CI/CD 파이프라인을 사용하여 Amazon EKS에 Java 애플리케이션 자동 구축 및 배포 - AWS 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구모범 사례에픽관련 리소스추가 정보

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CI/CD 파이프라인을 사용하여 Amazon EKS에 Java 애플리케이션 자동 구축 및 배포

작성자: MAHESH RAGHUNANDANAN(AWS), James Radtke(AWS), Jomcy Pappachen(AWS)

코드 리포지토리: aws-cicd-java-eks

환경: 프로덕션

기술: 컨테이너 및 마이크로서비스, CloudNative DevOps; 현대화

워크로드: 기타 모든 워크로드

AWS 서비스: AWS CloudFormation, AWS, AWS CodeCommit CodePipeline, 아마존 EC2 컨테이너 레지스트리, 아마존 EKS

요약

이 패턴은 권장 DevSecOps 사례에 따라 자바 애플리케이션을 자동으로 빌드하고 Amazon Web Services (AWS) 클라우드의 Amazon Elastic Kubernetes Service (Amazon EKS) 클러스터에 배포하는 지속적 통합 및 지속적 전송 (CI/CD) 파이프라인을 생성하는 방법을 설명합니다. 이 패턴은 Spring Boot Java 프레임워크로 개발되고 Apache Maven을 사용하는 인사말 애플리케이션을 사용합니다.

이 패턴의 접근 방식을 사용하여 Java 애플리케이션용 코드를 빌드하고, 애플리케이션 아티팩트를 도커 이미지로 패키징하고, 이미지를 보안 스캔하고, 이미지를 Amazon EKS의 워크로드 컨테이너로 업로드할 수 있습니다. 이 패턴의 접근 방식은 긴밀하게 연결된 모놀리식 아키텍처에서 마이크로서비스 아키텍처로 마이그레이션하려는 경우에 유용합니다. 또한 이 접근 방식은 Java 애플리케이션의 전체 라이프사이클을 모니터링하고 관리하는 데 도움이 되므로 자동화 수준을 높이고 오류나 버그를 방지하는 데 도움이 됩니다.

사전 조건 및 제한 사항

사전 조건 

  • 활성 상태의 AWS 계정.

  • AWS Command Line Interface(AWS CLI) 버전 2, 설치 및 구성됨. 이에 대한 자세한 내용은 AWS CLI 설명서에서 AWS CLI 버전 2 설치, 업데이트 및 제거를 참조하십시오.

  • AWS CLI 버전 2는 Amazon EKS 클러스터를 생성하는 것과 동일한 IAM 역할로 구성해야 합니다. 해당 역할만 다른 IAM 역할을 aws-auth ConfigMap에 추가할 권한이 있기 때문입니다. AWS CLI를 구성하는 데 필요한 정보 및 단계는 AWS CLI 설명서의 구성 기본 사항을 참조하십시오.

  • AWS 자격 증명 및 액세스 관리 (IAM) 역할 및 권한 ( CloudFormationAWS에 대한 전체 액세스 권한 포함) 이에 대한 자세한 내용은 AWS CloudFormation 설명서의 IAM을 통한 액세스 제어를 참조하십시오.

  • EKS 클러스터에 있는 워커 노드의 IAM 역할 이름 및 IAM 역할 Amazon 리소스 이름(ARN)에 대한 세부 정보가 포함된 기존 Amazon EKS 클러스터.

  • Amazon EKS 클러스터에 설치 및 구성된 Kubernetes Cluster Autoscaler. 자세한 내용은 Amazon EKS 설명서에서 클러스터 자동 규모 조정을 참조하십시오. 

  • GitHub 리포지토리의 코드에 대한 액세스.

중요 정보

AWS Security Hub는 코드에 있는 AWS CloudFormation 템플릿의 일부로 활성화됩니다. 기본적으로 Security Hub가 활성화되면 30일 무료 평가판이 제공되며, 그 이후에는 이 AWS 서비스와 관련된 비용이 발생합니다. 요금에 대한 자세한 내용은 AWS Security Hub 요금을 참조하십시오.

