소개
이 가이드에서는 GitHub Actions를 사용하여 컨테이너화된 애플리케이션을 빌드하고, Amazon ECR(Elastic Container Registry)에 푸시하고, main 분기에 대한 푸시가 있는 경우 Amazon ECS(Elastic Container Service)에 배포하는 방법을 설명합니다.
GitHub 리포지토리의 main에 대한 모든 새로운 푸시에서 GitHub Actions 워크플로는 새 컨테이너 이미지를 빌드하고 Amazon ECR에 푸시한 다음 Amazon ECS에 새 작업 정의를 배포합니다.
참고: GitHub Actions 워크플로가 OIDC(OpenID Connect)를 지원하는 클라우드 공급자의 리소스에 액세스해야 하는 경우 클라우드 공급자에게 직접 인증하도록 워크플로를 구성할 수 있습니다. 이렇게 하면 이러한 자격 증명을 수명이 긴 비밀로 저장하지 않을 수 있고 다른 보안 이점을 제공할 수 있습니다. 자세한 내용은 "AUTOTITLE"을 참조하세요. 및 "Amazon Web Services에서 OpenID Connect 구성."
필수 조건
GitHub Actions 워크플로를 만들기 전에 먼저 Amazon ECR 및 ECS에 대한 다음 설정 단계를 완료해야 합니다.
-
이미지를 저장할 Amazon ECR 리포지토리를 만듭니다.
예를 들어 AWS CLI를 사용합니다.
Shell --repository-name MY_ECR_REPOSITORY \ --region MY_AWS_REGIONEnsure that you use the same Amazon ECR repository name (represented here by
MY_ECR_REPOSITORY) for theECR_REPOSITORYvariable in the workflow below.Ensure that you use the same AWS region value for the
AWS_REGION(represented here byMY_AWS_REGION) variable in the workflow below. -
Create an Amazon ECS task definition, cluster, and service.
For details, follow the Getting started wizard on the Amazon ECS console, or the Getting started guide in the Amazon ECS documentation.
Ensure that you note the names you set for the Amazon ECS service and cluster, and use them for the
ECS_SERVICEandECS_CLUSTERvariables in the workflow below. -
Store your Amazon ECS task definition as a JSON file in your GitHub repository.
The format of the file should be the same as the output generated by:
Shell aws ecs register-task-definition --generate-cli-skeletonEnsure that you set the
ECS_TASK_DEFINITIONvariable in the workflow below as the path to the JSON file.Ensure that you set the
CONTAINER_NAMEvariable in the workflow below as the container name in thecontainerDefinitionssection of the task definition. -
Create GitHub Actions secrets named
AWS_ACCESS_KEY_IDandAWS_SECRET_ACCESS_KEYto store the values for your Amazon IAM access key.For more information on creating secrets for GitHub Actions, see "암호화된 비밀."
See the documentation for each action used below for the recommended IAM policies for the IAM user, and methods for handling the access key credentials.
-
Optionally, configure a deployment environment. 환경은 일반적인 배포 대상(예:
production,staging또는development)을 설명하는 데 사용됩니다. GitHub Actions 워크플로가 환경에 배포되면 환경이 리포지토리의 기본 페이지에 표시됩니다. 환경을 사용하여 작업을 진행하도록 승인하거나, 워크플로를 트리거할 수 있는 분기를 제한하거나, 사용자 지정 배포 보호 규칙을 사용하여 배포를 제어하거나, 비밀에 대한 액세스를 제한할 수 있습니다. 환경 만들기에 대한 자세한 내용은 "배포에 환경 사용"을 참조하세요.
Creating the workflow
Once you've completed the prerequisites, you can proceed with creating the workflow.
The following example workflow demonstrates how to build a container image and push it to Amazon ECR. It then updates the task definition with the new image ID, and deploys the task definition to Amazon ECS.
Ensure that you provide your own values for all the variables in the env key of the workflow.
