Bitbucket PipelinesとAWS CodePipelineを連携する！

19778 ワード

AWS Bitbucket CodePipline AWS テキストリンク

背景

とある案件でCI/CD パイプラインをAWS CodePipelineで実装することになったのだが、以下の諸々の制約を解消する連携方法を模索することになった。

ソース管理にはBitbucketを使用する
作成するパイプラインでは複数のAWSサービス(CodeDeployやSSM Automation、CloudFormation）と連携が必要
一つのBitbucketリポジトリから起動したいパイプラインの種類が複数ある

関連する各種サービスの仕様は以下の通り。

CodePiplineのソースとしてはBitbucketはサポートされていない
CodePipelineのソースとしてS3はサポートされている
CodeBuildはBitbucketと連携可能

ということで、当初はこんな感じの構成を考えていた。

ところが、後になって以下の制約が判明！

セキュリティ上Bitbucketは特定のIPアドレスの範囲からしかアクセスできない

AWS CodeBuildとしては以下の仕様があるのでIPアドレスの範囲に追加してもらうことを交渉してみる。

CodeBuildはVPC内で実行することも可能

しかし、お客様がCodeBuildからもBitbucketにアクセスできるようにすることに乗り気でなかったのでBitbucketのパイプライン機能に白羽の矢を立てることになる。
いろいろ調べたところBitbucket Pipelinesの機能で色々と出来ることが判明し、一気に問題は解決の方向へ！

Bitbucket Pipelinesで特定のブランチへの更新やタグ付けに反応してパイプラインを起動可能
Bitbucket Pipelinesの他サービスとの連携機能(Pipesと呼ぶ)にはS3へのデプロイ用のPipeもあるのでS3経由でCodePiplineと連携が簡単にできる

これらを踏まえ以下の流れでBitbucketをソースとしたCodePiplineの起動が出来るようになった。

実装の手順

ここでは、実際にBitbucket PipelinesとCodePiplineを構成し連携するための手順を記載する。

CodePiplineの構成

連携用S3バケットの作成

S3のコンソールからバケットを作成するをクリック

任意の名前を入力して作成をクリック
作成したバケットを開く
プロパティを選択
バージョニングを選択
バージョニングを有効化を選択して保存
有効化されたことを確認

※CodePipeのソースステージで指定するバケットはバージョニングを有効化している必要がある

CodePipelineの作成

CodePiplineのコンソールからパイプラインを作成する
任意のパイプライン名を入力し、サービスロールで新しいサービスロールを選択して次に
ソースステージのプロバイダーにAWS S3を選択し、バケットに事前に作成したバケット名を、オブジェクトキーにsource.zipを入力し次に
ビルドステージのプロバイダーでAWS CodeBuildを選択し、プロジェクトを作成する
別のウィンドウが開くので、以下の項目を入力してCodePipelineに進む
※デフォルトからの変更点のみ

項目名	値
プロジェクト名	任意の名前
オペレーティングシステム	Amazon Linux 2
ランタイム	Standard
イメージ	aws/codebuild/amazonlinux2-x86_64-standard:3.0
ビルド仕様	ビルドコマンドの挿入

※ビルドコマンドはエディターを開くことで直接編集可能
内容は以下を設定

version: 0.2
phases:
  install:
    runtime-versions:
      python: 3.7
    commands:
      - ls -R

中身はPython 3.7のランタイムをインストールしたコンテナ上でls コマンドを実行するのみ

元の画面のビルドプロジェクト名に入力した値が反映されたことを確認の上次に
デプロイステージは今回はスキップするので導入段階をスキップ
表示されるダイアログでもスキップをクリック
CodePipeline全体の構成を確認しパイプラインを作成する
AWS CodePipelineは作成時に必ず起動するが、この段階ではS3にsource.zipが存在していないため必ずエラーになる