제품 버전

  • Helm 버전 3.4.2 이상

  • Apache Maven 버전 3.6.3 이상

  • BridgeCrew Checkov 버전 2.2 이상

  • Aqua Security Trivy 버전 0.37 이상

아키텍처

기술 스택

  • AWS CodeBuild

  • AWS CodeCommit

  • 아마존 CodeGuru

  • AWS CodePipeline

  • Amazon Elastic 컨테이너 레지스트리

  • Amazon Elastic Kubernetes 서비스

  • 아마존 EventBridge

  • AWS Security Hub

  • Amazon Simple Notification Service(SNS)

대상 아키텍처

""

이 다이어그램은 다음 워크플로를 보여줍니다.

  1. 개발자는 CodeCommit 리포지토리의 기본 브랜치에서 Java 애플리케이션 코드를 업데이트하여 풀 리퀘스트 (PR) 를 생성합니다.

  2. PR이 제출되는 즉시 Amazon CodeGuru Reviewer는 코드를 자동으로 검토하고 Java 모범 사례를 기반으로 코드를 분석하고 개발자에게 권장 사항을 제공합니다.

  3. PR이 기본 브랜치에 병합된 후 Amazon EventBridge 이벤트가 생성됩니다.

  4. EventBridge 이벤트가 시작되고 CodePipeline 파이프라인이 시작됩니다.

  5. CodePipeline CodeSecurity 스캔 단계 (지속적 보안) 를 실행합니다.

  6. CodeBuild Checkov를 사용하여 Dockerfile 및 Kubernetes 배포 Helm 파일을 스캔하고 증분 코드 변경을 기반으로 애플리케이션 소스 코드를 스캔하는 보안 스캔 프로세스를 시작합니다. 응용 프로그램 소스 코드 스캔은 CodeGuru 리뷰어 명령줄 인터페이스 (CLI) 래퍼를 통해 수행됩니다.

  7. 보안 스캔 단계가 성공하면 빌드 단계(지속적 통합)가 시작됩니다.

  8. 빌드 단계에서 아티팩트를 CodeBuild 빌드하고, 아티팩트를 Docker 이미지에 패키징하고, Aqua Security Trivy를 사용하여 이미지의 보안 취약성을 스캔하고, 이미지를 Amazon ECR에 저장합니다.

  9. 8단계에서 탐지된 취약성은 개발자 또는 엔지니어가 추가 분석을 위해 Security Hub에 업로드됩니다. Security Hub는 취약성 해결을 위한 개요 및 권장 사항을 제공합니다.

  10. CodePipeline 파이프라인 내의 다양한 단계에 대한 이메일 알림이 Amazon SNS를 통해 전송됩니다.

  11. 지속적 통합 단계가 완료되면 배포 단계 (지속적 전송) 로 CodePipeline 들어갑니다.

  12. 도커 이미지는 차트 Helm을 사용하여 Amazon EKS에 컨테이너 워크로드(포드)로 배포됩니다.

  13. 애플리케이션 포드는 Amazon CodeGuru Profiler Agent로 구성되어 있습니다. Amazon Profiler Agent는 애플리케이션의 프로파일링 데이터 (CPU, 힙 사용량, 지연 시간) 를 Amazon CodeGuru Profiler로 전송하여 개발자가 애플리케이션의 동작을 이해하는 데 도움이 됩니다.

도구

서비스

  • AWS는 AWS CloudFormation 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및 지역 전반의 수명 주기 전반에 걸쳐 리소스를 관리할 수 있도록 지원합니다.

  • CodeBuildAWS는 소스 코드를 컴파일하고, 단위 테스트를 실행하고, 배포할 준비가 된 아티팩트를 생성하는 데 도움이 되는 완전관리형 빌드 서비스입니다.

  • CodeCommitAWS는 자체 소스 제어 시스템을 관리할 필요 없이 Git 리포지토리를 비공개로 저장하고 관리할 수 있는 버전 제어 서비스입니다.

  • Amazon CodeGuru Profiler는 라이브 애플리케이션에서 런타임 성능 데이터를 수집하고 애플리케이션 성능을 미세 조정하는 데 도움이 되는 권장 사항을 제공합니다.

