Step Functions와 Lambda 프록시 함수를 사용하여 여러 AWS 계정에서 CodeBuild 프로젝트 시작 - 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구모범 사례에픽문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Step Functions와 Lambda 프록시 함수를 사용하여 여러 AWS 계정에서 CodeBuild 프로젝트 시작

Richard Milner-Watts 및 Amit Anjarlekar, Amazon Web Services

요약

이 패턴은 AWS Step Functions와 AWS Lambda 프록시 함수를 사용하여 여러 AWS 계정에서 AWS CodeBuild 프로젝트를 비동기적으로 시작하는 방법을 보여줍니다. 패턴의 샘플 Step Functions 상태 머신을 사용하여 CodeBuild 프로젝트의 성공 여부를 테스트할 수 있습니다.

CodeBuild는 완전관리형 런타임 환경에서 AWS Command Line Interface(AWS CLI)를 사용하여 운영 작업을 시작할 수 있도록 지원합니다. 환경 변수를 재정의하여 런타임 시 CodeBuild 프로젝트의 동작을 변경할 수 있습니다. 또한 CodeBuild를 사용하여 워크플로우를 관리할 수 있습니다. 자세한 내용은 AWS 워크숍 웹사이트의 서비스 카탈로그 도구 및 AWS 데이터베이스 블로그의 AWS CodeBuild와 Amazon EventBridge를 사용하는 Amazon RDS for PostgreSQL의 작업 일정 잡기를 참조하세요.

사전 조건 및 제한 사항

사전 조건 

  • 활성 AWS 계정 두 개: Step Functions를 사용하여 Lambda 프록시 함수를 호출하기 위한 소스 계정과 원격 CodeBuild 샘플 프로젝트를 빌드하기 위한 대상 계정

제한 사항

  • 이 패턴은 계정 간에 아티팩트를 복사하는 데 사용할 수 없습니다.

아키텍처

다음 다이어그램은 이 패턴이 구축하는 아키텍처를 보여줍니다.

여러 AWS 계정에서 CodeBuild 프로젝트를 시작하는 아키텍처 다이어그램

이 다이어그램은 다음 워크플로를 보여줍니다.

  1. Step Functions 상태 시스템은 제공된 입력 맵을 구문 분석하고 정의한 각 계정, 리전 및 프로젝트에 대해 Lambda 프록시 함수(codebuild-proxy-lambda)를 간접적으로 호출합니다.

  2. 이 Lambda 프록시 함수는 AWS Security Token Service(AWS STS)를 사용하여 대상 계정의 IAM 정책(codebuild-proxy-policy)과 연결된 IAM 프록시 역할(codebuild-proxy-role)을 맡습니다.

  3. 맡은 역할을 사용하여 이 Lambda 함수는 CodeBuild 프로젝트를 시작하고 CodeBuild 작업 ID를 반환합니다. Step Functions 상태 머신은 성공 또는 실패 상태를 수신할 때까지 CodeBuild 작업을 반복하고 폴링합니다.

상태 시스템 로직은 다음 이미지에 나와 있습니다.

Step Functions 상태 시스템의 워크플로

기술 스택  

  • AWS CloudFormation

  • CodeBuild

  • IAM

  • Lambda

  • 단계 함수

  • X-Ray

도구

  • AWS CloudFormation을 사용하면 AWS 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, 전체 AWS 계정 및 리전에서 수명 주기 전반에 걸쳐 관리할 수 있습니다.

  • AWS CloudFormation Designer는 CloudFormation 템플릿을 보고 편집하는 데 도움이 되는 통합 JSON 및 YAML 편집기를 제공합니다.

  • AWS CodeBuild는 소스 코드를 컴파일하고 유닛 테스트를 실행하며 배포할 준비가 완료된 아티팩트를 생성하는 완전 관리형 빌드 서비스입니다.

  • AWS Identity and Access Management(IAM)는 사용자에 대한 인증 및 권한 부여를 제어함으로써 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있습니다.

  • AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.

  • AWS Step Functions는 AWS Lambda 함수와 기타 AWS 서비스를 결합할 수 있는 서버리스 오케스트레이션 서비스로, 비즈니스 크리티컬 애플리케이션을 구축합니다.

  • AWS X-Ray는 애플리케이션이 처리하는 요청에 대한 데이터를 수집하는 웹 서비스이며 해당 데이터를 보고, 필터링하고, 통찰을 얻어 문제와 최적화 기회를 식별할 수 있는 도구를 제공합니다.

