Application Load Balancer を使用して Amazon ECS の相互 TLS でアプリケーション認証を簡素化する - AWS 規範的ガイダンス
概要前提条件と制限事項アーキテクチャツールベストプラクティスエピック関連リソース追加情報

Application Load Balancer を使用して Amazon ECS の相互 TLS でアプリケーション認証を簡素化する

Olawale Olaleye と Shamanth Devagari、Amazon Web Services

概要

このパターンは、Application Load Balancer (ALB) を使用して、Amazon Elastic Container Service (Amazon ECS) の相互 TLS でアプリケーション認証を簡素化し、セキュリティ負担を軽減します。ALB を使用すると、AWS Private Certificate Authority から X.509 クライアント証明書を認証できます。この強力な組み合わせにより、サービス間の安全な通信を実現し、アプリケーション内での複雑な認証メカニズムの必要性を軽減できます。また、このパターンは Amazon Elastic Container Registry (Amazon ECR) を使用してコンテナイメージを保存します。

このパターンの例では、パブリックギャラリーの Docker イメージを使用して、最初にサンプルワークロードを作成します。その後、新しい Docker イメージは Amazon ECR に保存されるように構築されます。ソースとして、GitHub、GitLab、Bitbucket などの Git ベースのシステムを検討するか、Amazon Simple Storage Service Amazon S3 (Amazon S3) を使用します。Docker イメージを構築するには、後続のイメージに AWS CodeBuild を使用することを検討してください。

前提条件と制限事項

前提条件

制限事項

  • Application Load Balancer の相互 TLS は、X.509v3 クライアント証明書のみをサポートします。X.509v1 クライアント証明書はサポートされていません。

  • このパターンのコードリポジトリで提供されている CloudFormation テンプレートには、スタックの一部として CodeBuild プロジェクトのプロビジョニングは含まれていません。

  • 一部の AWS のサービスは、利用できる AWS リージョンが限られる場合があります。利用可能なリージョンについては、「AWS サービス (リージョン別)」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」を参照して、サービスのリンクを選択してください。

製品バージョン

  • Docker バージョン 27.3.1 以降。

  • AWS CLI バージョン 2.14.5 以降

アーキテクチャ

次の図は、このパターンのアーキテクチャコンポーネントを示しています。

Application Load Balancer を使用して相互 TLS で認証するワークフロー

この図表は、次のワークフローを示しています:

  1. Git リポジトリを作成し、アプリケーションコードをリポジトリにコミットします。

  2. AWS Private CA にプライベートの認証局 (CA) を作成します。

  3. CodeBuild プロジェクトを作成する。CodeBuildproject は、コミットの変更によってトリガーされ、Docker イメージを作成し、ビルドされたイメージを Amazon ECR に発行します。

  4. CA から証明書チェーンと証明書本文をコピーし、証明書バンドルを Amazon S3 にアップロードします。

  5. Amazon S3 にアップロードした CA バンドルを使用してトラストストアを作成します。Application Load Balancer (ALB) の相互 TLS リスナーにトラストストアを関連付けます。

  6. プライベート CA を使用して、コンテナワークロードにクライアント証明書を発行します。また、AWS Private CA を使用して TLS 証明書を作成します。

  7. プライベート TLS 証明書を AWS Certificate Manager (ACM) にインポートし、ALB で使用します。

  8. ServiceTwo のコンテナワークロードは、発行されたクライアント証明書を使用して、ServiceOne のコンテナワークロードと通信するときに ALB で認証します。

  9. ServiceOne のコンテナワークロードは、発行されたクライアント証明書を使用して、ServiceTwo のコンテナワークロードと通信するときに ALB で認証します。

自動化とスケール

このパターンは、CloudFormation、AWS Cloud Development Kit (AWS CDK)、または SDK の API オペレーションを使用して AWS リソースをプロビジョニングすることにより完全に自動化できます。

AWS CodePipeline を使用すると、CodeBuild を使用した継続的インテグレーションと継続的デプロイ (CI/CD) パイプラインを実装して、コンテナイメージのビルドプロセスおよび Amazon ECS クラスターサービスへの新リリースのデプロイを自動化できます。