  • Amazon CodeGuru Reviewer는 프로그램 분석 및 기계 학습을 사용하여 개발자가 찾기 어려운 잠재적 결함을 탐지하고 Java 및 Python 코드 개선을 위한 제안을 제공합니다.

  • AWS는 소프트웨어 릴리스의 여러 단계를 신속하게 모델링 및 구성하고 소프트웨어 변경 사항을 지속적으로 릴리스하는 CodePipeline 데 필요한 단계를 자동화하도록 지원합니다.

  • Amazon Elastic Container Registry(Amazon ECR)는 안전하고 확장성이 있고 신뢰할 수 있는 관리형 컨테이너 이미지 레지스트리 서비스입니다.

  • Amazon Elastic Kubernetes Service (Amazon EKS)는 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치하거나 유지 관리할 필요 없이 Kubernetes를 실행하는 데 도움이 됩니다.

  • EventBridgeAmazon은 다양한 소스의 실시간 데이터와 애플리케이션을 연결하는 데 도움이 되는 서버리스 이벤트 버스 서비스입니다. AWS Lambda 함수, API 대상을 사용하는 HTTP 간접 호출 엔드포인트 또는 다른 AWS 계정의 이벤트 버스를 예로 들 수 있습니다.

  • AWS Identity and Access Management(IAM)는 누구에게 인증 및 사용 권한이 있는지 제어하여 AWS 리소스에 대한 액세스를 안전하게 관리할 수 있도록 도와줍니다.

  • AWS Security Hub는 AWS의 보안 상태에 대한 포괄적인 보기를 제공합니다. 이를 통해 AWS 환경에서 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수도 있습니다.

  • Amazon Simple Notification Service(Amazon SNS)를 사용하면 웹 서버 및 이메일 주소를 포함하여 게시자와 클라이언트 간의 메시지 교환을 조정하고 관리할 수 있습니다.

  • Amazon Simple Storage Service(S3)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다.

기타 서비스

  • Helm은 Kubernetes용 오픈소스 패키지 관리자입니다.

  • Apache Maven은 소프트웨어 프로젝트 관리 및 이해 도구입니다.

  • BridgeCrew Checkov는 IaC (Infrastructure as Code) 파일을 스캔하여 보안 또는 규정 준수 문제로 이어질 수 있는 구성 오류를 찾아내는 정적 코드 분석 도구입니다.

  • Aqua Security Trivy는 구성 문제 외에도 컨테이너 이미지, 파일 시스템 및 Git 리포지토리의 취약성에 대한 포괄적인 스캐너입니다.

code

이 패턴의 코드는 리포지토리에서 사용할 수 있습니다. GitHub aws-codepipeline-devsecops-amazoneks

모범 사례

  • 이 솔루션의 모든 단계에서 IAM 엔터티에 대한 최소 권한 원칙이 준수되었습니다. 추가 AWS 서비스 또는 타사 도구를 사용하여 솔루션을 확장하려는 경우 최소 권한 원칙을 따르는 것이 좋습니다.

  • Java 애플리케이션이 여러 개 있는 경우 각 애플리케이션에 대해 별도의 CI/CD 파이프라인을 생성하는 것이 좋습니다.

  • 모놀리식 애플리케이션을 사용하는 경우 애플리케이션을 최대한 마이크로서비스로 분할하는 것이 좋습니다. 마이크로서비스는 더 유연하고 애플리케이션을 컨테이너로 쉽게 배포할 수 있으며 애플리케이션의 전체 빌드 및 배포에 대한 가시성을 높여줍니다.

에픽

작업설명필요한 기술

GitHub 리포지토리를 복제합니다.

리포지토리를 복제하려면 다음 명령을 실행합니다.

git clone https://github.com/aws-samples/aws-codepipeline-devsecops-amazoneks
앱 개발자, DevOps 엔지니어

S3 버킷을 생성하고 코드를 업로드합니다.