배포 환경을 구성한 경우 환경의 이름으로 environment 값을 변경합니다. 환경을 구성하지 않은 경우 또는 워크플로가 프라이빗 리포지토리에 있고 GitHub Enterprise Cloud를 사용하지 않는 경우 environment 키를 삭제합니다.
# 이 워크플로는 GitHub에서 인증되지 않은 작업을 사용합니다.
# 작업은 타사에서 제공하며
# 별도의 서비스 약관, 개인정보처리방침, 지원 설명서에서 규정됩니다.
# 참조하세요.
# 커밋 SHA에 작업을 고정하는 것이 좋습니다.
# 최신 버전을 얻으려면 SHA를 업데이트해야 합니다.
# 태그 또는 분기를 참조할 수도 있지만 경고 없이 작업이 변경될 수 있습니다.
name: Deploy to Amazon ECS
on:
push:
branches:
- main
env:
AWS_REGION: MY_AWS_REGION # set this to your preferred AWS region, e.g. us-west-1
ECR_REPOSITORY: MY_ECR_REPOSITORY # set this to your Amazon ECR repository name
ECS_SERVICE: MY_ECS_SERVICE # set this to your Amazon ECS service name
ECS_CLUSTER: MY_ECS_CLUSTER # set this to your Amazon ECS cluster name
ECS_TASK_DEFINITION: MY_ECS_TASK_DEFINITION # set this to the path to your Amazon ECS task definition
# file, e.g. .aws/task-definition.json
CONTAINER_NAME: MY_CONTAINER_NAME # set this to the name of the container in the
# containerDefinitions section of your task definition
jobs:
deploy:
name: Deploy
runs-on: ubuntu-latest
environment: production
steps:
- name: Checkout
uses: actions/checkout@v3
- name: Configure AWS credentials
uses: aws-actions/configure-aws-credentials@0e613a0980cbf65ed5b322eb7a1e075d28913a83
with:
aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
aws-region: ${{ env.AWS_REGION }}
- name: Login to Amazon ECR
id: login-ecr
uses: aws-actions/amazon-ecr-login@62f4f872db3836360b72999f4b87f1ff13310f3a
- name: Build, tag, and push image to Amazon ECR
id: build-image
env:
ECR_REGISTRY: ${{ steps.login-ecr.outputs.registry }}
IMAGE_TAG: ${{ github.sha }}
run: |
# Build a docker container and
# push it to ECR so that it can
# be deployed to ECS.
docker build -t $ECR_REGISTRY/$ECR_REPOSITORY:$IMAGE_TAG .
docker push $ECR_REGISTRY/$ECR_REPOSITORY:$IMAGE_TAG
echo "image=$ECR_REGISTRY/$ECR_REPOSITORY:$IMAGE_TAG" >> $GITHUB_OUTPUT
- name: Fill in the new image ID in the Amazon ECS task definition
id: task-def
uses: aws-actions/amazon-ecs-render-task-definition@c804dfbdd57f713b6c079302a4c01db7017a36fc
with:
task-definition: ${{ env.ECS_TASK_DEFINITION }}
container-name: ${{ env.CONTAINER_NAME }}
image: ${{ steps.build-image.outputs.image }}
- name: Deploy Amazon ECS task definition
uses: aws-actions/amazon-ecs-deploy-task-definition@df9643053eda01f169e64a0e60233aacca83799a
with:
task-definition: ${{ steps.task-def.outputs.task-definition }}
service: ${{ env.ECS_SERVICE }}
cluster: ${{ env.ECS_CLUSTER }}
wait-for-service-stability: true추가 리소스
원래의 시작 워크플로는 GitHub Actions starter-workflows 리포지토리의 aws.yml을 참조하세요.
예제에서 사용된 도구에 대한 자세한 내용은 다음 설명서를 참조하세요.
- Amazon AWS 설명서의 “AM의 보안 모범 사례.”
- 공식 AWS “AWS 자격 증명 구성” 작업.
- 공식 AWS Amazon ECR “로그인” 작업.
- 공식 AWS Amazon ECS “렌더링 작업 정의” 작업.
- 공식 AWS Amazon ECS “작업 정의 배포” 작업.