペレーティングシステムとやり取りしたり、インバウンドポートを開いたり、SSH キーを管理したりすることなく、コンテナと直接やり取りできます。ECS Exec を使用して、Amazon EC2 インスタンスまたは で実行されているコンテナでコマンドを実行したり、シェルを取得したりできます AWS Fargate。

  • Elastic Load Balancing (ELB) は、受信するアプリケーションまたはネットワークのトラフィックを複数のターゲットに分散します。たとえば、1 つ以上のアベイラビリティーゾーンの Amazon EC2 インスタンス、コンテナ、IP アドレスにトラフィックを分散できます。ELB は、登録されたターゲットの状態を監視し、正常なターゲットにのみトラフィックをルーティングします。ELB は、受信トラフィックが時間の経過とともに変化するにつれてロードバランサーをスケーリングします。ほとんどのワークロードに自動的にスケーリングできます。

  • AWS Fargate を使用すると、サーバーや Amazon EC2 インスタンスを管理することなくコンテナを実行できます。Fargate は、Amazon ECS と Amazon Elastic Kubernetes Service (Amazon EKS) の両方と互換性があります。Amazon ECS タスクとサービスは、Fargate 起動タイプまたは Fargate キャパシティープロバイダーで実行できます。そのためには、アプリケーションをコンテナにパッケージ化し、CPU とメモリの要件を指定し、ネットワークと IAM ポリシーを定義して、アプリケーションを起動します。各Fargate タスクは、独自の分離境界を持ち、基盤となるカーネル、CPU リソース、メモリリソース、Elastic Network Interface を別のタスクと共有しません。

  • AWS Private Certificate Authority では、オンプレミス CA の運用にかかる投資コストや保守コストなしに、ルート CA や下位 CA を含むプライベート認証機関 (CA) 階層を作成できます。

その他のツール

  • Docker は、オペレーティングシステムレベルの仮想化を使用してソフトウェアをコンテナで配信するサービスとしてのPlatform as a Service (PaaS) 製品のセットです。

  • GitHubGitLabBitbucket は、ソースコードの変更を追跡するために一般的に使用される Git ベースのソース管理システムの一部です。

  • NGINX オープンソースは、オープンソースのロードバランサー、コンテンツキャッシュ、ウェブサーバーです。このパターンでは、ウェブサーバーとして使用します。

  • OpenSSL は、TLS と CMS の OpenSSL 実装で使用されるサービスを提供するオープンソースライブラリです。

コードリポジトリ

このパターンのコードは、GitHub mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリで入手できます。

ベストプラクティス

  • Amazon ECS Exec を使用してコマンドを実行するか、Fargate で実行されているコンテナにシェルを取得します。ECS Exec を使用して、デバッグの診断情報を収集することもできます。

  • セキュリティグループとネットワークアクセスコントロールリスト (ACLs) を使用して、サービス間のインバウンドトラフィックとアウトバウンドトラフィックを制御します。Fargate タスクは、Virtual Private Cloud (VPC) の設定済みサブネットから IP アドレスを受け取ります。

エピック

タスク説明必要なスキル

ソースコードをダウンロードします。

このパターンのソースコードをダウンロードするには、GitHub mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリをフォークまたはクローンします。

DevOps エンジニア

Git リポジトリを作成します。

Dockerfile と buildspec.yaml ファイルを含む Git リポジトリを作成するには、次の手順を実行します。

  1. 仮想環境にフォルダを作成します。プロジェクト名で名前を付けます。

  2. ローカルマシンでターミナルを開き、このフォルダに移動します。

  3. mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリをプロジェクトディレクトリにクローンするには、次のコマンドを入力します。

git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git

DevOps エンジニア
タスク説明必要なスキル

でプライベート CA を作成します AWS Private CA。

プライベート認証機関 (CA) を作成するには、ターミナルで次のコマンドを実行します。サンプル変数の値を独自の値に置き換えます。

export AWS_DEFAULT_REGION="us-west-2"
export SERVICES_DOMAIN="www.example.com"

export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \
    --certificate-authority-type ROOT \
    --certificate-authority-configuration \
    "KeyAlgorithm=RSA_2048,
    SigningAlgorithm=SHA256WITHRSA,
    Subject={
        Country=US,
        State=WA,
        Locality=Seattle,
        Organization=Build on AWS,
        OrganizationalUnit=mTLS Amazon ECS and ALB Example,
        CommonName=${SERVICES_DOMAIN}}" \
        --query CertificateAuthorityArn --output text`

詳細については、 AWS ドキュメントの「 でプライベート CA を作成する AWS Private CA」を参照してください。

DevOps エンジニア、AWS DevOps

プライベート CA 証明書を作成してインストールします。

プライベートルート CA の証明書を作成してインストールするには、ターミナルで次のコマンドを実行します。

  1. 証明書署名リクエスト (CSR) を生成します。

    ROOT_CA_CSR=`aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Csr --output text`