코드

이 패턴의 샘플 코드는 GitHub 교차 계정 CodeBuild 프록시 리포지토리에서 사용할 수 있습니다. 이 패턴은 AWS Lambda Powertools for Python 라이브러리를 사용하여 로깅 및 추적 기능을 제공합니다. 이 라이브러리 및 해당 유틸리티에 대한 자세한 내용은 Powertools for AWS Lambda (Python)를 참조하세요.

모범 사례

  1. Step Function 상태 시스템의 대기 시간 값을 조정하여 작업 상태에 대한 폴링 요청을 최소화합니다. CodeBuild 프로젝트의 예상 실행 시간을 사용합니다.

  2. Step Functions에서 맵의 MaxConcurrency 속성을 조정하여 병렬로 실행할 수 있는 CodeBuild 프로젝트 수를 제어합니다.

  3. 필요한 경우 샘플 코드에서 프로덕션 준비 상태를 검토합니다. 솔루션에서 로깅할 수 있는 데이터와 기본 Amazon CloudWatch 암호화가 충분한지 여부를 고려합니다.

에픽

작업설명필요한 기술

AWS 계정 ID를 기록합니다.

여러 계정에 대한 액세스를 설정하려면 AWS 계정 ID가 필요합니다.

소스 및 대상 계정의 AWS 계정 ID를 기록해 둡니다. 자세한 내용은 IAM 설명서의 AWS 계정 ID 찾기를 참조하세요.

AWS DevOps

AWS CloudFormation 템플릿을 다운로드합니다.

  1. 이 패턴을 위해서 GitHub 리포지토리에서 sample_target_codebuild_template.yaml AWS CloudFormation 템플릿을 다운로드합니다.

  2. 이 패턴을 위해서 GitHub 리포지토리에서 codebuild_lambda_proxy_template.yaml AWS CloudFormation 템플릿을 다운로드합니다.

참고

AWS CloudFormation 템플릿에서 는 소스 계정의 AWS 계정 ID이고, 는 대상 계정의 AWS 계정 ID입니다.

DevOps

AWS CloudFormation 스택을 생성하고 배포합니다.

  1. 소스 계정의 AWS Management Console에 로그인하고 AWS CloudFormation 콘솔을 연 다음 스택을 선택합니다.

  2. 스택 생성을 선택한 다음 새 리소스 사용(표준)을 선택합니다.

  3. 템플릿 소스템플릿 파일 업로드를 선택합니다.

  4. 템플릿 파일 업로드에서 파일을 선택한 다음 다운로드한 codebuild_lambda_proxy_template.yaml 파일을 선택합니다. 다음을 선택합니다.

  5. 이름에 스택의 이름을 입력합니다(예: codebuild-lambda-proxy).

  6. 참고

    crossAccountTargetRoleArn 파라미터를 <TargetAccountId>로 바꿉니다(예: <arn:aws:iam::123456789012:role/proxy-lambda-codebuild-role>). : targetCodeBuildProject 파라미터의 기본값은 업데이트하지 않아도 됩니다.

  7. 다음을 선택하고 기본 스택 생성 옵션을 적용한 다음 다음을 선택합니다.

  8. AWS CloudFormation에서 사용자 정의 이름으로 IAM 리소스를 생성할 수 있음을 승인합니다를 선택하고 스택 생성을 선택합니다.

참고

대상 계정에 리소스를 생성하기 전에 프록시 Lambda 함수를 위한 AWS CloudFormation 스택을 생성해야 합니다. 대상 계정에서 신뢰 정책을 생성하면 IAM 역할이 역할 이름에서 내부 식별자로 변환됩니다. 따라서 IAM 역할이 이미 존재해야 합니다.

AWS DevOps

프록시 함수 및 상태 머신의 생성을 확인합니다.

  1. AWS CloudFormation 스택이 CREATE_COMPLETE 상태에 도달할 때까지 기다립니다. 이때 걸리는 시간은 1분 미만입니다.

  2. AWS Lambda 콘솔을 열고 함수를 선택한 후 lambda-proxy-ProxyLambda-<GUID> 함수를 찾습니다.

  3. AWS Step Functions 콘솔을 열고 상태 머신을 선택한 다음 sample-crossaccount-codebuild-state-machine 상태 머신을 찾습니다.

AWS DevOps
작업설명필요한 기술

AWS CloudFormation 스택을 생성하고 배포합니다.

  1. 대상 계정의 AWS Management Console에 로그인하고 AWS CloudFormation 콘솔을 연 다음 스택을 선택합니다.

  2. 스택 생성을 선택한 다음 새 리소스 사용(표준)을 선택합니다.

  3. 템플릿 소스템플릿 파일 업로드를 선택합니다.

