本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Step Functions 函數和 Lambda 代理函數在 AWS 帳戶之間啟動 CodeBuild 專案
由理查德·米爾納瓦特(AWS)和阿米特·安哈勒卡(AWS)創建
程式碼儲存庫:跨帳戶 CodeBuild | 環境:生產 | 技術: DevOps;管理與治理;營運;無伺服器 |
AWS 服務:AWS CodeBuild;AWS Lambda;AWS Step Functions;AWS X-Ray;AWS CloudFormation |
Summary
此模式示範如何使用 AWS 步驟函數和 AWS Lambda 代理函數,跨多個 AWS 帳戶非同步啟動 AWS CodeBuild 專案。您可以使用模式的示例 Step Functions 狀態機來測試 CodeBuild 項目的成功性。
CodeBuild 協助您從完全受管的執行階段環境使用 AWS Command Line Interface (AWS CLI) (AWS CLI) 啟動操作任務。您可以透過覆寫環境變數,在執行階段變更 CodeBuild 專案的行為。此外,您還可以使用 CodeBuild 來管理工作流程。如需詳細資訊,請參閱 AWS 工作坊網站上的 Ser vice Catalog 工具
先決條件和限制
先決條件
兩個作用中的 AWS 帳戶:使用 Step Functions 函數叫用 Lambda 代理函數的來源帳戶,以及用於建立遠端 CodeBuild 範例專案的目標帳戶
限制
此模式無法用於在帳戶之間複製人工因素。
架構
下圖顯示了此模式構建的體系結構。
![跨多個 AWS 帳戶啟動 CodeBuild 專案的架構圖](images/pattern-img/809a5716-56e5-477c-aac6-02243675a2f2/images/857ba3ae-eb9a-4d6b-b73e-e596f41c8cb8.png)
該圖顯示以下工作流程:
Step Functions 數狀態機器會剖析提供的輸入對應,並針對您定義的每個帳戶、區域和專案叫用 Lambda Proxy 函數 (
codebuild-proxy-lambda
)。Lambda 代理函數使用 AWS Security Token Service (AWS STS) 假設 IAM 代理角色 (
codebuild-proxy-role
),該角色與目標帳戶中的 IAM 政策 (codebuild-proxy-policy
) 相關聯。Lambda 函數會使用假定的角色啟動 CodeBuild 專案並傳回 CodeBuild 工作 ID。Step Functions 狀態機器會迴圈並輪詢 CodeBuild 工作,直到收到成功或失敗狀態為止。
狀態機邏輯如下圖所示。
![Step Functions 狀態機的工作流程](images/pattern-img/809a5716-56e5-477c-aac6-02243675a2f2/images/4729bbfc-79ad-455d-a85a-b96cce00f432.png)
技術堆疊
AWS CloudFormation
CodeBuild
IAM
Lambda
Step Functions
X-Ray
工具
AWS 可 CloudFormation協助您設定 AWS 資源、快速且一致地佈建 AWS 資源,並在 AWS 帳戶和區域的整個生命週期中進行管理。
AWS CloudFormation 設計師提供整合的 JSON 和 YAML 編輯器,可協助您檢視和編輯 CloudFormation 範本。
AWS CodeBuild 是全受管的建置服務,可協助您編譯原始程式碼、執行單元測試,以及產生準備好部署的成品。
AWS Identity and Access Management (IAM) 可透過控制誰經過身份驗證和授權使用 AWS 資源,協助您安全地管理對 AWS 資源的存取。
AWS Lambda 是一種運算服務,可協助您執行程式碼,而不需要佈建或管理伺服器。它只會在需要時執行程式碼並自動調整規模,因此您只需為使用的運算時間付費。
AWS Step Functions 是一種無伺服器協調服務,可協助您結合 AWS Lambda 函數和其他 AWS 服務來建立關鍵業務應用程式。
AWS X-Ray 可協助您收集應用程式所提供請求的相關資料,並提供工具供您檢視、篩選和深入瞭解該資料,以識別問題和優化機會。
Code
此模式的範例程式碼可在 GitHub跨帳戶 CodeBuild Proxy
最佳實務
調整「步驟功能」狀態機器中的等待時間值,以盡量減少工作狀態的輪詢請求。使用 CodeBuild 專案的預期執行時間。
在「Step Functions」中調整地圖的
MaxConcurrency
屬性,以控制可以 parallel 執行的 CodeBuild 專案數目。如有需要,請檢閱生產準備就緒的範例程式碼。考慮解決方案可能會記錄哪些資料,以及預設 Amazon CloudWatch 加密是否足夠。
史诗
任務 | 描述 | 所需技能 |
---|---|---|
記錄 AWS 帳戶 ID。 | 需要 AWS 帳戶 ID 才能設定跨帳戶的存取權限。 記錄來源和目標帳戶的 AWS 帳戶 ID。如需詳細資訊,請參閱 IAM 文件中的尋找 AWS 帳戶 ID。 | AWS DevOps |
下載 AWS CloudFormation 範本。 |
注意:在 AWS CloudFormation 範本中, | AWS DevOps |
建立和部署 AWS CloudFormation 堆疊。 |
注意:您必須先為代理 Lambda 函數建立 AWS CloudFormation 堆疊,才能在目標帳戶中建立任何資源。當您在目標帳戶中建立信任政策時,IAM 角色會從角色名稱轉換為內部識別碼。這就是 IAM 角色必須已經存在的原因。 | AWS DevOps |
確認代理功能和狀態機的創建。 |
| AWS DevOps |
任務 | 描述 | 所需技能 |
---|---|---|
建立和部署 AWS CloudFormation 堆疊。 |
| AWS DevOps |
確認範例 CodeBuild 專案的建立。 |
| AWS DevOps |
任務 | 描述 | 所需技能 |
---|---|---|
啟動狀態機。 |
| AWS DevOps |
驗證環境變數。 |
| AWS DevOps |
故障診斷
問題 | 解決方案 |
---|---|
Step Functions 執行所花費的時間比預期更長。 | 在 Step Function 狀態機器中調整地圖的 |
CodeBuild 工作的執行所花費的時間比預期更長。 |
|