  2. ルート証明書を発行します。

    AWS_CLI_VERSION=$(aws --version 2>&1 | cut -d/ -f2 | cut -d. -f1)
[[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CSR="$(echo ${ROOT_CA_CSR} | base64)"

ROOT_CA_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --signing-algorithm SHA256WITHRSA \
    --validity Value=10,Type=YEARS \
    --csr "${ROOT_CA_CSR}" \
    --query CertificateArn --output text`

  3. ルート証明書を取得します。

    ROOT_CA_CERT=`aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text`

# store for later use
aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text > ca-cert.pem

  4. ルート CA 証明書をインポートして CA にインストールします。

    [[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CERT="$(echo ${ROOT_CA_CERT} | base64)"

aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_ARN \
    --certificate "${ROOT_CA_CERT}"

    詳細については、 AWS ドキュメントの「CA 証明書のインストール」を参照してください。

AWS DevOps、DevOps エンジニア

マネージド証明書をリクエストします。

でプライベート ALB AWS Certificate Manager で使用するプライベート証明書をリクエストするには、次のコマンドを使用します。

export TLS_CERTIFICATE_ARN=`aws acm request-certificate \
    --domain-name "*.${DOMAIN_DOMAIN}" \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query CertificateArn --output text`
DevOps エンジニア、AWS DevOps

プライベート CA を使用してクライアント証明書を発行します。

  • 2 つのサービスの証明書署名リクエスト (CSR) を作成するには、次の AWS CLI コマンドを使用します。

openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem

openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem

このコマンドは、2 つのサービスの CSR とプライベートキーを返します。

  • サービスの証明書を発行するには、次のコマンドを実行して、作成したプライベート CA を使用します。

SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr1.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_ONE_CERT_ARN} \
     | jq -r '.Certificate' > client_cert1.cert

SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr2.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_TWO_CERT_ARN} \
     | jq -r '.Certificate' > client_cert2.cert

詳細については、 AWS ドキュメントの「プライベートエンドエンティティ証明書を発行する」を参照してください。

DevOps エンジニア、AWS DevOps
タスク説明必要なスキル

CloudFormation テンプレート AWS のサービス を使用してプロビジョニングします。

Virtual Private Cloud (VPC)、Amazon ECS クラスター、Amazon ECS サービス、Application Load Balancer、Amazon Elastic Container Registry (Amazon ECR) をプロビジョニングするには、CloudFormation テンプレートを使用します。

DevOps エンジニア

変数を取得します。

2 つのサービスが実行されている Amazon ECS クラスターがあることを確認します。リソースの詳細を取得し、変数として保存するには、次のコマンドを使用します。


export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')

export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')

export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')

export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')

export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')

export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')

export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')

export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')
DevOps エンジニア

CodeBuild プロジェクトを作成する。

CodeBuild プロジェクトを使用して Amazon ECS サービスの Docker イメージを作成するには、次の手順を実行します。

  1. にサインインし AWS Management Console、https://console.aws.amazon.com/codesuite/codebuild/ で CodeBuild コンソールを開きます。

  2. 新しいプロジェクトを作成します。Source で、作成した Git リポジトリを選択します。さまざまな種類の Git リポジトリ統合の詳細については、 AWS ドキュメントの「接続の使用」を参照してください。

  3. 特権モードが有効になっていることを確認します。Docker イメージを構築するには、このモードが必要です。そうしないと、イメージは正常にビルドされません。

  4. 各サービスで共有されているカスタムbuildspec.yamlファイルを使用します。

  5. プロジェクト名と説明の値を指定します。

詳細については、 AWS ドキュメントの「 でビルドプロジェクトを作成する AWS CodeBuild」を参照してください。

AWS DevOps、DevOps エンジニア

Docker イメージを構築します。

CodeBuild を使用してイメージビルドプロセスを実行できます。CodeBuild には、Amazon ECR とやり取りし、Amazon S3 を操作するためのアクセス許可が必要です。

プロセスの一環として、Docker イメージがビルドされ、Amazon ECR レジストリにプッシュされます。テンプレートとコードの詳細については、「追加情報」を参照してください。

(オプション) テスト目的でローカルでビルドするには、次のコマンドを使用します。

# login to ECR
aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri

# build image for service one
cd /service1
aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive
docker build -t $ECRRepositoryServiceOneUri .
docker push $ECRRepositoryServiceOneUri

# build image for service two
cd ../service2
aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive
docker build -t $ECRRepositoryServiceTwoUri .
docker push $ECRRepositoryServiceTwoUri
DevOps エンジニア
タスク説明必要なスキル

CA 証明書を Amazon S3 にアップロードします。

CA 証明書を Amazon S3 バケットにアップロードするには、次のコマンド例を使用します。

aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/

AWS DevOps、DevOps エンジニア

トラストストアを作成します。

トラストストアを作成するには、次のコマンド例を使用します。

TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \
    --ca-certificates-bundle-s3-bucket $BucketName \
    --ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`
AWS DevOps、DevOps エンジニア

クライアント証明書をアップロードします。

Docker イメージのクライアント証明書を Amazon S3 にアップロードするには、次のコマンド例を使用します。

# for service one
aws s3 cp client_cert1.cert s3://$BucketName/serviceone/
aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/

# for service two
aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/
aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/
AWS DevOps、DevOps エンジニア

リスナーを変更します。

ALB で相互 TLS を有効にするには、次のコマンドを使用して HTTPS リスナーを変更します。

aws elbv2 modify-listener \
    --listener-arn $Service1ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8080 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

aws elbv2 modify-listener \
    --listener-arn $Service2ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8090 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

詳細については、 AWS ドキュメントのApplication Load Balancer での相互 TLS の設定」を参照してください。

AWS DevOps、DevOps エンジニア
タスク説明必要なスキル

Amazon ECS タスク定義を更新します。

Amazon ECS タスク定義を更新するには、新しいリビジョンで imageパラメータを変更します。

それぞれのサービスの値を取得するには、前のステップで構築した新しい Docker イメージ Uri でタスク定義を更新します。echo $ECRRepositoryServiceOneUriまたは echo $ECRRepositoryServiceTwoUri


    "containerDefinitions": [
        {
            "name": "nginx",
            "image": "public.ecr.aws/nginx/nginx:latest",   # <----- change to new Uri
            "cpu": 0,

詳細については、 AWS ドキュメントの「コンソールを使用した Amazon ECS タスク定義の更新」を参照してください。

AWS DevOps、DevOps エンジニア

Amazon ECS サービスを更新します。

最新のタスク定義でサービスを更新します。このタスク定義は、新しく構築された Docker イメージの設計図であり、相互 TLS 認証に必要なクライアント証明書が含まれています。

サービスを更新するには、次の手順を使用します。

  1. https://console.aws.amazon.com/ecs/v2 で Amazon ECS コンソールを開きます。

  2. [Clusters] (クラスター) ページで、クラスターを選択します。

  3. クラスターの詳細ページの「サービス」セクションで、サービスの横にあるチェックボックスを選択し、「更新」を選択します。

  4. サービスで新しいデプロイを開始するには、[Force new deployment] (新しいデプロイの強制) を選択します。

  5. タスク定義で、タスク定義ファミリーと最新のリビジョンを選択します。

  6. [更新] を選択します。

他のサービスのステップを繰り返します。

AWS 管理者、AWS DevOps、DevOps エンジニア
タスク説明必要なスキル

アプリケーション URL をコピーします。

Amazon ECS コンソールを使用してタスクを表示します。タスクステータスが実行中に更新されたら、タスクを選択します。タスクセクションで、タスク ID をコピーします。

AWS 管理者、AWS DevOps

アプリケーションをテストする

アプリケーションをテストするには、ECS Exec を使用してタスクにアクセスします。

  1. サービス 1 の場合は、次のコマンドを使用します。

    container="nginx"

ECS_EXEC_TASK_ARN="<TASK ARN>"
aws ecs execute-command --cluster $ClusterName \
    --task $ECS_EXEC_TASK_ARN \
    --container $container \
    --interactive \
    --command "/bin/bash"

  2. サービス 1 タスクのコンテナで、次のコマンドを使用して、内部ロードバランサーurl と、サービス 2 を指すリスナーポートを入力します。次に、クライアント証明書へのパスを指定してアプリケーションをテストします。

    curl -kvs https://<internal-alb-url>:8090 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt

  3. サービス 2 タスクのコンテナで、次のコマンドを使用して、内部ロードバランサーurlと、サービス 1 を指すリスナーポートを入力します。次に、クライアント証明書へのパスを指定してアプリケーションをテストします。

    curl -kvs https://<internal-alb-url>:8080 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt
    注記

    curl コマンドの -kフラグ ( の一部として-kvs) は、SSL 証明書の検証を無効にします。ドメイン名に一致する SSL 証明書を使用する場合、このフラグを削除して、適切な証明書の検証を有効にできます。

AWS 管理者、AWS DevOps

関連リソース

Amazon ECS ドキュメント

その他の AWS リソース

追加情報

Dockerfile の編集

次のコードは、サービス 1 の Dockerfile で編集したコマンドを示しています。

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

次のコードは、サービス 2 の Dockerfile で編集したコマンドを示しています。

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

CodeBuild を使用して Docker イメージを構築する場合、buildspecファイルは CodeBuild ビルド番号を使用してイメージバージョンをタグ値として一意に識別します。次のbuildspec カスタムコードに示すように、要件に合わせてbuildspecファイルを変更できます。

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
        # change the S3 path depending on the service
      - aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive 
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $ECR_REPOSITORY_URI:latest .
      - docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $ECR_REPOSITORY_URI:latest
      - docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      # for ECS deployment reference
      - printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json   

artifacts:
  files:
    - imagedefinitions.json