  1. AWS Management Console에 로그인하고 Amazon S3 콘솔을 연 다음 이 솔루션을 배포하려는 AWS 리전에 S3 버킷을 생성합니다. 자세한 내용은 Amazon S3 설명서의 버킷 생성을 참조하십시오.

  2. S3 버킷에서 이름이 code인 폴더를 생성합니다.

  3. 리포지토리를 복제한 위치로 이동하십시오. 확장명이.zip(cicdstack.zip)인 전체 코드의 압축 버전을 만들고.zip 파일의 유효성을 검사하려면 다음 명령을 순서대로 실행합니다.

    참고: python 명령이 실패하고 Python을 찾을 수 없다고 표시되면 대신 python3을 사용하십시오.

    cd aws-codepipeline-devsecops-amazoneks
python -m zipfile -c cicdstack.zip *
python -m zipfile -t cicdstack.zip

  4. 이전에 S3 버킷에서 생성한 코드 폴더에 cicdstack.zip 파일을 업로드합니다.

AWS DevOps, DevOps 엔지니어, 클라우드 관리자 DevOps

AWS CloudFormation 스택을 생성합니다.

  1. AWS CloudFormation 콘솔을 열고 [스택 생성] 을 선택합니다.

  2. 템플릿 지정에서 템플릿 파일 업로드를 선택하고, cf_templates/codecommit_ecr.yaml 파일을 업로드한 후 다음을 선택합니다.

  3. 스택 세부 정보 지정에서 스택 이름을 입력하고 다음 입력 파라미터 값을 제공합니다.

    • CodeCommitRepositoryBranchName: 코드가 위치할 브랜치 이름 (기본값은 main)

    • CodeCommitRepositoryName: 생성할 CodeCommit 리포지토리의 이름.

    • CodeCommitRepositoryS3Bucket: 코드 폴더를 생성한 S3 버킷의 이름

    • CodeCommitRepositoryS3: BucketObjKey code/cicdstack.zip

    • ECR RepositoryName: 생성될 아마존 ECR 리포지토리의 이름

  4. 다음을 선택하고 스택 구성 옵션의 기본 설정을 사용한 후 다음을 선택합니다.

  5. 검토 섹션에서 템플릿과 스택 세부 정보를 확인한 다음 스택 생성을 선택합니다. 그러면 CodeCommit 및 Amazon ECR 리포지토리를 포함한 스택이 생성됩니다.

  6. Java CI/CD 파이프라인 설정에 필요한 CodeCommit 및 Amazon ECR 리포지토리의 이름을 기록해 둡니다.

AWS DevOps, DevOps

CloudFormation 스택 배포를 검증합니다.

  1. CloudFormation 콘솔의 스택에서 배포한 CloudFormation 스택의 상태를 확인합니다. 스택의 상태는 생성 완료여야 합니다.

  2. 또한 콘솔에서 Amazon ECR이 프로비저닝되고 준비되었는지 CodeCommit 확인합니다.

DevOps 엔지니어

S3 버킷을 삭제합니다.

이전에 생성한 S3 버킷을 비우고 삭제합니다. 자세한 내용은 Amazon S3 설명서의 버킷 삭제를 참조하십시오.

AWS DevOps, DevOps
작업설명필요한 기술

Java 애플리케이션의 차트 Helm을 구성하십시오.

  1. GitHub 리포지토리를 복제한 위치에서 해당 helm_charts/aws-proserve-java-greeting 폴더로 이동합니다. 이 폴더의 values.dev.yaml 파일에는 Amazon EKS에 컨테이너 배포를 위해 수정할 수 있는 Kubernetes 리소스 구성에 대한 정보가 포함되어 있습니다. AWS 계정 ID, AWS 리전, Amazon ECR 리포지토리 이름을 제공하여 Docker 리포지토리 파라미터를 업데이트하십시오.

    image:
  repository: <account-id>.dkr.ecr.<region>.amazonaws.com/<app-ecr-repo-name>

  2. Java 포드의 서비스 유형은 LoadBalancer로 설정되어 있습니다.

    service:
  type: LoadBalancer
  port: 80
  targetPort: 8080
  path: /hello
  initialDelaySeconds: 60
  periodSeconds: 30

    다른 서비스(예:NodePort)를 사용하려면 파라미터를 변경할 수 있습니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.

