将环境属性与弹性 beanstalk 配置文件中的文件一起使用

Question

使用 Elastic Beanstalk .config 文件有点……有趣。我正在尝试在 Elastc Beanstalk .config 文件中使用带有 files: 配置选项的环境属性。我想做的是：

files:
    "/etc/passwd-s3fs" :
        mode: "000640"
        owner: root
        group: root
        content: |
            ${AWS_ACCESS_KEY_ID}:${AWS_SECRET_KEY}

要创建一个 /etc/passwd-s3fs 文件，其内容类似于：

ABAC73E92DEEWEDS3FG4E:aiDSuhr8eg4fHHGEMes44zdkIJD0wkmd

即使用 AWS 控制台 (Elastic Beanstalk/Configuration/Software Configuration/Environment Properties) 中定义的环境属性来初始化系统配置文件等。

我发现container-command:s 中可以使用环境属性，像这样：

container_commands:
    000-create-file:
        command: echo ${AWS_ACCESS_KEY_ID}:${AWS_SECRET_KEY} > /etc/passwd-s3fs

但是，这样做需要我手动设置所有者、组、文件权限等。与Files: 配置选项相比，处理更大的配置文件时也更麻烦...

有人对此有什么建议吗？

Answer 1

这样的事情怎么样。我将使用“上下文”这个词来表示 dev 与 qa。

为每个上下文创建一个文件：

开发环境变量

export MYAPP_IP_ADDR=111.222.0.1
export MYAPP_BUCKET=dev

qa-envvars

export MYAPP_IP_ADDR=111.222.1.1
export MYAPP_BUCKET=qa

将这些文件上传到私有 S3 文件夹 S3://myapp/config。

在 IAM 中，向 aws-elasticbeanstalk-ec2-role 角色添加一个允许读取 S3://myapp/config 的策略。

将以下文件添加到您的 .ebextensions 目录：

envvars.config

files:
  "/opt/myapp_envvars" :
    mode: "000644"
    owner: root
    group: root
    # change the source when you need a different context
    #source: https://s3-us-west-2.amazonaws.com/myapp/dev-envvars
    source: https://s3-us-west-2.amazonaws.com/myapp/qa-envvars

Resources:
  AWSEBAutoScalingGroup:
    Metadata:
      AWS::CloudFormation::Authentication:
        S3Access:
          type: S3
          roleName: aws-elasticbeanstalk-ec2-role
          buckets: myapp

commands:
  # commands executes after files per 
  # http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/customize-containers-ec2.html
  10-load-env-vars:
    command: . /opt/myapp_envvars

根据AWS Developer's Guide，命令“在设置应用程序和 Web 服务器以及提取应用程序版本文件之前运行”以及容器命令之前。我想问题是在启动过程中是否足够早，以便在需要时使环境变量可用。实际上，我最终编写了一个 init.d 脚本来启动和停止我的 EC2 实例中的操作。我使用上面的技术来部署脚本。

允许从安全 S3 下载的“资源”部分归功于 2014 年 5 月 7 日 Joshua@AWS 发给this thread 的帖子。

Answer 2

我假设您在应用部署之前就知道 AWS_ACCESS_KEY_ID 和 AWS_SECRET_KEY。

您可以在工作站上创建文件并将其提交到 Elastic Beanstalk 实例，代码位于$ git aws.push

$ cd .ebextensions
$ echo 'ABAC73E92DEEWEDS3FG4E:aiDSuhr8eg4fHHGEMes44zdkIJD0wkmd' > passwd-s3fs

在 .config 中：

files:
    "/etc/passwd-s3fs" :
        mode: "000640"
        owner: root
        group: root

container_commands:
    10-copy-passwords-file:
        command: "cat .ebextensions/passwd-s3fs > /etc/passwd-s3fs"

您可能必须使用权限或将cat 作为sudo 执行。此外，我将文件放入 .ebextensions 中，例如，它可以位于项目中的任何位置。

希望对你有帮助。

Answer 3

我正在挖掘坟墓，但由于我在旅行过程中偶然发现了这一点，因此有一种“聪明”的方式来做你所描述的事情——至少在 2018 年，至少从 2016 年开始。您可以使用get-config 键检索环境变量：

/opt/elasticbeanstalk/bin/get-config environment --key YOUR_ENV_VAR_KEY

同样的所有环境变量（如 JSON 或 --output YAML）

/opt/elasticbeanstalk/bin/get-config environment

容器命令中的示例用法：

container_commands:
    00_store_env_var_in_file_and_chmod:
        command: "/opt/elasticbeanstalk/bin/get-config environment --key YOUR_ENV_KEY | install -D /dev/stdin /etc/somefile && chmod 640 /etc/somefile"

文件中的示例用法：

files:
    "/opt/elasticbeanstalk/hooks/appdeploy/post/00_do_stuff.sh":
      mode: "000755"
      owner: root
      group: root
      content: |
        #!/bin/bash
        YOUR_ENV_VAR=$(source /opt/elasticbeanstalk/bin/get-config environment --key YOUR_ENV_VAR_KEY)
        echo "Hello $YOUR_ENV_VAR"

Thomas Reggi 在https://serverfault.com/a/771067 中向我介绍了 get-config。