CDKでECSのタスク定義を作成すると、必ず遭遇する(と思う)コンテナのイメージタグがCDKと実態でズレる問題への対応についてです。
以下のスライドでまさに言及されているものです。
過去試行錯誤したので、自分なりに整理してみます。
事象の内容
まず内容と流れについて整理します。なおイメージタグに使用するのはコミットハッシュ等が一般的ですが、説明の中では単純化のためv1
, v2
などを用います。
前提
コンテナのイメージタグでlatest
等固定のタグを使わずに、イミュータブルなタグ運用を行う場合に発生します。よくあるのはコミットハッシュをタグに付与するなどのやり方です。以下はCodeBuildでやる場合の例。
latest固定(いわゆるLatestタグ運用)は一般的にアンチパターンと言われています。タイミングによってlatest
が指しているものがズレるため、後からトレースが困難になる、資材が混ざる可能性がある、などの問題があります。
またアプリとインフラ(CDK)のリポジトリが別になっており、ライフサイクルが別れている時に起こります。そこそこ大規模なプロジェクトでは分かれていることが多いんじゃないかなという気がします。
上記の前提踏まえ、事象について流れを以下に記載します。
(1). CDKでタスク定義をデプロイ
CDK上でv1
のタグを指定してタスク定義をデプロイします。
taskDefinition.addContainer('TestContainer', { containerName: 'test', image: ecs.ContainerImage.fromEcrRepository(props.ecrConstruct.ecrRepository, 'v1'), // タグを指定 })
この時点では実際のタスク定義とCDKのタグはv1
で一致しています。
(2). アプリの更新が入り、CICDでタスク定義が更新される
その後CDKとは別リポジトリのアプリが更新され、CICDによりタスク定義のバージョンがv2
に変わります。
この時CDK上のタスク定義のバージョンv1
とズレた状態になります。
(3). CDK上でタスク定義を更新しデプロイ
問題になるのはこのタイミングです。CDK上のタスク定義のバージョンv1
をそのままの状態で、CPU等変更を加えてデプロイするとタグのバージョンがv1
に戻ってしまいます。
AppとCDKが別リポジトリになっており、ライフサイクルが分かれていることにより発生します。
対応策
以下考えた対応先を5つ記載します。なおAWS CDK以外の外部ツールなどは使わないことを前提としています。
1. latestタグを使う
最も単純なのはlatestタグを使うやり方です。latestタグを使うとApp, CDKどちらでも常にlatestなので、タスク定義とCDKの実装上でズレることがありません。
ただし先述の通りアンチパターンなので、基本は避けた方が良いかと思います。
2. CDKは初期生成のみで、更新はマネコン等別で行う。
タスク定義の初期生成のみはCDKで行い、以降の更新は別のツール(マネコン、CLI、etc...)で行うというやり方です。一度でも更新が入るとCDKと実態が乖離し続けることになります。
個人的にはこれも避けた方が良いかと思います。CDKのメリットとして、コードを読めば設定内容が確認できること、また設定値のテストができること、だと思っているので、そのメリットを捨ててしまうことになるからです。
3. CDK上で変更を加える場合は最新のタグを設定する
運用でカバーする案です。CDKでタスク定義の更新をかける際は、実装上のタグを修正してからデプロイして、先祖返りしないようにします。
実装イメージは以下です。最初はv1
となっていたところをv2
に変えたのみです。
taskDefinition.addContainer('TestContainer', { containerName: 'test', image: ecs.ContainerImage.fromEcrRepository(props.ecrConstruct.ecrRepository, 'v2') // タグを更新 })
タスク定義の数が少なければ、これでもカバーできるかと思います。実際に過去使っていたものはこれでした。
ただしCDK上のタグの更新を忘れると先祖返りする可能性があるので注意が必要です。
4. SSM Parameter Storeを使う
これは以下を参考にさせていただきました。3をSSM Parameter Storeを活用して自動化するイメージです。
以下流れを実装イメージと合わせて記載します。
4-1. SSM Parameter Storeにタグを保存するパラメータを手動で初期生成
事前に手動でSSM Parameter Storeに値を登録しておきます。
CDKで初期生成しても良いかと思いましたが、初期値が実装上残るので別管理にした方がシンプルかと思いこのようにしています。
const ssmParameter = new ssm.StringParameter(this, 'mySsmParameter', { parameterName: 'mySsmParameter', stringValue: 'mySsmParameterValue', });
注意点として、この時点では登録するタグの値が存在する(コンテナイメージが1つ以上すでに格納されていること)が前提となっています。
もしまだ存在しない場合は一旦適当な値を埋めておくことでも可能ですが、その状態でECSのサービスをデプロイしようとすると存在しないタグを引っ張ろうとしてしまいます。その場合はタスク数を一旦0にしておいて、存在するタグの値がSSM Parameter Storeに格納されたら以降タスク数を1以上にするといったことが必要です。