  3. autoscaling 파라미터를 enabled: true로 변경하여 Kubernetes Horizontal Pod Autoscaler를 활성화할 수 있습니다.

    autoscaling:
  enabled: true
  minReplicas: 1
  maxReplicas: 100
  targetCPUUtilizationPercentage: 80
  # targetMemoryUtilizationPercentage: 80

개발, 프로덕션, UAT 또는 QA 환경이 있는 values.<ENV>.yaml <ENV> 파일의 값을 변경하여 Kubernetes 워크로드에 대해 다양한 기능을 활성화할 수 있습니다.

DevOps

차트 Helm에 구문 오류가 있는지 검증하십시오.

  1. 터미널에서 다음 명령을 실행하여 Helm v3가 로컬 워크스테이션에 설치되어 있는지 확인합니다.

    helm --version

    헬름 v3가 설치되지 않은 경우 설치하십시오.

  2. 터미널에서 차트 Helm 디렉터리 (helm_charts/aws-proserve-java-greeting) 로 이동하여 다음 명령을 실행합니다.

    helm lint . -f values.dev.yaml

    그러면 차트 Helm에 구문 오류가 있는지 확인할 수 있습니다.

DevOps 엔지니어
작업설명필요한 기술

CI/CD 파이프라인을 생성합니다.

  1. AWS CloudFormation 콘솔을 열고 [스택 생성] 을 선택합니다.

  2. 템플릿 지정에서 템플릿 파일 업로드를 선택하고, cf_templates/build_deployment.yaml 템플릿을 업로드한 후 다음을 선택합니다.

  3. 스택 세부 정보 지정에서 스택 이름을 지정하고 다음 입력 파라미터 값을 제공합니다.

    • CodeBranchName: 코드가 있는 CodeCommit 리포지토리의 브랜치 이름

    • EKSClusterName: EKS 클러스터 이름 (ID 아님) EKSCluster

    • EKS CodeBuildAppName: 앱 이름 헬름 차트 () aws-proserve-java-greeting

    • EKS WorkerNodeRole ARN: 아마존 EKS 워커 노드 IAM 역할의 ARN

    • EKS WorkerNodeRoleName: Amazon EKS 작업자 노드에 할당된 IAM 역할의 이름

    • EcrDockerRepository: 코드의 Docker 이미지가 저장되는 Amazon ECR 리포지토리의 이름

    • EmailRecipient: 빌드 알림을 전송해야 하는 이메일 주소

    • EnvType: 환경 (예: 개발, 테스트 또는 프로덕션)

    • SourceRepoName: 코드가 있는 CodeCommit 리포지토리의 이름

  4. 다음을 선택합니다. 스택 구성 옵션의 기본 설정을 사용한 후 다음을 선택합니다.

  5. [Review] 섹션에서 AWS CloudFormation 템플릿과 스택 세부 정보를 확인한 후 [Next] 를 선택합니다.

  6. 스택 생성을 선택합니다. 

  7. CloudFormation 스택 배포 중에 파라미터에 제공한 이메일 주소의 소유자는 SNS 주제를 구독하라는 메시지를 받게 됩니다. Amazon SNS를 구독하려면 소유자가 메시지의 링크를 선택해야 합니다.

  8. 스택이 생성되면 스택의 출력 탭을 열고 EksCodeBuildkubeRoleARN 출력 키의 ARN 값을 기록합니다. 이 IAM ARN 값은 나중에 Amazon EKS 클러스터에서 워크로드를 배포할 권한을 IAM 역할에 제공할 CodeBuild 때 필요합니다.

AWS DevOps
작업설명필요한 기술

Aqua Security 통합을 켜십시오.

이 단계는 Trivy에서 보고한 도커 이미지 취약성 조사 결과를 Security Hub에 업로드하는 데 필요합니다. AWS는 Security Hub 통합을 CloudFormation 지원하지 않으므로 이 프로세스는 수동으로 수행해야 합니다.

