本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS CDK 自動化 AWS 服務目錄產品組合和產品部署
由桑迪蓋萬德 (AWS)、拉傑尼許泰亞吉 (AWS) 和維約瑪·薩克德瓦 (AWS) 所建立
環境:PoC 或試點 | 技術: DevOps; 基礎設施; 管理與治理 | |
工作負載:開源 | AWS 服務:AWS Service Catalog;AWS CDK |
Summary
AWS Service Catalog 可協助您集中管理已核准用於組織 AWS 環境的 IT 服務或產品目錄。產品集合稱為產品組合,而產品組合也包含組態資訊。使用 AWS Service Catalog,您可以為組織中的每種使用者類型建立自訂的產品組合,然後授與適當產品組合的存取權。然後,這些用戶可以從產品組合中快速部署他們需要的任何產品。
如果您有複雜的網路基礎結構,例如多區域和多帳戶架構,建議您在單一的集中帳戶中建立及管理 Service Catalog 產品組合。此模式說明如何使用 AWS Cloud Development Kit (AWS CDK) 在中央帳戶中自動建立 Service Catalog 產品組合、授予最終使用者存取權限,然後選擇性地在一或多個目標 AWS 帳戶中佈建產品。此 ready-to-use 解決方案會在來源帳戶中建立 Service Catalog 產品組合。此外,還可以選擇使用 AWS CloudFormation 堆疊在目標帳戶中佈建產品,並協助您 TagOptions 設定產品:
AWS CloudFormation StackSets — 您可以使用 StackSets 跨多個 AWS 區域和帳戶啟動 Service Catalog 產品。在此解決方案中,您可以選擇在部署此解決方案時自動佈建產品。如需詳細資訊,請參閱使用 AWS CloudFormation StackSets (Service Catalog 文件) 和StackSets 概念 (CloudFormation 文件)。
TagOption 程式庫 — 您可以使用物件 TagOption 庫來管理已佈建產品的標籤。A TagOption是 AWS Service Catalog 中管理的金鑰值組。它不是 AWS 標籤,但它可以做為基礎建立 AWS 標籤的範本 TagOption。如需詳細資訊,請參閱TagOption 程式庫 (Service Catalog 文件)。
先決條件和限制
先決條件
您想要用來作為管理 Service Catalog 產品組合的來源帳戶的有效 AWS 帳戶。
如果您使用此解決方案在一或多個目標帳戶中佈建產品,則目標帳戶必須已存在且處於作用中狀態。
用於存取 AWS 服務目錄、AWS 和 AWS IAM 的 AWS Identity and Access Management (IAM) 許可。 CloudFormation
產品版本
AWS CDK 版本 2.27.0
架構
目標技術堆疊
集中式 AWS 帳戶中的 Service Catalog 產品組合
部署在目標帳戶中的 Service Catalog 產品
目標架構
在產品組合 (或來源) 帳戶中,您可以使用 AWS 帳戶、AWS 區域、IAM 角色、產品組合和使用案例的產品資訊來更新 config.json 檔案。
您可以部署 AWS CDK 應用程式。
AWS CDK 應用程式會擔任部署 IAM 角色,並建立 config.json 檔案中定義的 Service Catalog 產品組合和產品。
如果您設定 StackSets 為在目標帳戶中部署產品,則程序會繼續進行。如果您未設定 StackSets 佈建任何產品,則程序已完成。
AWS CDK 應用程式擔任StackSet 管理員角色,並部署您在 config. json 檔案中定義的 AWS CloudFormation 堆疊集。
在目標帳戶中, StackSets 承擔StackSet 執行角色並佈建產品。
工具
AWS 服務
AWS Cloud Development Kit (AWS CDK) 是一種軟體開發架構,可協助您在程式碼中定義和佈建 AWS 雲端基礎設施。
AWS CDK 工具組是命令列雲端開發套件,可協助您與 AWS CDK 應用程式互動。
AWS 可 CloudFormation協助您設定 AWS 資源、快速且一致地佈建 AWS 資源,並在 AWS 帳戶和區域的整個生命週期中進行管理。
AWS Identity and Access Management (IAM) 可透過控制誰經過身份驗證和授權使用 AWS 資源,協助您安全地管理對 AWS 資源的存取。
AWS Service Catalog 可協助您集中管理 AWS 核准的 IT 服務目錄。最終使用者可在機構所設的限制範圍內,迅速地只部署自己需要且經核准的 IT 服務。
代碼存儲庫
此模式的程式碼可在 GitHubaws-cdk-servicecatalog-automation
cdk-sevicecatalog-app— 此資料夾包含此解決方案的 AWS CDK 應用程式。
config — 此資料夾包含 config.json 檔案,以及用於在 Service Catalog 組合中部署產品的 CloudFormation 範本。
配置/config.json — 此文件包含所有配置信息。您可以更新此檔案,以針對您的使用案例自訂此解決方案。
配置/模板 — 此文件夾包含服務中心產品的 CloudFormation 模板。
setup.sh — 此指令碼會部署解決方案。
uninstall.sh — 此指令碼會刪除堆疊和部署此解決方案時建立的所有 AWS 資源。
若要使用範例程式碼,請依照 Epics 一節中的指示操作。
最佳實務
用於部署此解決方案的 IAM 角色應遵循最低權限 (IAM 文件) 的原則。
遵守使用 AWS CDK 開發雲端應用程式的最佳實務
(AWS 部落格文章)。 遵守 AWS 最 CloudFormation 佳實務 (CloudFormation 文件)。
史诗
任務 | 描述 | 所需技能 |
---|---|---|
安裝 AWS CDK 工具組。 | 確定您已安裝 AWS CDK 工具組。輸入以下命令以確認是否已安裝並檢查版本。
如果未安裝 AWS CDK 工具組,請輸入以下命令進行安裝。
如果 AWS CDK 工具組版本早於 2.27.0,則輸入下列命令將其更新為 2.27.0 版。
