使用 Step Functions 和 Lambda Proxy 函數跨AWS帳戶啟動 CodeBuild 專案 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Step Functions 和 Lambda Proxy 函數跨AWS帳戶啟動 CodeBuild 專案

由 Richard Milner-Watts (AWS) 和 Amit Anjarlekar (AWS) 建立

Summary

此模式示範如何使用 AWS Step Functions 和 AWS Lambda Proxy 函數,在多個AWS帳戶間非同步啟動AWS CodeBuild 專案。您可以使用模式的範例 Step Functions 狀態機器來測試 CodeBuild 專案的成功。

CodeBuild 可協助您從全受管執行期環境使用AWS命令列界面 (AWSCLI) 啟動操作任務。您可以透過覆寫環境變數,在執行時間變更 CodeBuild 專案的行為。此外,您可以使用 CodeBuild 管理工作流程。如需詳細資訊,請參閱 AWS 研討會網站上的 Service Catalog Tools,以及 AWS 資料庫部落格上的 Amazon RDS for PostgreSQL AWS CodeBuild 和 Amazon 中的排程任務 EventBridge

先決條件和限制

先決條件

  • 兩個作用中AWS帳戶:使用 Step Functions 叫用 Lambda 代理函數的來源帳戶,以及建置遠端 CodeBuild 範例專案的目標帳戶

限制

  • 此模式無法用於在帳戶之間複製成品

架構

下圖顯示此模式建置的架構。

跨多個AWS帳戶啟動 CodeBuild 專案的架構圖

該圖顯示以下工作流程:

  1. Step Functions 狀態機器會剖析提供的輸入映射,並針對您定義的每個帳戶、區域和專案叫用 Lambda 代理函數 (codebuild-proxy-lambda)。

  2. Lambda 代理函數使用 AWS Security Token Service (AWS STS) 擔任IAM代理角色 (codebuild-proxy-role),此角色與目標帳戶中IAM的政策 (codebuild-proxy-policy) 相關聯。

  3. 使用擔任的角色,Lambda 函數會啟動 CodeBuild 專案並傳回 CodeBuild 任務 ID。Step Functions 狀態機器會循環和輪詢 CodeBuild 任務,直到收到成功或失敗狀態為止。

狀態機器邏輯會顯示在下圖中。

Step Functions 狀態機器的工作流程

技術堆疊

  • AWS CloudFormation

  • CodeBuild

  • IAM

  • Lambda

  • Step Functions

  • X-Ray

工具

  • AWS CloudFormation 可協助您設定AWS資源、快速且一致地佈建資源,以及在AWS帳戶和區域的整個生命週期中管理這些資源。

  • AWS CloudFormation 設計工具提供整合式 JSON和 YAML 編輯器,可協助您檢視和編輯 CloudFormation 範本。

  • AWS CodeBuild 是一種全受管建置服務,可協助您編譯原始程式碼、執行單位測試,並產生準備好部署的成品。

  • AWS Identity and Access Management (IAM) 可透過控制已驗證並授權使用的人員,協助您安全地管理對 AWS 資源的存取。

  • AWS Lambda 是一種運算服務,可協助您執行程式碼,而無需佈建或管理伺服器。它只會在需要時執行程式碼並自動擴展,因此您只需支付使用的運算時間。

  • AWS Step Functions 是一種無伺服器協調服務,可協助您結合 AWS Lambda 函數和其他AWS服務來建置業務關鍵型應用程式。

  • AWS X-Ray 可協助您收集應用程式提供的請求相關資料,並提供工具供您用來檢視、篩選和深入了解該資料,以識別問題和最佳化的機會。

Code

此模式的範例程式碼可在 GitHub跨帳戶 CodeBuild 代理儲存庫中使用。此模式使用 AWS Lambda Powertools for Python 程式庫來提供記錄和追蹤功能。如需此程式庫及其公用程式的詳細資訊,請參閱 Powertools for AWS Lambda (Python)

最佳實務

  1. 調整 Step Function 狀態機器中的等待時間值,將輪詢任務狀態請求降至最低。使用 CodeBuild 專案的預期執行時間。

  2. 在 Step Functions 中調整映射的MaxConcurrency屬性,以控制可以平行執行的 CodeBuild 專案數量。

  3. 如有需要,請檢閱範例程式碼,了解生產準備狀態。考慮解決方案可能會記錄哪些資料,以及預設 Amazon CloudWatch 加密是否足夠。

史詩

任務描述所需的技能

記錄AWS帳戶 IDs。

AWS 需要 帳戶IDs才能跨帳戶設定存取權。

記錄來源和目標AWS帳戶的帳戶 ID。如需詳細資訊,請參閱 IAM 文件中的尋找AWS您的帳戶 ID

AWS DevOps

下載 AWS CloudFormation 範本。

  1. 從儲存GitHub 庫下載此模式的sample_target_codebuild_template.yamlAWS CloudFormation 範本。

  2. 從儲存GitHub 庫下載codebuild_lambda_proxy_template.yaml此模式的AWS CloudFormation 範本。

注意

在 AWS CloudFormation 範本中, <SourceAccountId> 是來源AWS帳戶的帳戶 ID,而 <TargetAccountId>是目標帳戶AWS的帳戶 ID。

AWS DevOps

建立和部署AWS CloudFormation 堆疊。

  1. 登入來源帳戶的AWS管理主控台,開啟AWS CloudFormation 主控台,然後選擇 Stacks

  2. 選擇 Create stack (建立堆疊),然後選擇 With new resources (standard) (使用新資源 (標準))

  3. 針對 Template source (範本來源),選擇 Upload a template file (上傳範本檔案)。

  4. 針對上傳範本檔案,選擇檔案,然後選擇下載codebuild_lambda_proxy_template.yaml的檔案。選擇 Next (下一步)

  5. 針對堆疊名稱,輸入堆疊的名稱 (例如 codebuild-lambda-proxy)。

  6. 注意

    crossAccountTargetRoleArn 參數取代為 <TargetAccountId>(例如 <arn:aws:iam::123456789012:role/proxy-lambda-codebuild-role>)。:您不需要更新 參數的targetCodeBuildProject預設值。

  7. 選擇下一步,接受預設堆疊建立選項,然後選擇下一步

  8. 選擇我確認 AWS CloudFormation 可能會建立具有自訂名稱IAM的資源核取方塊,然後選擇建立堆疊

注意

您必須先建立代理 Lambda 函數的AWS CloudFormation 堆疊,才能在目標帳戶中建立任何資源。當您在目標帳戶中建立信任政策時,IAM角色會從角色名稱轉譯為內部識別符。這就是為什麼IAM角色必須已經存在。

AWS DevOps

確認建立代理函數和狀態機器。

  1. 等待AWS CloudFormation 堆疊達到 CREATE_COMPLETEstatus。這應該需要不到一分鐘的時間。

  2. 開啟 AWS Lambda 主控台,選擇函數,然後尋找lambda-proxy-ProxyLambda-<GUID>函數。

  3. 開啟 AWS Step Functions 主控台,選擇狀態機器,然後尋找sample-crossaccount-codebuild-state-machine狀態機器。

AWS DevOps
任務描述所需的技能

建立和部署AWS CloudFormation 堆疊。

  1. 登入目標帳戶的AWS管理主控台,開啟AWS CloudFormation 主控台,然後選擇 Stacks

  2. 選擇建立堆疊,然後選擇使用新資源 (標準)

  3. 針對 Template source (範本來源),選擇 Upload a template file (上傳範本檔案)。

  4. 針對上傳範本檔案,選擇選擇檔案,然後選擇sample_target_codebuild_template.yaml檔案。選擇 Next (下一步)

  5. 針對堆疊名稱,輸入堆疊的名稱 (例如:sample-codebuild-stack)。

  6. crossAccountSourceRoleArn 參數取代為 <SourceAccountId>(例如 <arn:aws:iam::123456789012:role/codebuild-proxy-lambda-role>)。

  7. 選擇下一步,接受預設堆疊建立選項,然後選擇下一步

  8. 選擇我確認 AWS CloudFormation 可能會建立具有自訂名稱IAM的資源核取方塊,然後選擇建立堆疊

AWS DevOps

驗證範例 CodeBuild 專案的建立。

  1. 等待AWS CloudFormation 堆疊達到 CREATE_COMPLETE 狀態。這應該需要不到一分鐘的時間。

  2. 開啟 AWS CodeBuild 主控台,然後尋找sample-codebuild-project專案。

AWS DevOps
任務描述所需的技能

啟動 狀態機器。

  1. 登入來源帳戶的AWS管理主控台,開啟 AWS Step Functions 主控台,然後選擇狀態機器

  2. 選擇sample-crossaccount-codebuild-state-machine狀態機器,然後選擇開始執行

  3. 輸入編輯器中,輸入下列 JSON,並以包含 CodeBuild 專案之帳戶的帳戶 <TargetAccountID> AWS ID 取代 。

    { "crossAccountTargetRoleArns": [ { "arn": "arn:aws:iam::<TargetAccountID>:role/proxy-lambda-codebuild-role", "region": "eu-west-1", "codeBuildProject": "sample-codebuild-project", "SampleValue1": "Value1", "SampleValue2": "Value2" } ] }
    注意

    鍵/值對會以環境變數的形式,從來源帳戶中的 函數傳遞至目標帳戶中的 CodeBuild 專案。

  4. 選擇 Start execution (開始執行)

  5. 在狀態機器頁面的詳細資訊索引標籤上,檢查是否已將執行狀態設定為成功。這會確認您的狀態機器正在執行。注意:狀態機器可能需要大約 30 秒才能達到成功狀態。

  6. 若要查看狀態機器中步驟的輸出和輸入,請在執行事件歷史記錄區段中展開該步驟。例如,展開 Lambda - CodeBuild Proxy – 開始步驟。輸出包含覆寫的環境變數、原始承載和 CodeBuild 任務 ID 的詳細資訊。

AWS DevOps

驗證環境變數。

  1. 登入目標帳戶的AWS管理主控台。

  2. 開啟 AWS CodeBuild 主控台,展開組建,然後選擇組建專案

  3. 選擇sample-codebuild-project專案,然後選擇檢視詳細資訊

  4. 建置歷史記錄索引標籤上,選擇專案的最新建置,然後選擇檢視日誌

  5. 在日誌輸出中,驗證列印的環境變數STDOUT是否符合 Step Functions 範例狀態機器的環境變數。

AWS DevOps

故障診斷

問題解決方案

Step Functions 執行時間超過預期。

在 Step Function 狀態機器中調整映射的MaxConcurrency屬性,以控制可以平行執行的 CodeBuild 專案數量。

CodeBuild 任務的執行時間超過預期。

  1. 調整 Step Functions 狀態機器中的等待時間值,將輪詢任務狀態請求降至最低。使用 CodeBuild 專案的預期執行時間。

  2. 考慮 CodeBuild 是否為要使用的適當工具。例如,初始化 CodeBuild 任務所需的時間可能遠比 AWS Lambda 長。如果要求高輸送量和快速完成時間,請考慮將業務邏輯遷移至 AWS Lambda 並使用扇出架構。