[AWS] ECR: pull 방식 gitops 적용

#AWS

Build와 Deploy의 책임을 분리할지 말지는 별거 아닌것처럼 보이지만 Devops와 보안 관점에서는 꽤 깊이있게 다뤄지는 것 같다.

k8s에서 흔히 말하는 pull 방식의 gitops에서는 build와 deploy를 아예 분리해서 관리하는 것을 권장하는 모양새다. Build 책임자가 빌드를 수행해서 이미지 레지스트리에 이미지를 push하면, Deploy 책임자가 이미지 push를 감지하고 배포를 수행하는 것이다.

자세한 내용은 별도 포스트를 참조한다.
https://blog.naver.com/sssang97/223122991133

AWS에서도 원한다면 이러한 전략을 취할 수 있다.
Cloudwatch Event만 사용해도 어렵지 않게 워크플로를 구성하는 것이 가능하다.

먼저 Event 규칙 생성페이지로 이동해서

이벤트 패턴이 있는 규칙 선택

이벤트 패턴은 대략 위와 같은 형태로 구성하면 된다.
저러면 ECR에 이미지가 성공적으로 push될때마다 트리거를 걸 수 있다.
저기서는 레포지토리 지정을 하지 않았지만, 특정하는 것도 가능하다.

대상으로는 원하는 트리거 대상을 고르면 된다.
AWS의 CodeStack으로만 배포를 제어하고 싶다면 Code Pipeline을, 아니면 그 외의 수단으로 제어를 하고 싶다면 Lambda 같은 걸로 중개자를 띄우고 신호를 보내게끔 할 수도 있겠다.

이벤트 페이로드는 이런 식으로 나온다.

{
  "account": "123456789012",
  "detail": {
    "action-type": "PUSH",
    "image-digest": "sha256:f98d67af8e53a536502bfc600de3266556b06ed635a32d60aa7a5fe6d7e609d7",
    "image-tag": "latest",
    "repository-name": "ubuntu",
    "result": "SUCCESS",
    "manifest-media-type": "application/vnd.oci.image.manifest.v1+json",
    "artifact-media-type": "application/vnd.oci.image.config.v1+json"
  },
  "detail-type": "ECR Image Action",
  "id": "4f5ec4d5-4de4-7aad-a046-56d5cfe1df0e",
  "region": "us-east-1",
  "resources": [],
  "source": "aws.ecr",
  "time": "2019-08-06T00:58:09Z",
  "version": "0"
}

detail에서 꺼내쓰면 된다.

참조
https://stackoverflow.com/questions/58464687/aws-trigger-a-pipeline-on-ecr-push-action