  4. 템플릿 파일 업로드에서 파일 선택을 선택한 다음 sample_target_codebuild_template.yaml 파일을 선택합니다. 다음을 선택합니다.

  5. 스택 이름에 스택의 이름을 입력합니다(예: sample-codebuild-stack).

  6. crossAccountSourceRoleArn 파라미터를 <SourceAccountId>로 바꿉니다(예: <arn:aws:iam::123456789012:role/codebuild-proxy-lambda-role>).

  7. 다음을 선택하고 기본 스택 생성 옵션을 적용한 후 다음을 선택합니다.

  8. AWS CloudFormation에서 사용자 정의 이름으로 IAM 리소스를 생성할 수 있음을 승인합니다를 선택하고 스택 생성을 선택합니다.

AWS DevOps

샘플 CodeBuild 프로젝트가 생성되었는지 확인합니다.

  1. AWS CloudFormation 스택이 CREATE_COMPLETE 상태에 도달할 때까지 기다립니다. 이때 걸리는 시간은 1분 미만입니다.

  2. AWS CodeBuild 콘솔을 열고 sample-codebuild-project 프로젝트를 찾습니다.

AWS DevOps
작업설명필요한 기술

상태 머신을 실행합니다.

  1. 소스 계정의 AWS Management Console에 로그인하고, AWS Step Functions 콘솔을 열고, 상태 머신을 선택합니다.

  2. sample-crossaccount-codebuild-state-machine 상태 머신을 선택한 다음 실행 시작을 선택합니다.

  3. 입력 편집기에서 다음 JSON을 입력하고를 CodeBuild 프로젝트가 포함된 계정의 AWS 계정 ID<TargetAccountID>로 바꿉니다.

    {
  "crossAccountTargetRoleArns": [
    {
      "arn": "arn:aws:iam::<TargetAccountID>:role/proxy-lambda-codebuild-role",
      "region": "eu-west-1",
      "codeBuildProject": "sample-codebuild-project",
      "SampleValue1": "Value1",
      "SampleValue2": "Value2"
    }
  ]
}
    참고

    키-값 페어는 소스 계정의 함수에서 대상 계정의 CodeBuild 프로젝트로 환경 변수로 전달됩니다.

  4. 실행 시작을 선택합니다.

  5. 상태 시스템 페이지의 세부 정보 탭에서 실행 상태성공으로 설정되어 있는지 확인합니다. 이렇게 하면 상태 머신이 실행 중임을 확인할 수 있습니다. 참고: 상태 머신이 성공 상태에 도달하는 데 약 30초가 걸릴 수 있습니다.

  6. 상태 머신에서 단계의 출력 및 입력을 보려면 실행 이벤트 기록 섹션에서 해당 단계를 확장합니다. 예를 들어 Lambda-CodeBuild 프록시-시작 단계를 확장합니다. 출력에는 재정의된 환경 변수, 원본 페이로드, CodeBuild 작업 ID에 대한 세부 정보가 포함됩니다.

AWS DevOps

환경 변수를 확인합니다.

  1. 대상 계정의 AWS Management Console에 로그인합니다.

  2. AWS CodeBuild 콘솔을 열고 빌드를 확장한 다음 빌드 프로젝트를 선택합니다.

  3. sample-codebuild-project 프로젝트를 선택한 다음 세부 정보 보기를 선택합니다.

  4. 빌드 기록 탭에서 프로젝트의 최신 빌드를 선택한 다음 로그 보기를 선택합니다.

  5. 로그 출력에서 STDOUT에 인쇄된 환경 변수가 Step Functions 샘플 상태 머신의 환경 변수와 일치하는지 확인합니다.

DevOps

문제 해결

문제Solution

Step Functions 실행 시간이 예상보다 오래 걸립니다.

Step Function 상태 시스템에서 맵의 MaxConcurrency 속성을 조정하여 병렬로 실행할 수 있는 CodeBuild 프로젝트 수를 제어합니다.

CodeBuild 작업 실행 시간이 예상보다 오래 걸립니다.

  1. Step Functions 상태 시스템의 대기 시간 값을 조정하여 작업 상태에 대한 폴링 요청을 최소화합니다. CodeBuild 프로젝트의 예상 실행 시간을 사용합니다.

  2. CodeBuild가 사용할 적절한 도구인지 고려합니다. 예를 들어 CodeBuild 작업을 초기화하는 데 필요한 시간은 AWS Lambda보다 훨씬 길 수 있습니다. 높은 처리량과 빠른 완료 시간이 필요한 경우 비즈니스 로직을 AWS Lambda로 마이그레이션하고 팬아웃 아키텍처를 사용하는 것이 좋습니다.