| AWS DevOps、 DevOps 工程師 |
複製儲存庫。 | 輸入以下命令。在 [其他資訊] 區段的 [複製存放庫] 中,您可以複製包含存放庫 URL 的完整指令。這將從 GitHub中克隆存aws-cdk-servicecatalog-automation
這將在目標目錄中創建一個
| AWS DevOps、 DevOps 工程師 |
設定 AWS 登入資料。 | 輸入下列命令:這些變數會匯出下列變數,這些變數定義了您要部署堆疊的 AWS 帳戶和區域。
AWS CDK 的 AWS 登入資料是透過環境變數提供的。 | AWS DevOps、 DevOps 工程師 |
設定最終使用者 IAM 角色的許可。 | 如果您打算使用 IAM 角色來授與產品組合及其中產品的存取權,則這些角色必須具有由 servicecatalo g.amazonaws.com 服務主體承擔的許可。如需有關如何授予這些許可的指示,請參閱使用 Service Catalog 啟用受信任存取 (AWS Organizations 文件)。 | AWS DevOps、 DevOps 工程師 |
設定所需的 IAM 角色 StackSets。 | 如果您使 StackSets 用在目標帳戶中自動佈建產品,則需要設定管理和執行堆疊集的 IAM 角色。
| AWS DevOps、 DevOps 工程師 |
任務 | 描述 | 所需技能 |
---|---|---|
建立 CloudFormation 範本。 | 在 | 應用開發人員、AWS DevOps、 DevOps 工程師 |
自訂組態檔案。 | 在
如需已完成組態檔案的範例,請參閱其他資訊一節中的範例組態檔案。 | AWS 應用程式開發人員、 DevOps 工程師 DevOps |
部署解決方案。 | 輸入以下命令。這會部署 AWS CDK 應用程式,並依照 config. json 檔案中指定的方式佈建 Service Catalog 產品組合和產品。
| AWS 應用程式開發人員、 DevOps 工程師 DevOps |
驗證部署。 | 請執行下列動作,確認部署成功:
| 一般 AWS |
(可選)更新產品組合和產品。 | 如果您想要使用此解決方案來更新產品組合或產品,或提供新產品:
例如,您可以新增其他產品組合或佈建更多資源。AWS CDK 應用程式只會實作變更。如果先前部署的產品組合或產品沒有任何變更,則重新部署不會影響它們。 | 一般 AWS 應用 DevOps 程式開發人員、工程師 |
任務 | 描述 | 所需技能 |
---|---|---|
(選擇性) 移除此解決方案部署的 AWS 資源。 | 如果您想要刪除已佈建的產品,請遵循刪除佈建的產品 (Service Catalog 文件) 中的指示進行。 如果您要刪除此解決方案所建立的所有資源,請輸入下列命令。
| AWS DevOps、 DevOps 工程師、應用程式開發者 |
相關資源
AWS Service Catalog 建構程式庫 (AWS API 參考)
StackSets 概念 (CloudFormation 文件)
AWS Service Catalog
(AWS 行銷)
其他資訊
其他資訊
克隆存儲庫
輸入下列指令以從中複製儲存庫 GitHub。
git clone https://github.com/aws-samples/aws-cdk-servicecatalog-automation.git
範例設定檔
以下是含有範例值的範例 config.json 檔案。
{ "portfolios": [ { "displayName": "EC2 Product Portfolio", "providerName": "User1", "description": "Test1", "roles": [ "<Names of IAM roles that can access the products>" ], "users": [ "<Names of IAM users who can access the products>" ], "groups": [ "<Names of IAM user groups that can access the products>" ] }, { "displayName": "Autoscaling Product Portfolio", "providerName": "User2", "description": "Test2", "roles": [ "<Name of IAM role>" ] } ], "tagOption": [ { "key": "Group", "value": [ "finance", "engineering", "marketing", "research" ] }, { "key": "CostCenter", "value": [ "01", "02", "03", "04" ] }, { "key": "Environment", "value": [ "dev", "prod", "stage" ] } ], "products": [ { "portfolioName": "EC2 Product Profile", "productName": "Ec2", "owner": "owner1", "productVersionName": "v1", "templatePath": "../../config/templates/template1.json" }, { "portfolioName": "Autoscaling Product Profile", "productName": "autoscaling", "owner": "owner1", "productVersionName": "v1", "templatePath": "../../config/templates/template2.json", "deployWithStackSets": { "accounts": [ "012345678901", ], "regions": [ "us-west-2" ], "stackSetAdministrationRoleName": "AWSCloudFormationStackSetAdministrationRole", "stackSetExecutionRoleName": "AWSCloudFormationStackSetExecutionRole" } } ] }