Bitbucket Pipelinesで使用するIAMユーザーの作成

IAMのコンソールからユーザーメニューを選択しユーザーを追加
任意のユーザー名を入力し、プログラムによるアクセスを選択し、次のステップ
このまま次のステップ
このまま次のステップ
このユーザーにはアクセス権限がありませんと表示されるが、そのままユーザーの作成
- ユーザー作成中にはインラインポリシーの作成が出来ないため一度作成を完了している
自動的にアクセスキーIDとシークレットアクセスキーが発行されるのでコピーするかcsvをダウンロードしておく
作成されたユーザーを選択
インラインポリシーの追加を選択
JSONタブを選択
以下のJSONのResource内のS3のARNのバケット名を先ほど作成したものに変更してからコピペしたらポリシーの確認をクリック
※以下の太字部分を変更
arn:aws:s3:::bitbucket-sourcecodeとarn:aws:s3:::bitbucket-sourcecode/*

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bitbucket-sourcecode",
                "arn:aws:s3:::bitbucket-sourcecode/*"
            ]
        }
    ]
}

任意のポリシー名を入力しポリシーの作成

Bitbucket Pipelinesの構成

Bitbucket リポジトリの作成

Bitbucketにアクセスしリポジトリメニューからリポジトリを作成
任意のプロジェクト名とリポジトリ名を入力しリポジトリの作成

Pipelinesの有効化

Pipelinesメニューを選択
下部に今回のPipelineで使用する言語テンプレートの選択箇所があるので今回はPythonを選択
言語を選択した時点で自動的にエディターが開き、Pipelineの構成ファイルの初期テンプレートを設定してくれる
初期の状態だと起動トリガー（ブランチやタグ）を指定していない状態になっている

image: python:3.7.3

pipelines:
  default:
    - step:
        caches:
          - pip
        script: # Modify the commands below to build your repository.
          - pip install -r requirements.txt

起動トリガーをmasterブランチに変更があった場合のみにするため以下のように編集する

image: python:3.7.3

pipelines:
  branches:
    master:
      - step:
          caches:
            - pip
          script: # Modify the commands below to build your repository.
            - pip install -r requirements.txt

さらにエディターの右ペインに使用できるPipeが表示されるので、検索用のテキストエリアにs3を入力し、AWS S3 DeployPipeを表示する
Pipe名の横のコピーアイコンをクリックするとSnippetがコピーできる
コピーされるSnippetは以下の通り

- pipe: atlassian/aws-s3-deploy:0.4.4
  variables:
    AWS_ACCESS_KEY_ID: '<string>' # Optional if already defined in the context.
    AWS_SECRET_ACCESS_KEY: '<string>' # Optional if already defined in the context.
    AWS_DEFAULT_REGION: '<string>' # Optional if already defined in the context.
    S3_BUCKET: '<string>'
    LOCAL_PATH: '<string>'
    # CONTENT_ENCODING: '<string>' # Optional.
    # ACL: '<string>' # Optional.
    # STORAGE_CLASS: '<string>' # Optional.
    # CACHE_CONTROL: '<string>' # Optional.
    # EXPIRES: '<timestamp>' # Optional.
    # DELETE_FLAG: '<boolean>' # Optional.
    # EXTRA_ARGS: '<string>' # Optional.
    # DEBUG: '<boolean>' # Optional.

このSnippetも参考にしつつ設定した最終的な実装は以下の通り
この内容でCommit fileをクリックする

# This is a sample build configuration for Python.
# Check our guides at https://confluence.atlassian.com/x/x4UWN for more examples.
# Only use spaces to indent your .yml configuration.
# -----
# You can specify a custom docker image from Docker Hub as your build environment.
image: python:3.7.3

pipelines:
  branches:
    master:
      - step:
          caches:
            - pip
          script: # Modify the commands below to build your repository.
            - apt update && apt install -y zip
            - zip -r source.zip * -x "./.git/*"
            - mkdir to_s3
            - cp source.zip ./to_s3
            - pipe: atlassian/aws-s3-deploy:0.4.4
              variables:
                AWS_ACCESS_KEY_ID: $AWS_ACCESS_KEY_ID # Optional if already defined in the context.
                AWS_SECRET_ACCESS_KEY: $AWS_SECRET_ACCESS_KEY # Optional if already defined in the context.
                AWS_DEFAULT_REGION: $AWS_DEFAULT_REGION # Optional if already defined in the context.
                S3_BUCKET: 'bitbucket-sourcecode'
                LOCAL_PATH: './to_s3'
39c4-4b67ef4143a0.png)