4-2. CDKデプロイ時にSSM Parameter Storeの値を読み取る
CDKからタスク定義をデプロイする際に、タグはSSM Parameter Storeから読み取るようにします。
実装イメージは以下です。ssm.StringParameter.valueForStringParameter
を使用すると、CDKのデプロイ時にSSM Parameter Storeから値が取得されます。
// SSMから値を取得 const tag = ssm.StringParameter.valueForStringParameter(scope, 'tag'); taskDefinition.addContainer('TestContainer', { containerName: 'test', image: ecs.ContainerImage.fromEcrRepository(props.ecrConstruct.ecrRepository, tag), })
4-3. AppのCICDにおいてイメージプッシュ時はSSM Parameter Storeの値も更新する
アプリのCICDにおいて、コンテナイメージを更新した際はSSM Parameter Storeの値も更新するようにします。
CodeBuildで行う場合のイメージは以下です(CDKのcodebuild.BuildSpec.fromObject
に渡す形式で記載)。
post_build
でイメージプッシュ後にSSM Parameter Storeの値をCLIで更新しています。
const buildSpecObject = { version: 0.2, env: { variables: { 'AWS_REGION_NAME': 'ap-northeast-1', 'ECR_REPOSITORY_NAME': `${repositoryName}`, } }, phases: { pre_build: { commands: [ 'AWS_ACCOUNT_ID=$(aws sts get-caller-identity --query \'Account\' --output text)', 'aws ecr --region ap-northeast-1 get-login-password | docker login --username AWS --password-stdin https://${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION_NAME}.amazonaws.com/${ECR_REPOSITORY_NAME}', 'REPOSITORY_URI=${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION_NAME}.amazonaws.com/${ECR_REPOSITORY_NAME}', '# Use Git Commit hash for image tag', 'IMAGE_TAG=$(echo ${CODEBUILD_RESOLVED_SOURCE_VERSION})', ] }, build: { commands: [ 'docker image build -t ${REPOSITORY_URI}:${IMAGE_TAG} .' ] }, post_build: { commands: [ 'echo Build completed on $(date)', // コンテナイメージをプッシュ 'docker image push ${REPOSITORY_URI}:${IMAGE_TAG}', // SSM Parameter Storeにタグを登録 'aws ssm put-parameter --overwrite --name "tag" --type "String" --value ${IMAGE_TAG}', 'printf \'[{"name":"%s","imageUri":"%s"}]\' $ECR_REPOSITORY_NAME $REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json', ] } }, artifacts: { files: [ 'imagedefinitions.json', ] } }
4-4. CDK上からタスク定義の更新をかける
4-3の後にCDK上でタスク定義の更新が入ったとします。しかしデプロイ時にSSM Parameter Storeから最新のイメージタグを取得するので、先祖返りを防ぐことができます。
5. TagParameterContainerImage
を使用する
公式のReferenceでTagParameterContainerImage
とCodePipelineを使用する対応案が示されています。
ですが仕組みとしては難解です。過去一度導入を試したことはありますが、維持できそうになく断念しました。
ここでは紹介のみにとどめます。
まとめ
以下5つの対応策をご紹介しました。
- latestタグを使う
- CDKは初期生成のみで、更新はマネコン等別で行う。
- CDK上で変更を加える場合は最新のタグを設定する
- SSM Parameter Storeを使う
- TagParameterContainerImageを使用する
個人的に過去は3を使うことが多かったのですが、今後行う場合は4がファーストチョイスになりそうです。
また今回はAWS CDKのみという縛りでしたが、他ツールも含めた運用方法は模索していきたいと思います。