  1. AWS Security Hub 콘솔을 열고 통합으로 이동합니다.

  2. Aqua Security를 검색하고 Aqua Security: Aqua Security를 선택합니다.

  3. 결과 수락을 선택합니다.

AWS 관리자, DevOps 엔지니어
작업설명필요한 기술

Amazon EKS 클러스터에서 헬름 또는 kubectl 명령을 실행할 수 있습니다. CodeBuild

EKS 클러스터에서 Helm 또는 kubectl 명령을 사용하도록 인증하려면 IAM 역할을 에 추가해야 합니다. CodeBuild aws-auth ConfigMap 이 경우 CodeBuild 서비스가 EKS 클러스터에 액세스하고 클러스터에 워크로드를 배포할 수 있도록 생성된 IAM 역할인 IAM 역할의 ARN을 추가합니다. EksCodeBuildkubeRoleARN 이는 일회성 작업입니다.

중요: 배포 승인 단계가 시작되기 전에 다음 절차를 완료해야 합니다. CodePipeline

  1. Amazon Linux 또는 MacOS 환경에서 cf_templates/kube_aws_auth_configmap_patch.sh 쉘 스크립트를 엽니다.

  2. 다음 명령을 실행하여 Amazon EKS 클러스터를 인증합니다.

    aws eks --region <aws-region> update-kubeconfig --name <eks-cluster-name>

  3. 이전에 기록한 ARN 값 EksCodeBuildkubeRoleARN으로 <rolearn-eks-codebuild-kubectl>을 대체하여 다음 명령을 사용하여 쉘 스크립트를 실행합니다.

    bash cf_templates/kube_aws_auth_configmap_patch.sh <rolearn-eks-codebuild-kubectl> 

aws_auth ConfigMap가 구성되고 액세스 권한이 부여됩니다.

DevOps
작업설명필요한 기술

CI/CD 파이프라인이 자동으로 시작되는지 확인합니다.

  1. Checkov가 Dockerfile 또는 Helm 차트에서 취약점을 탐지하면 파이프라인의 CodeSecurity 스캔 단계는 일반적으로 실패합니다. 하지만 이 예제의 목적은 CI/CD 파이프라인을 통해 취약성을 수정하는 대신 잠재적인 보안 취약성을 식별하는 프로세스 (일반적으로 프로세스) 를 수립하는 것입니다. DevSecOps buildspec/buildspec_secscan.yaml 파일에서 checkov 명령은 --soft-fail 플래그를 사용하여 파이프라인 장애를 방지합니다.

          - echo -e "\n Running Dockerfile Scan"
      - checkov -f code/app/Dockerfile --framework dockerfile --soft-fail --summary-position bottom
      - echo -e "\n Running Scan of Helm Chart files"
      - cp -pv helm_charts/$EKS_CODEBUILD_APP_NAME/values.dev.yaml helm_charts/$EKS_CODEBUILD_APP_NAME/values.yaml
      - checkov -d helm_charts/$EKS_CODEBUILD_APP_NAME --framework helm --soft-fail --summary-position bottom
      - rm -rfv helm_charts/$EKS_CODEBUILD_APP_NAME/values.yaml

    Dockerfile 및 Helm 차트에 대한 취약성이 보고되었을 때 파이프라인이 실패하도록 하려면 checkov 명령에서 --soft-fail 옵션을 제거해야 합니다. 그러면 개발자 또는 엔지니어가 취약성을 수정하고 소스 코드 저장소에 변경 내용을 커밋할 수 있습니다. CodeCommit

  2. CodeSecurity 스캔과 마찬가지로 빌드 단계에서는 애플리케이션을 Amazon ECR로 푸시하기 전에 Aqua Security Trivy를 사용하여 심각하고 심각한 Docker 이미지 취약성을 식별합니다. 이 예시에서는 도커 이미지 취약성에 대한 파이프라인 장애를 만들지 않았습니다. buildspec/buildspec.yml 파일에서 trivy 명령에는 값이 0 포함된 플래그 --exit-code 가 포함되어 있기 때문에 HIGH 또는 CRITICAL 도커 이미지 취약성이 보고되어도 파이프라인이 실패하지 않습니다.

          - AWS_REGION=$AWS_DEFAULT_REGION AWS_ACCOUNT_ID=$AWS_ACCOUNT_ID trivy -d image --no-progress --ignore-unfixed --exit-code 0 --severity HIGH,CRITICAL --format template --template "@securityhub/asff.tpl" -o securityhub/report.asff $AWS_ACCOUNT_ID.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/$IMAGE_REPO_NAME:$CODEBUILD_RESOLVED_SOURCE_VERSION

    HIGH, CRTICAL 취약성이 보고될 때 파이프라인이 실패하도록 하려면 --exit-code의 값을 1로 변경하십시오.

    그러면 개발자 또는 엔지니어가 취약성을 수정하고 소스 코드 리포지토리에 변경 내용을 커밋할 수 있습니다. CodeCommit

  3. qua Security Trivy에서 보고한 도커 이미지 취약점은 Security Hub에 업로드됩니다. AWS Security Hub 콘솔에서 조사 결과로 이동합니다. 검색 결과를 레코드 상태 = 활성, 제품 = Aqua Security로 필터링합니다. 여기에는 Security Hub의 도커 이미지 취약성이 나열됩니다. Security Hub에 취약점이 나타나는 데 15분에서 1시간이 걸릴 수 있습니다.

를 사용하여 CodePipeline 파이프라인을 시작하는 방법에 대한 자세한 내용은 AWS CodePipeline 설명서에서 파이프라인 시작 CodePipeline, 수동으로 파이프라인 시작 및 일정에 따라 파이프라인 시작을 참조하십시오.

DevOps

배포를 승인하십시오.

  1. 빌드 단계가 완료되면 배포 승인 게이트가 있습니다. 검토자 또는 릴리스 관리자는 빌드를 검사하고 모든 요구 사항이 충족되면 승인해야 합니다. 이는 애플리케이션 배포를 위해 지속적 딜리버리를 사용하는 팀에 권장되는 접근 방식입니다.

  2. 승인 후 파이프라인은 배포 단계를 시작합니다.

  3. 배포 단계가 성공하면 이 단계의 CodeBuild 로그에 애플리케이션의 URL이 제공됩니다. URL을 사용하여 애플리케이션의 준비 상태를 검증할 수 있습니다.

DevOps

애플리케이션 프로파일링 검증.

배포가 완료되고 애플리케이션 포드가 Amazon EKS에 배포되면 애플리케이션에 구성된 Amazon CodeGuru Profiler 에이전트가 애플리케이션의 프로파일링 데이터 (CPU, 힙 요약, 지연 시간, 병목 현상) 를 Amazon Profiler로 전송하려고 시도합니다. CodeGuru

Amazon CodeGuru Profiler는 애플리케이션을 처음 배포할 때 프로파일링 데이터를 시각화하는 데 약 15분이 걸립니다.

AWS DevOps

관련 리소스

추가 정보

CodeGuru 프로파일러를 기능 측면에서 AWS X-Ray 서비스와 혼동해서는 안 됩니다. CodeGuru 프로파일러는 병목 현상이나 보안 문제를 일으킬 수 있는 가장 비용이 많이 드는 코드 라인을 식별하고 잠재적 위험이 되기 전에 수정하는 데 선호됩니다. AWS X-Ray 서비스는 애플리케이션 성능 모니터링을 위한 서비스입니다.

이 패턴에서 이벤트 규칙은 기본 이벤트 버스와 연결됩니다. 필요한 경우 패턴을 확장하여 사용자 지정 이벤트 버스를 사용할 수 있습니다.

이 패턴은 CodeGuru Reviewer를 애플리케이션 코드에 대한 정적 애플리케이션 보안 테스트 (SAST) 도구로 사용합니다. 이 파이프라인을 Checkmarx와 같은 다른 도구에도 사용할 수 SonarQube 있습니다. 의 스캔 지침 대신 이러한 도구 중 하나에 해당하는 스캔 설정 지침을 추가할 수 있습니다. buildspec/buildspec_secscan.yaml CodeGuru