ツール

AWS のサービス

  • AWS Certificate Manager (ACM) は、AWS ウェブサイトやアプリケーションを保護するパブリックおよびプライベート SSL/TLS X.509 証明書およびキーの作成、保存、更新に役立ちます。

  • AWS CloudFormation を使用すると、AWS リソースをセットアップし、迅速かつ一貫したプロビジョニングを行い、AWS アカウントと AWS リージョン全体でライフサイクル全体にわたってリソースを管理できます。

  • AWS CodeBuild は完全マネージド型の構築サービスです。ソースコードのコンパイル、ユニットテストの実行、すぐにデプロイできるアーティファクトの生成を行います。

  • Amazon Elastic Container Registry (Amazon ECR) は、セキュリティ、スケーラビリティ、信頼性を備えたマネージドコンテナイメージレジストリサービスです。

  • Amazon Elastic Container Service (Amazon ECS) は、クラスターでコンテナの実行、停止、管理を簡単に行うことのできる、スケーラビリティに優れた高速なコンテナ管理サービスです。タスクとサービスは、AWS Fargate で管理されているサーバーレスインフラストラクチャで実行できます。または、インフラストラクチャをより詳細に制御するために、管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのクラスターでタスクとサービスを実行できます。

  • Amazon ECS Exec を使用すると、最初にホストコンテナのオペレーティングシステムとやり取りしたり、インバウンドポートを開いたり、SSH キーを管理したりすることなく、コンテナと直接やり取りできます。ECS Exec を使用して、Amazon EC2 インスタンスまたは AWS Fargate で実行されているコンテナでコマンドを実行したり、シェルを取得したりできます。

  • Elastic Load Balancing (ELB) は、受信するアプリケーションまたはネットワークのトラフィックを複数のターゲットに分散します。例えば、1 つ以上のアベイラビリティーゾーンの Amazon EC2 インスタンス、コンテナ、および IP アドレスにトラフィックを分散できます。ELB は、登録されているターゲットの状態をモニタリングし、正常なターゲットにのみトラフィックをルーティングします。ELB は、受信トラフィックの時間的な変化に応じて、ロードバランサーをスケールします。また、大半のワークロードに合わせて自動的にスケールできます。

  • AWS Fargate を使用すると、サーバーや Amazon EC2 インスタンスを管理せずにコンテナを実行できます。Fargate は Amazon ECS と Amazon Elastic Kubernetes Service (Amazon EKS) の両方と互換性があります。Amazon ECS タスクとサービスは、Fargate 起動タイプまたは Fargate キャパシティプロバイダーで実行できます。そのためには、アプリケーションをコンテナにパッケージ化し、CPU とメモリ要件を指定して、ネットワークと IAM ポリシーを定義してから、アプリケーションを起動します。各Fargate タスクは、独自の分離境界を持ち、基盤となるカーネル、CPU リソース、メモリリソース、Elastic Network Interface を別のタスクと共有しません。

  • AWS Private Certificate Authority では、オンプレミス CA の運用にかかる投資コストや保守コストなしに、ルート CA や下位 CA を含むプライベート認証機関 (CA) 階層を作成できます。

その他のツール

  • Docker は、オペレーティングシステムレベルの仮想化を使用してソフトウェアをコンテナで配信するサービスとしての Platform as a Service (PaaS) 製品のセットです。

  • GitHubGitLabBitbucket は、ソースコードの変更を追跡するために一般的に使用される Git ベースのソース管理システムの一部です。

  • NGINX オープンソースは、オープンソースのロードバランサー、コンテンツキャッシュ、ウェブサーバーです。このパターンでは、ウェブサーバーとして使用します。

  • OpenSSL は、TLS と CMS の OpenSSL 実装で使用されるサービスを提供するオープンソースライブラリです。

コードリポジトリ

このパターンのコードは、GitHub の mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリで入手できます。

ベストプラクティス

  • Amazon ECS Exec を使用して、コマンドを実行するか、Fargate で実行されているコンテナにシェルを取得します。ECS Exec を使用すると、デバッグに必要な診断情報を収集することもできます。

  • セキュリティグループとネットワークアクセスコントロールリスト (ACL) を使用して、サービス間のインバウンドトラフィックとアウトバウンドトラフィックを制御します。Fargate のタスクは仮想プライベートクラウド (VPC) 内の設定済みサブネットから IP アドレスを受け取ります。

エピック

タスク説明必要なスキル

ソースコードをダウンロードします。

このパターンのソースコードをダウンロードするには、GitHub の mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリをフォークまたはクローンします。

DevOps エンジニア

Git リポジトリを作成します。

Dockerfile と buildspec.yaml ファイルを含む Git リポジトリを作成するには、次の手順を実行します。

  1. 仮想環境にフォルダを作成します。プロジェクト名で名前を付けます。

  2. ローカルマシンでターミナルを開き、このフォルダに移動します。

  3. mTLS-with-Application-Load-Balancer-in-Amazon-ECS リポジトリをプロジェクトディレクトリにクローンするには、次のコマンドを入力します。

git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git

DevOps エンジニア
タスク説明必要なスキル

AWS Private CA にプライベート CA を作成します。

プライベート認証局 (CA) を作成するには、ターミナルで次のコマンドを実行します。サンプル変数の値は独自の値に置き換えます。

export AWS_DEFAULT_REGION="us-west-2"
export SERVICES_DOMAIN="www.example.com"

export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \
    --certificate-authority-type ROOT \
    --certificate-authority-configuration \
    "KeyAlgorithm=RSA_2048,
    SigningAlgorithm=SHA256WITHRSA,
    Subject={
        Country=US,
        State=WA,
        Locality=Seattle,
        Organization=Build on AWS,
        OrganizationalUnit=mTLS Amazon ECS and ALB Example,
        CommonName=${SERVICES_DOMAIN}}" \
        --query CertificateAuthorityArn --output text`

詳細については、AWS ドキュメントの「AWS Private CA でプライベート CA を作成する」を参照してください。

DevOps エンジニア、AWS DevOps

プライベートルート CA 証明書を作成してインストールします。

プライベートルート CA の証明書を作成してインストールするには、ターミナルで次のコマンドを実行します。

  1. 証明書署名リクエスト (CSR) を生成します。

    ROOT_CA_CSR=`aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Csr --output text`

  2. ルート証明書を発行します。

    AWS_CLI_VERSION=$(aws --version 2>&1 | cut -d/ -f2 | cut -d. -f1)
[[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CSR="$(echo ${ROOT_CA_CSR} | base64)"

ROOT_CA_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --signing-algorithm SHA256WITHRSA \
    --validity Value=10,Type=YEARS \
    --csr "${ROOT_CA_CSR}" \
    --query CertificateArn --output text`

  3. ルート証明書を取得します。

    ROOT_CA_CERT=`aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text`

# store for later use
aws acm-pca get-certificate \
    --certificate-arn ${ROOT_CA_CERT_ARN} \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query Certificate --output text > ca-cert.pem

  4. ルート CA 証明書をインポートして CA にインストールします。

    [[ ${AWS_CLI_VERSION} -gt 1 ]] && ROOT_CA_CERT="$(echo ${ROOT_CA_CERT} | base64)"

aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_ARN \
    --certificate "${ROOT_CA_CERT}"

    詳細については、AWS ドキュメント「CA 証明書をインストールする」を参照してください。

AWS DevOps、DevOps エンジニア

マネージド証明書をリクエストします。

プライベート ALB で使用する AWS Certificate Manager のプライベート証明書をリクエストするには、次のコマンドを使用します。

export TLS_CERTIFICATE_ARN=`aws acm request-certificate \
    --domain-name "*.${DOMAIN_DOMAIN}" \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --query CertificateArn --output text`
DevOps エンジニア、AWS DevOps

プライベート CA を使用してクライアント証明書を発行します。

  • 2 つのサービスの証明書署名リクエスト (CSR) を作成するには、次の AWS CLI コマンドを使用します。

openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem

openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem

このコマンドは、2 つのサービスの CSR とプライベートキーを返します。

  • サービスの証明書を発行するには、次のコマンドを実行して、作成したプライベート CA を使用します。

SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr1.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_ONE_CERT_ARN} \
     | jq -r '.Certificate' > client_cert1.cert

SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --csr fileb://client_csr2.pem \
    --signing-algorithm "SHA256WITHRSA" \
    --validity Value=5,Type="YEARS" --query CertificateArn --output text` 

echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"

aws acm-pca get-certificate \
    --certificate-authority-arn ${ROOT_CA_ARN} \
    --certificate-arn ${SERVICE_TWO_CERT_ARN} \
     | jq -r '.Certificate' > client_cert2.cert

詳細は AWS ドキュメントの「プライベートエンドエンティティの証明書を発行する」を参照してください。

DevOps エンジニア、AWS DevOps
タスク説明必要なスキル

CloudFormation テンプレートを使用して AWS のサービスをプロビジョニングします。

仮想プライベートクラウド (VPC)、Amazon ECS クラスター、Amazon ECS サービス、Application Load Balancer、Amazon Elastic Container Registry (Amazon ECR) をプロビジョニングするには、CloudFormation テンプレートを使用します。

DevOps エンジニア

変数を取得します。

2 つのサービスが実行されている Amazon ECS クラスターがあることを確認します。リソースの詳細を取得し、変数として保存するには、次のコマンドを使用します。


export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')

export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')

export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')

export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')

export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')

export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')

export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')

export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \
--output text \
--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')
DevOps エンジニア

CodeBuild プロジェクトを作成する。

CodeBuild プロジェクトを使用して Amazon ECS サービスの Docker イメージを作成するには、次の手順を実行します。

  1. AWS マネジメントコンソール にサインインして、CodeBuild コンソール (https://console.aws.amazon.com/codesuite/codebuild/) を開きます。

  2. 新しいプロジェクトを作成します。ソースに対して、作成した Git リポジトリを選択します。各種 Git リポジトリ統合の詳細については、AWS ドキュメントの「接続の操作」を参照してください。

  3. 特権モードが有効になっていることを確認します。Docker イメージをビルドするには、このモードになっていることが必要です。そうしないと、イメージは正常にビルドされません。

  4. 各サービスで共有されているカスタム buildspec.yaml ファイルを使用します。

  5. プロジェクト名と説明の値を指定します。

詳細は、AWS ドキュメントの「AWS CodeBuild でプロジェクトを構築する」を参照してください。

AWS DevOps、DevOps エンジニア

Docker イメージを構築します。

CodeBuild を使用してイメージビルドプロセスを実行できます。CodeBuild には Amazon ECR とやりとりしたり Amazon S3 を操作したりするためのアクセス権限が必要です。

プロセスの一環として、Docker イメージがビルドされ、Amazon ECR レジストリにプッシュされます。テンプレートとコードの詳細については、「追加情報」を参照してください。

(オプション) テスト目的でローカルでビルドするには、次のコマンドを使用します。

# login to ECR
aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri

# build image for service one
cd /service1
aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive
docker build -t $ECRRepositoryServiceOneUri .
docker push $ECRRepositoryServiceOneUri

# build image for service two
cd ../service2
aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive
docker build -t $ECRRepositoryServiceTwoUri .
docker push $ECRRepositoryServiceTwoUri
DevOps エンジニア
タスク説明必要なスキル

CA 証明書を Amazon S3 にアップロードします。

CA 証明書を Amazon S3 バケットにアップロードするには、次のコマンド例を使用します。

aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/

AWS DevOps、DevOps エンジニア

トラストストアを作成します。

トラストストアを作成するには、次のコマンド例を使用します。

TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \
    --ca-certificates-bundle-s3-bucket $BucketName \
    --ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`
AWS DevOps、DevOps エンジニア

クライアント証明書をアップロードします。

Docker イメージのクライアント証明書を Amazon S3 にアップロードするには、次のコマンド例を使用します。

# for service one
aws s3 cp client_cert1.cert s3://$BucketName/serviceone/
aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/

# for service two
aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/
aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/
AWS DevOps、DevOps エンジニア

リスナーを変更します。

ALB で相互 TLS を有効にするには、次のコマンドを使用して HTTPS リスナーを変更します。

aws elbv2 modify-listener \
    --listener-arn $Service1ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8080 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

aws elbv2 modify-listener \
    --listener-arn $Service2ListenerArn \
    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \
    --ssl-policy ELBSecurityPolicy-2016-08 \
    --protocol HTTPS \
    --port 8090 \
    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false

詳細については、AWS ドキュメントの「Application Load Balancer で相互 TLS を設定する」を参照してください。

AWS DevOps、DevOps エンジニア
タスク説明必要なスキル

Amazon ECS タスク定義を更新します。

Amazon ECS タスク定義を更新するには、新しいリビジョンで image パラメータを変更します。

それぞれのサービスの値を取得するには、前のステップで構築した新しい Docker イメージ URI (echo $ECRRepositoryServiceOneUri または echo $ECRRepositoryServiceTwoUri) でタスク定義を更新します。


    "containerDefinitions": [
        {
            "name": "nginx",
            "image": "public.ecr.aws/nginx/nginx:latest",   # <----- change to new Uri
            "cpu": 0,

詳細については、AWS ドキュメントの「コンソールを使用した Amazon ECS タスク定義の更新」を参照してください。

AWS DevOps、DevOps エンジニア

Amazon ECS サービスを更新します。

最新のタスク定義でサービスを更新します。このタスク定義は、新しく構築された Docker イメージのブループリントであり、相互 TLS 認証に必要なクライアント証明書が含まれています。

サービスを更新するには、次の手順を使用します。

  1. Amazon ECS コンソール (https://console.aws.amazon.com/ecs/v2) を開きます。

  2. [クラスター] ページで、クラスターを選択します。

  3. クラスターの詳細ページの [サービス] セクションで、サービスの横にあるチェックボックスを選択し、[更新] を選択します。

  4. サービスで新しいデプロイを開始するには、[新しいデプロイの強制] を選択します。

  5. [タスク定義] で、タスク定義ファミリーとリビジョンを選択します。

  6. [更新] を選択します。

他のサービスについても、この手順を繰り返します。

AWS 管理者、AWS DevOps、DevOps エンジニア
タスク説明必要なスキル

アプリケーション URL をコピーします。

Amazon ECS コンソールを使用してタスクを表示します。タスクステータスが実行中に更新されたら、タスクを選択します。[タスク] セクションで、タスク ID をコピーします。

AWS 管理者、AWS DevOps

アプリケーションをテストします。

アプリケーションをテストするには、ECS Exec を使用してタスクにアクセスします。

  1. サービス 1 の場合は、次のコマンドを使用します。

    container="nginx"

ECS_EXEC_TASK_ARN="<TASK ARN>"
aws ecs execute-command --cluster $ClusterName \
    --task $ECS_EXEC_TASK_ARN \
    --container $container \
    --interactive \
    --command "/bin/bash"

  2. サービス 1 タスクのコンテナで、次のコマンドを使用して、内部ロードバランサー url と、サービス 2 を指すリスナーポートを入力します。次に、クライアント証明書へのパスを指定してアプリケーションをテストします。

    curl -kvs https://<internal-alb-url>:8090 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt

  3. サービス 2 タスクのコンテナで、次のコマンドを使用して、内部ロードバランサー url と、サービス 1 を指すリスナーポートを入力します。次に、クライアント証明書へのパスを指定してアプリケーションをテストします。

    curl -kvs https://<internal-alb-url>:8080 --key /usr/local/share/ca-certificates/client.key --cert /usr/local/share/ca-certificates/client.crt
    注記

    curl コマンドの -k フラグ (-kvs の一部として) は、SSL 証明書の検証を無効にします。ドメイン名と一致する SSL 証明書を使用する場合、このフラグを削除して、適切な証明書の検証を有効にできます。

AWS 管理者、AWS DevOps

関連リソース

Amazon ECS ドキュメント

その他の AWS リソース

追加情報

Docker ファイルの編集

以下のコードは、サービス 1 の Dockerfile で編集するコマンドを示しています。

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

以下のコードは、サービス 2 の Dockerfile で編集するコマンドを示しています。

FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/

CodeBuild を使用して Docker イメージを構築する場合、buildspec ファイルは CodeBuild ビルド番号を使用してイメージバージョンをタグ値として一意に識別します。次の buildspec カスタムコードに示すように、要件に合わせて buildspec ファイルを変更できます。

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
        # change the S3 path depending on the service
      - aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive 
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $ECR_REPOSITORY_URI:latest .
      - docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $ECR_REPOSITORY_URI:latest
      - docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      # for ECS deployment reference
      - printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json   

artifacts:
  files:
    - imagedefinitions.json