この記事は、AWS Lambda と Serverless Advent Calendar 2021 16日目の投稿です。
1.はじめに
2020年12月にAWS Lambda はコンテナイメージのサポート開始を発表しました。
ECSやEKSといったコンテナ系のサービスだけでなく、Lambdaでもコンテナネイティブな開発環境を作ることができます。
これまでのLambda関数のデプロイ方法は下記の通りです。
- マネージメントコンソールからソースコードを編集する
- ZIPファイルをアップロードする
- Amazon S3に配置したZIPファイルをデプロイする
上記の3つに加えてECRに配置したコンテナイメージをデプロイする方式が利用可能になりましたので、
こちらを利用した開発ワークフローをCI/CD環境をCircleCIで構築してみました。
2.本記事の対象者
- CircleCIを利用したい方
- コンテナイメージをLambdaにデプロイしたい方
3.CircleCIとは
4.AWS Lambdaにデプロイするコンテナイメージ
GO言語で作成したAPIとなります。本記事はこちらのコンテナイメージを利用しています。
- 開発したもの
- DynamoDBへ接続をサーバレスで実装
- APIエンドポイント
- https://*************.execute-api.ap-northeast-1.amazonaws.com/dev/V1/<コマンド>
- GETリクエスト
| コマンド | パラメータ | 説明 |
|---|---|---|
| actuator-health | なし | DynamoDBへ接続し値が返却されるかどうかを確認し、 接続有無をJSON形式で通知 |
5.CI/CD構成
①GitHubへpush
②指定のリポジトリにpushされたことをトリガーにして、CircleCIを起動します。
③リポジトリ内のconfig.ymlの構成に従い、コンテナイメージを作成後にECRにPush
④Lambdaの更新・作成
⑤③でPushしたイメージを取得する
6.IAMユーザの作成
CircleCIからAWSのリソースを扱うためには、CircleCI用のIAMユーザーを作成・権限付与をし、アクセスキーを払い出す必要があります。ロールは以下の2つを付与します。
- AmazonEC2ContainerRegistryFullAccess
- AWSLambda_FullAccess
作成したIAMユーザーのアクセスキーとシークレットアクセスキーはCircleCIの環境変数へ後ほど使うので、忘れないようにどこかに控えておきます。
7.CI/CDのセットアップ
CI/CDに必要なファイルを作成していきます。
(プロジェクトルートディレクトリ)/
└── src
│ └── ・・・・ # サンプルプログラム
└── Dockerfile # コンテナイメージ作成用ファイル
└── .circleci
└── config.yml # CircleCIの設定ファイル
7-1.Dockerfileの作成
Dockerファイルの設定は下記の通りです。
# FROM でベースのコンテナイメージを指定
FROM golang:1.17.2-alpine
MAINTAINER kemper0530
ENV GOPATH /go
ENV PATH=$PATH:$GOPATH/src
# COPYでコンテナイメージにバンドルするファイルを指定
ENV PATH=$PATH:$GOPATH/src/github.com/kemper0530/go-lambda-api-demo/src
WORKDIR $GOPATH/src/github.com/kemper0530/go-lambda-api-demo
COPY /src $GOPATH/src/github.com/kemper0530/go-lambda-api-demo/src
# モジュールの依存関係を作成
RUN go mod init go-lambda-api-demo
RUN go mod tidy
# ビルド
RUN GOOS=linux go build -o go-lambda-api-demo ./src
# ENTRYPOINTでLambda Functionのエントリポイント(handler)を指定
ENTRYPOINT ["/go/src/github.com/kemper0530/go-lambda-api-demo/go-lambda-api-demo"]
7-2.config.ymlの作成
config.ymlファイルの設定は下記の通りです。
CircleCIのOrbsを利用するためバージョン2.1を指定しております。
version: 2.1
# Orbsの利用
orbs:
aws-ecr: circleci/aws-ecr@6.15.3
aws-cli: circleci/aws-cli@2.0
go: circleci/go@1.7.0
# ワークフローの定義
workflows:
version: 2
test_and_build_and_deploy:
jobs:
- test
- aws-ecr/build-and-push-image:
region: AWS_REGION
account-url: AWS_ECR_ACCOUNT_URL
repo: "${AWS_RESOURCE_NAME_PREFIX}"
create-repo: true
requires:
- test
filters:
branches:
only: main
- aws-lambda-deploy:
requires:
- aws-ecr/build-and-push-image
filters:
branches:
only: main
# ジョブの定義
jobs:
test:
executor:
name: go/default
tag: '1.17'
steps:
- checkout
- go/load-cache
- go/mod-download
- go/save-cache
- go/test:
packages: ./tests
covermode: atomic
failfast: true
race: true
aws-lambda-deploy:
executor: aws-cli/default
steps:
- checkout
- aws-cli/setup
- run:
name: Deploy Lambda
command: |
DIGEST=$(aws ecr list-images --repository-name ${AWS_RESOURCE_NAME_PREFIX} --out text --query "imageIds[?imageTag=='${AWS_ECR_IMAGE_TAG}'] | [0].imageDigest")
if ! aws lambda get-function --region ${AWS_REGION} --function-name ${LAMBDA_FUNCTION} > /dev/null 2>&1; then
aws lambda create-function \
--function-name ${LAMBDA_FUNCTION} \
--package-type Image \
--code ImageUri=${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION}.amazonaws.com/${AWS_RESOURCE_NAME_PREFIX}@${DIGEST} \
--region ${AWS_REGION} \
--environment "Variables={GO_ENV="production",PORT=${PORT}}" \
--role ${AWS_LAMBDA_ROLE}
else
aws lambda update-function-code \
--function-name ${LAMBDA_FUNCTION} \
--image-uri ${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION}.amazonaws.com/${AWS_RESOURCE_NAME_PREFIX}:${AWS_ECR_IMAGE_TAG} \
--region ${AWS_REGION}
fi
7-2-1.Orbsの宣言
そもそも、CircleCIに限らずCI/CDで設定ファイルの中身は結局の所、「コマンドベース」で指定していく形となっていました。
そんな煩わしい定義を「パッケージ」としてまとめたのがorbsです。
例えば、ECRへコンテナイメージをPushする場合は下記の作業が必要となります。
- docker buildコマンドでコンテナイメージを作る
- docker loginでECRにログインする
- docker tagで1で作ったコンテナイメージに、AWS指定の名前・タグ付けを行う
- 3のイメージをECRにdocker pushする
上記の作業に対して何のコマンドを実行するのかを定義しなくてはいけませんでした。
Orbsを利用することでconfig.ymlへの記載内容を大幅に簡素化できます。
今回は「aws-ecr」と「aws-cli」と「circleci/go」のOrbsを利用します。
orbs:
aws-ecr: circleci/aws-ecr@6.15.3
aws-cli: circleci/aws-cli@2.0
go: circleci/go@1.7.0
7-2-2.テストの実施
Orbsを利用してgoのテストを実施します。
executor:
name: go/default
tag: '1.17'
steps:
- checkout
- go/mod-download
- go/test:
packages: ./tests
7-2-3.ECRへのPUSH
Orbsを利用してコンテナイメージをECRへPUSHします。
『aws-ecr/build-and-push-image』と記載してパラメータを設定するだけで、
パラメータ内容に基づいてコンテナイメージ作成してECRへPUSHまでを実施してくれます。
...
- aws-ecr/build-and-push-image:
region: AWS_REGION
account-url: AWS_ECR_ACCOUNT_URL
repo: "${AWS_RESOURCE_NAME_PREFIX}"
create-repo: true
...
- reigion リージョン
- account-url AmazonECRアカウントのURL(例:{アカウントID} .dkr.ecr.{リージョン}.amazonaws.com)
- repo リポジトリ名
- create-repo 対象リポジトリ名がなかったら新規作成するか
7-2-4.Lambdaへのデプロイ
Lambdaへのデプロイについてはaws-cliのOrbsを利用し、AWS-CLIを利用し、
肝心なデプロイ部分はコマンドを書いていきます。(ECR→LambdaへデプロイするOrbsがないため)
・・・
aws-lambda-deploy:
executor: aws-cli/default
steps:
- checkout
- aws-cli/setup
- run:
name: Deploy Lambda
command: |
DIGEST=$(aws ecr list-images --repository-name ${AWS_RESOURCE_NAME_PREFIX} --out text --query "imageIds[?imageTag=='${AWS_ECR_IMAGE_TAG}'] | [0].imageDigest")
if ! aws lambda get-function --region ${AWS_REGION} --function-name ${LAMBDA_FUNCTION} > /dev/null 2>&1; then
aws lambda create-function \
--function-name ${LAMBDA_FUNCTION} \
--package-type Image \
--code ImageUri=${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION}.amazonaws.com/${AWS_RESOURCE_NAME_PREFIX}@${DIGEST} \
--region ${AWS_REGION} \
--environment "Variables={DBMS=${DBMS},DB_NAME=${DB_NAME},DB_PASS=${DB_PASS},DB_PROTOCOL=${DB_PROTOCOL},DB_USER=${DB_USER},PORT=${PORT}}" \
--role ${AWS_LAMBDA_ROLE}
else
aws lambda update-function-code \
--function-name ${LAMBDA_FUNCTION} \
--image-uri ${AWS_ACCOUNT_ID}.dkr.ecr.${AWS_REGION}.amazonaws.com/${AWS_RESOURCE_NAME_PREFIX}:${AWS_ECR_IMAGE_TAG} \
--region ${AWS_REGION}
fi
・・・
7-3.CircleCIの利用準備
下記へアクセスしログインを実施する
https://circleci.com/ja/vcs-authorize/
対象のリポジトリを選択し「SetupProject」を押下
「Let's Go」を押下
CircleCIの環境変数に設定します
- AWS_REGION: リージョン(例:ap-northeast-1)
- AWS_ECR_ACCOUNT_URL: {アカウントID}.dkr.ecr.{リージョン}.amazonaws.com
- AWS_RESOURCE_NAME_PREFIX: ECRのリポジトリ名
- AWS_ACCESS_KEY_ID: アクセスキー
- AWS_SECRET_ACCESS_KEY: シークレットキー
- LAMBDA_FUNCTION: Lambdaの関数名
- AWS_LAMBDA_ROLE: Lambdaで利用するIAMのロール
- AWS_ACCOUNT_ID: AWSアカウントID
8.デモ
mainブランチにpushするとCircleCIが動き出す
↓
完了
↓
ECRのマネージメントコンソール確認
↓
Lambdaの関数を確認
9.まとめ
- コンテナイメージをサポートしたことで、ECS、EKSと同じようなデプロイフローに乗せることができるようになる。(ECRに集めてそこからデプロイ)
- 個人開発程度であれば、コスト面でもLambdaのコンテナイメージは非常に有効。
- ECS,EKSは起動している分課金が発生するが、Lambdaはリクエスト100万件あたり0.20USD(東京リージョン)
- CircleCI Orbsを利用することで設定ファイルの記述が簡素化できたので、設定ファイルの属人化が排除できると感じた。
- 基本的にLambdaを利用する場合、Lambda以外のリソースも必要になるのでそれらを含めたデプロイを考える必要がある。
- HTTPリクエストを受けたい場合はAPIGatewayが必要だし、Cronみたいに定期実行させたい場合にはEventBridgeが必要である。純粋にLambdaだけで済むケースはない。
参考