CodeBuild(CodePipeline)をVPCで実行するシーンでは、以下のようにプロキシ指定を駆使する必要があるケースがあると思います。
- 外部通信にプロキシ(HTTP_PROXY,HTTPS_PROXY)を利用する
- AWSサービスへの通信のうち、VPCエンドポイントが提供されている場合は、VPCエンドポイント経由(NO_PROXY)とする
- プロキシ設定は、パラメータストアに入れて集約したい
パラメータストアに、http_proxy,https_proxy,no_proxyを登録して、CodeBuildの環境変数でパラメータストア参照にすれば良いかなと試しましたがうまく行きません。
これを実現する方法を記載します。
前提
- CodePipelineから、Github -> CodeBuildの形で、CodePipelineからCodeBuildは実行する流れ
- CodeBuildはbuildspec内で、proxyやvpcエンドポイントへの通信が必要となる
- パラメータストアに、
http_proxy、https_proxy、no_proxyを定義している
結論
- CodeBuildの環境変数
no_proxyは、.s3.ap-northeast-1.amazonaws.com,ssm.ap-northeast-1.amazonaws.comをPLAINTEXTで登録 - CodeBuildの環境変数
http_proxy、https_proxyは、パラメータストア参照で登録 - buildspecの中で、
no_proxyをパラメータストアから読み出し、環境変数に設定する
buildspec.yml
version: 0.2
env:
parameter-store:
ps_no_proxy: no_proxy # パラメータストアからno_proxyの値を読み出す
phases:
install:
commands:
- unset no_proxy # この時点のno_proxyは、s3とssmがセットされているのでno_proxyをリセット
- export no_proxy="$ps_no_proxy" # パラメータストアから読み出したno_proxyの値で設定
- echo $http_proxy # CodeBuildの環境変数にパラメータストア参照で設定しているためパラメータストアのhttp_proxyの値がセットされている
- echo $https_proxy # 同上
試したこと
冒頭の記載の通り、以下のように全てのプロキシ設定をCodeBuildの環境変数でパラメータストアを参照するとうまく行きません
以下のように、DOWNLOAD_SOURCEの箇所でエラーとなってしまいます。
CLIENT_ERROR: RequestError: send request failed caused by: Get "https://codepipeline-ap-northeast-1-xxxxxxxxx.s3.ap-northeast-1.amazonaws.com/xxxxxx/SourceArti/xxxxxx": proxyconnect tcp: dial tcp :80: connect: connection refused for primary source and source version arn:aws:s3:::codepipeline-ap-northeast-1-xxxxxxx/xxxxxx/SourceArti/xxxxx
- パラメータストアを利用せずに、PLAINTEXTで設定してもうまく行きます。
-
.s3.ap-northeast-1.amazonaws.com,ssm.ap-northeast-1.amazonaws.comをPLAINTEXTで指定している理由は、ソースステージのアーティファクトがS3にあるため、とパラメータストア(SSM)から値を読み出すためにVPCエンドポイントを経由するためです。