本日は、ELBに紐づいたECSを作成します。
ECSの更新はCodedeployを使用します。
分かりにくいと思うので図解にするとこんな感じです。
・構成図
・CodedeployのECSサービス更新の流れ
CodedeployはECSサービス作成時に設定することで、サービス更新時にはCodedeployでサービスを更新できるようになります。
作業は以下の順番で行います。
今回ECSで作成するアプリですが、pythonのFlaskを使用してWebブラウザに「Hello world」と表示させるwebアプリを作ります。
目次
- Dockerfileとpythonアプリケーションファイルの作成・ローカルで実行
- Dockerfileとアプリケーションファイルを ECR にプッシュ
- ECR から ECS のためのタスク定義の作成
- ECSがECRにアクセスできるようエンドポイント作成
- セキュリティグループ作成
- ELB・ターゲットグループ作成
- ECS Cluster、ECSサービスの作成
- Codepipeline でサービスの更新およびテスト
1. Dockerfileとpythonアプリケーションファイルの作成・ローカルで実行
pythonアプリケーションファイルと Dockerfile はこんな感じで作りました。
・app.py
from flask import Flask
from flask import g
from flask import render_template
from flask import request
from flask import Response
app = Flask(__name__)
@app.route('/')
def hello_world():
return "hello world"
def main():
app.debug = True
app.run(host="0.0.0.0", port=80)
if __name__=='__main__':
main()
特になんてことないFlaskのコードですが、以下のコードは忘れないよう気を付けてください。
app.run(host="0.0.0.0", port=80)
上記のコードですが、指定をしないとデフォルトでは以下のようになってしまいます。
ホストIP:127.0.0.1
ポート:5000
ポートは設定すればよいですが、IPが「127.0.0.1」だと外部からアクセスができなくなります。
「127.0.0.1」だと後でコンテナをローカルで実行した際にテストとしてブラウザに「http://localhost 」でwebサイトが表示されるかテストしますが、この時に表示されません。
ホストを"0.0.0.0"に設定すると外部から接続ができるようになり、コンテナを実行したとき「http://localhost 」でサイトを表示できます。
・Dockerfile
FROM ubuntu:22.04
RUN apt update
RUN apt -y install python3-pip
RUN pip3 install flask
COPY app.py /usr/src/app/
CMD python3 /usr/src/app/app.py
コマンドを1行ずつ説明するとこんな感じです。
・ベースイメージはubuntu を使用する。
・OS のアップデートをする。
・python3-pip をインストール。
・flask をインストール。
・同階層の app.py を /usr/src/app/ にコピー
・コンテナ実行時に /usr/src/app/app.py を実行する
Linuxを打てるターミナルやコマンドラインを開いて、Dockerfileがある階層に移動します。
そして以下を実行していきます。
$ docker image build .
writing image sha256:ccdebb6115dc5f0494ecd・・・(ランダムの文字列)
$ docker container run -p 80:80 ccdebb6115dc5f0494ecd・・・(ランダムの文字列)
Microsoft Edge や Google Chrome などで URLに「http://localhost 」と入力して「hello world」が表示されればOKです。
2. Dockerfileとアプリケーションファイルを ECR にプッシュ
まずは AWS コンソールの ECR のコンソールに移動します。
「プライベートリポジトリを作成する」というボタンがあるので、クリックします。
以下の画面が表示されますので、リポジトリ名を入力して、他はデフォルトで作成します。
レポジトリが作成されました。
「プッシュコマンドを表示」をクリックするとコマンドが4つ表示されます。
表示された4つのコマンドをローカル(あなたのPC)の Dockerfile があるディレクトリで実行します。
私は VS コードのターミナルで実行するので、「macOS/Linux」用のコマンドを一つずつ実行していきます。コマンドの内容は書いてある通りです。
4つ目のコマンドで latest(最新バージョン)のイメージが作成されました。
3. ECR から ECS のためのタスク定義の作成
ECR のレポジトリにイメージをプッシュできたら、そのイメージをもとにタスク定義を作成していきます。
このタスク定義から ECS サービスを作成することができます。
タスク定義は任意で問題ありません。CPU、メモリは「Hello-world」を表示させるだけなので一番小さいものにします。
名前は任意のものに設定します。今回は Python の Flask を使用しているので、「flask-web」とします。
イメージURIは、先ほど作成した ECR に書かれているので、コピーして貼り付けます。
ポートは任意ですが、今回は ELB から 80 番で接続して、内部の Flask も 80 番なので、両方とも80番で設定します。あとはデフォルトで問題ありません
CloudwatchLogsを取るように定義を設定します。
これで作成ボタンを押して定義の作成が完了です。
5. ECSがECRにアクセスできるようエンドポイント作成
この記事の冒頭の構成図から分かる通り、ECS はプライベートサブネットに作成します。しかし、ECR や Cloudwatch、S3 は VPC の外部にあり、プライベートサブネットから直接接続はできません。
プライベートサブネットから VPC 外のサービスにアクセスできるようにするには以下の選択肢があります。
・パブリックサブネットにECSを作成する。(セキュリティ上非推奨)
・Natgatewayを使用する。
・AWS のエンドポイントを作成する。
AWS サービスなら AWS エンドポイントを作成するのが最もセキュリティ上お勧めです。
それでは作成していきます。
エンドポイントを作成する前にエンドポイント用のセキュリティグループを作成してください。
セキュリティグループは以下の設定にしてください。エンドポイントの通信ポートは443です。
名前:SG-ForEndpoint-ECStest(任意で入力)
説明:(任意で入力)
インバウンド:ポート 443, IPアドレス → VPC CIDRブロック
アウトバウンド:すべて
VPC コンソールの エンドポイント コンソールから「エンドポイントを作成」ボタンを押します。
エンドポイントは以下の4つが必要です。
・com.amazonaws.region.ecr.dkr
・com.amazonaws.region.ecr.api
・com.amazonaws.region.s3 (ECR の後ろで動いているのが S3 のため必要です。)
・com.amazonaws.region.logs (先ほどタスク定義のところでCloudwatchLogsを取るようにしたため必要ですが、取らないならいりません。)
私は、エンドポイントの名前を分かりやすいようサービスをエンドポイントの名前に入れていますが、名前「Name」は好きなもので構いません。
ポリシーの下に作成ボタンがあるため、クリックを押して作成してください。
同じ要領で4つ作ります。S3だけはInterfaceではなくgatewayの設定で作成してください。
5. セキュリティグループ作成
ECS用のセキュリティグループとELB用のセキュリティグループを作成します。
記事冒頭の構成図を意識しながら設定してください。
ELB用のセキュリティグループ
- インバウンド:
- ルール1
- ポート:80
- ソース:0.0.0.0/0 (すべて)
- ルール2
- ポート:8080
- ソース:0.0.0.0/0 (すべて)
- ルール1
- アウトバウンド:
- すべて許可
ECS用のセキュリティグループ
- インバウンド:
- ルール1
- ポート:80
- ソース:ELB用のセキュリティグループ
- ルール2
- ポート:8080
- ソース:ELB用のセキュリティグループ
- ルール1
- アウトバウンド:
- すべて許可
6. ELB・ターゲットグループ作成
それでは、ELBを作成していきます。
冒頭の構成図では、80ポートでELBにアクセスするとECSにアクセスでき、8080番ポートでアクセスするとデプロイ前の新しいECSにテスト接続できるようになっていましたが、ECSサービス作成時にELBのターゲットとリスナーの詳細は設定・追加できるため、ここですべてを設定する必要はありません。
ここでは、80ポートリスナー分だけ作成していきます。もちろん現時点では ECS はないため、ターゲットは空の状態で作成する必要がります。
上記のように、ALB の作成の途中で、デフォルトアクションにターゲットグループを作成する必要があります。この時点だとターゲットグループは作成していないので、「ターゲットグループの作成」ボタンを押してターゲットグループ作成画面に遷移します。
ターゲットタイプは「IPアドレス」で設定して、ターゲットを空の状態で作成します。
ここまでで、ターゲットグループの作成は完了です。
先ほどのELBの画面に戻って作成したターゲットグループをデフォルトアクションに設定します。
これで作成ボタンを押して作成を押して、ELBが作成されるまで待ちます。
7. ECS Cluster、ECSサービスの作成
ECS Cluster と ECSサービスの関係ですが、Cluster の中に ECS サービスを展開して、その ECS サービスの中でタスクが展開されるという感じです。
ECS Cluster の作成方法は非常に簡単です。以下のように必要事項を記載して作成完了です。
ECSサービスの作成
ECSサービスを作成するのですが、ここで同時に CodedeployとELBのリスナーの設定もしていきます。
クラスターの「サービス」から「作成」ボタンを押して作成していきます。
「3. ECR から ECS のためのタスク定義の作成」章で事前に作成していたタスク定義を選択します。
ここでCodedeployの設定をします。詳細は後ほど、Codedeployで設定していきます。
Codedeployを操作できる権限のIAMロールを事前に作成し、ここで指定します。
ECS作成時にはネットワーキングは必須の設定です。間違えると展開しなおす必要があるので注意してください。
ここからはELB設定になります。
既存のリスナーにチェックを付けて、先ほど作成したELBのリスナーを指定します。
そして、「テストリスナーを追加」にチェックを入れると、テスト用のリスナーとターゲットグループを作成できるようになります。「テストリスナーを追加」にチェックを入れ、8080ポートのリスナーを作成します。
ターゲットグループを設定します。一つは「6. ELB・ターゲットグループ作成」で事前に作成したターゲットグループ、もうひとつは上記の画像で新たに作成したテスト用リスナーのターゲットグループを作成します。
そして、「作成」ボタンを押すと、ECS サービスとその中にタスクが作成されます。実行中になればサービスは正常に動いています。
ELBのDNSをブラウザで検索すると「hello world」が表示されたので成功です。
8. Codedeploy でサービスの更新およびテスト
概要
以下は冒頭に見せた構成図です。サービス更新の流れとしては以下のようにしたいともっています。
① サービスを更新すると新しい ECS が作成され、更新前のECSには引き続きアクセスができ、その新しいECSには8080ポートでテストができる。
② テストして問題なければ、本番ポートとテストポートを入れ替えて、新しい ECS が80ポートでアクセスできるようになる。まだ、問題が発生する可能性があるので、旧ECSは残している状態。
③ 運用して新しい ECS に問題ないことが分かれば、旧ECSは削除される仕組み
設定
「7. ECS Cluster、ECSサービスの作成」の章で、ECSサービスを展開するときにCodedeployの設定をしましたので、ECSを作成した時点で以下のように Codedeploy は既に作成されている状態になります。
アプリケーション名をクリックして、編集ボタンを押し、設定を見ていきますと、作成された時点では「すぐにトラフィックを再ルーティング」という設定になっています。この設定ですと、ECSサービスを更新したタイミングで、すぐにECSサービスが入れ替わりサイトが更新されてしまって、8080ポートを使ったテスト接続ができません。
なので、ルーティングを一定期間抑えたり、手動でルーティングを行えるように、「トラフィックを再ルーティングするタイミングを指定します」を選択し、時間は1時間を設定します。
これで、ECSを更新したら1時間ルーティングを待つようになります。この設定にすると手動でルーティングも可能です。
デプロイの挙動確認
上記の設定が完了したら、ECSサービスを更新していきましょう。
まずはローカルのコードを修正してECRにプッシュしなおします。
以下が新しいwebサイトのコードです。「hello world」を「hello world updated!!」に変えただけです。
from flask import Flask
from flask import g
from flask import render_template
from flask import request
from flask import Response
app = Flask(__name__)
@app.route('/')
def hello_world():
return "hello world updated!!"
def main():
app.debug = True
app.run(host="0.0.0.0", port=80)
if __name__=='__main__':
main()
「2. Dockerfileとアプリケーションファイルを ECR にプッシュ」の章と同じように4つのコマンドをローカルPCの Dockerfile がある階層で実行し、ECR にプッシュします。
すると以下のように、新しく上げたものがlatestとなり、イメージが2つになったことが分かります。
次にタスク定義を更新します。
既に作成していたタスク定義の中に入ると「新しいリビジョンの作成」というボタンがありますので、ここで新バージョンの定義を作成します。
「新しいリビジョンの作成」を押したら、3章の「3. ECR から ECS のためのタスク定義の作成」と同様 ECR のイメージ URI を入力する欄に新しい ECR イメージの URI を入力して作成すると、上記の画面に
「taskdef-ECStest:2」が作成されます。(すみません、キャプチャ取り忘れました)
ECSの画面に戻って、「更新」をクリックすると、ECSサービスの設定画面が表示されますので、
以下のようにリビジョンを「2(最新)」に設定します。他は変更せずに更新ボタンを押します。
すると以下のようにデプロイIDが表示されますので、クリックすると、Codedeployの画面に行きます。
しばらく待つとステップ2まで進みます。
この段階では以下の画像のように80ポートは更新前のECSで、8080ポートで新しいECSにテスト接続ができます。
右上に「トラフィックの・・・」で見切れてますが、「トラフィックの再ルーティング」というボタンがあって、これをクリックすると、テスト(新しいECSサービス)と本番(古いECSサービス)が入れ替わります。
「トラフィックの再ルーティング」をクリックするとステップ4まで進み、新しいECSが80ポートになり、古いECSが8080ポートで残っている状態になります。ここで「デプロイを停止してロールバック」を押すと古いECSに戻ります。
今回はこのまま「元スタックの終了」を押して、古いものを削除します。
以上が、Codedeployを使用したECS更新の流れになります。
本記事はこれですべて終了になります。最後までご覧いただきありがとうございましt