本記事はこちらのブログを参考にしています。
翻訳にはアリババクラウドのModelStudio(Qwen)を使用しております。
Alibaba CloudでのNode.jsアプリケーション用CI/CDパイプラインの設定ガイド
Alibaba CloudのCI/CDツールは、ワークフローを自動化し、セキュリティチェックを組み込み、現代の開発における速度と信頼性のバランスを取った効率的でコンプライアンスに準拠したデプロイメントを確保します。以下は、Alibaba Cloud上でのNode.jsアプリケーション向けのCI/CDパイプラインを設定するための簡単なガイドです。このガイドは、安全性を保ちつつ、簡単にフォローできるように焦点を当てています。
前提条件
開始する前に、以下の準備が必要です:
- Alibaba Cloudアカウント。
- Gitリポジトリ(GitHub、GitLabなど)でホストされているNode.jsアプリケーション。
- インストールおよび設定済みのAlibaba Cloud CLI。
- Alibaba Cloud CodePipeline、CodeBuild、ECS / Function Compute、および Key Management Service (KMS)。
ステップ1: Alibaba Cloud CodePipelineのセットアップ
まず、CI/CDプロセスを自動化するためにCodePipelineを作成します。
CodePipelineの作成:
- Alibaba Cloudコンソールで、「Developer Tools」>「CodePipeline」に移動し、新しいパイプラインを作成します。
- ソースを選択: GitHub(または使用しているGitリポジトリプロバイダ)をNode.jsアプリケーションのソースとして選択します。
- ビルドの設定: ビルドサービスとしてCodeBuildを選択します。CodeBuildはテストを実行し、必要なアーティファクトを作成します。
- ECSまたはFunction Computeへのデプロイ: 最終段階では、アプリケーションをデプロイするプラットフォームを選択する必要があります。ECS(Elastic Compute Service)またはFunction Computeを選ぶことができます。
ステップ2: CI/CD用のAlibaba Cloud IAMロールの設定
CodeBuildとCodePipelineに適切な権限を与えるためにIAMロールを設定する必要があります。
-
以下のポリシーを持つIAMロールを作成します:
- AliyunCodePipelineFullAccess
- AliyunCodeBuildFullAccess
- AliyunECSFullAccess または AliyunFCFullAccess(デプロイ先に応じて)
-
CodeBuildおよびCodePipelineにシームレスなアクセスを提供するためにIAMロールをアタッチします。
ステップ3: ビルド自動化のためのAlibaba Cloud CodeBuildのセットアップ
-
CodeBuildプロジェクトの作成:
- 「Developer Tools」>「CodeBuild」に移動して新しいプロジェクトを作成します。
- Gitリポジトリに接続します。
- プロジェクトのルートに
buildspec.ymlファイルを追加して、ビルドステップを指定します。以下はbuildspec.ymlファイルの例です:yaml
version: 0.2
phases:
install:
commands:- echo Installing dependencies...
- npm install
build:
commands: - echo Running tests...
- npm test
- echo Building Docker image...
- docker build -t my-node-app .
artifacts:
files:
- "**/*"
base-directory: build
-
ビルド設定の構成:
- 必要に応じて環境変数やストレージ設定を構成します。
-
buildspec.ymlファイルがリポジトリのルートディレクトリにあることを確認してください。
ステップ4: Alibaba Cloud KMSを使用したシークレットの保護
機密データ(APIキー、データベースの資格情報など)を安全に保管するために、Alibaba Cloud Key Management Service (KMS)を使用します。
-
KMSでシークレットを作成:
- Alibaba Cloud KMSに移動し、新しいキーを作成します。
- データベースの資格情報などの機密データを暗号化されたシークレットとして保存します。
-
CodeBuildでシークレットにアクセス:
次のコードを使用して、KMSからシークレットを安全に取得します:javascript
const { KMSClient, DecryptCommand } = require('@aws-sdk/client-kms');
const kms = new KMSClient({ region: 'cn-hangzhou' });
async function decryptSecret() {
const params = {
CiphertextBlob: Buffer.from(process.env.ENCRYPTED_SECRET, 'base64')
};
const data = await kms.send(new DecryptCommand(params));
const secret = data.Plaintext.toString();
return secret;
}
ステップ5: Alibaba Cloud ECSまたはFunction Computeを使用したデプロイメントの設定
アプリの特性に応じて、ECS(Elastic Compute Service)またはFunction Computeを使用してNode.jsアプリをデプロイできます。
-
ECSデプロイメント:
- ECSインスタンスを作成し、Node.jsアプリを実行するように設定します。
- CodePipelineのデプロイメントステージで、CodeBuildで作成されたDockerイメージを使用するようECSを設定します。
-
Function Computeデプロイメント:
- Function Computeを設定して、サーバーレス環境でNode.jsアプリケーションをホストします。
- CodePipelineから直接アプリケーションパッケージをFunction Computeにアップロードできます。
ステップ6: Alibaba Cloud CodePipelineを使用したデプロイメントの自動化
最後に、ビルドとデプロイのステージを接続して、プロセス全体を自動化します。
-
パイプラインステージの作成:
- ソースステージ: Gitリポジトリからコードを取得します。
- ビルドステージ: CodeBuildを使用して依存関係をインストールし、テストを実行し、アプリケーションをビルドします。
- デプロイステージ: ECSまたはFunction Computeを使用してアプリケーションをデプロイします。
-
パイプラインのトリガー: リポジトリに変更がプッシュされたときにパイプラインが自動的に実行されるようにトリガーを設定します。
ステップ7: セキュリティのベストプラクティスの実装
CI/CDパイプラインがセキュリティのベストプラクティスに従っていることを確認してください:
- 最小権限の原則: 常に必要最小限のアクセス権限をIAMロールに割り当てます。
- 環境変数: パイプライン内に機密データをハードコーディングしないでください。KMSまたはAlibaba CloudのParameter Storeを使用してください。
- ログの監視: CloudMonitor、Middleware、またはCloudWatchを使用して、パイプラインのアクティビティやアプリケーションログを監視し、異常がないか確認します。
- コード品質チェック: SonarQubeや同様のツールを統合して、Node.jsコードがセキュリティと品質基準に従っていることを確認します。
Alibaba CloudでNode.jsアプリケーション用の安全なCI/CDパイプラインを設定することで、合理化された自動化された安全なデプロイメントプロセスを確保できます。CodePipeline、CodeBuild、およびKMSを使用することで、環境を保護し、円滑な本番デプロイメントを確保できます。自動化により繰り返しのタスクが処理されるため、カスタムソフトウェアソリューションに集中しながらも、セキュリティと効率を維持することができます。
免責事項: ここに記載されている見解は参考用であり、必ずしもAlibaba Cloudの公式見解を表すものではありません。