処理は以下の通り
- zipコマンドのインストール
- .gitディレクトリ以外の内容をsource.zipに圧縮
- to_s3ディレクトリにsource.zipをコピー
- aws-s3-deployのパイプを以下の変数で実行
  - AWS_ACCESS_KEY_ID:環境変数AWS_ACCESS_KEY_IDから取得
  - AWS_SECRET_ACCESS_KEY:環境変数AWS_SECRET_ACCESS_KEYから取得
  - AWS_DEFAULT_REGION:環境変数AWS_DEFAULT_REGIONから取得
  - S3_BUCKET:前の手順で作成したS3バケット名
  - LOCAL_PATH: source.zipをコピーしたto_s3ディレクトリを指定
設定した内容がbitbucket-pipelines.ymlとしてmasterブランチに登録される
masterブランチへの変更があったとみなされすぐに初回のPipelineが起動するが環境変数の設定をしていないため初回は以下のように失敗する

環境変数へAWS認証情報を設定

Repository settingsメニューを選択し、PIPELINESセクションのRepository variablesを選択
以下の環境変数を作成する
- securedをチェックすると値をmaskして保管できるのでシークレットアクセスキーはmaskすると良い

変数名	値
AWS_ACCESS_KEY_ID	IAMユーザーの作成時にコピーした値
AWS_SECRET_ACCESS_KEY	IAMユーザーの作成時にコピーした値
AWS_DEFAULT_REGION	ap-northeast-1

実行

masterブランチへの変更

Bitbucketのリポジトリのソースメニューを選択し、右上のリポジトリのドロップダウンメニューからファイルを追加を選択
リポジトリ直下に任意のファイルを作成しコミットする
コミットのコメントの内容を確認しコミットする
masterへの変更によりPipelineが起動しているはずなのでPipelinesメニューを選択
#2として今コミットした内容でパイプラインが起動しているのでStatusのIn Progressを選択し、Pipelineを開く
S3へのアップロードが完了するとPipelineのステータスがSuccessになるのでそれまで待機
Bitbucket Pipelineが完了するとAWS CodePipelineが起動しているはずなのでCodePipelineのコンソールを開くと初回は失敗していたSourceステージをクリアして先に進んだことが分かる
Buildステージの詳細をクリックするとCodeBuildのログが参照できる
buildspecで仕込んだlsコマンドでbitbucketのファイルが連携できていることが確認できた

所感

Good
- 環境に依存する設定ファイルの配布などをBitbucket側で吸収しておくことで、AWS CodePipelineは環境に依存する処理が不要になった
- パイプラインのトリガーをbitbucket-pipelines.yamlのみで管理できるため見通しが良い
- CodeBuildでBitbucketのファイルを取得する構成にする場合はパイプラインの数分CodeBuildのプロジェクトが必要なので、作成するリソースを少なくすることが出来た
Bad
- 時々BitbucketのIncidentによりWebhookが停止してしまい、Bitbucket Pipelineが起動しないことあるため運が悪いとデプロイが出来ない時間が発生する
- 契約しているプランごとに使用できる時間に以下の制約がある
  - Premiumでも制約あり

Author And Source

この問題について(Bitbucket PipelinesとAWS CodePipelineを連携する！), 我々は、より多くの情報をここで見つけました https://qiita.com/strada/items/1a84f1ff6599c8cd2179

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .