uiyzzi
柚子

柚子/告别手动部署:我如何用 Lambda 和标签,为 ECS 服务打造一套“自动巡航”更新系统

Created Tue, 29 Jul 2025 00:00:00 +0000 Modified Tue, 29 Jul 2025 04:00:43 +0000
By 柚子 2717 Words 12 min Edit
AWS

我们团队维护着一套基于 AWS ECS 的微服务架构。起初,服务数量不多,每次发布新镜像后,我们都习惯性地登录控制台,找到对应的服务,手动点击“更新服务”并选择“强制新部署”。这在早期还能应付,但随着业务的扩张,微服务数量的增长,这个流程变得越来越像一场噩梦:

  1. 效率低下: 一次发布可能涉及十几个服务的更新,纯“人肉”操作,耗时且枯燥。

  2. 风险极高: 手忙脚乱中,漏掉一个服务、选错一个集群是常有的事,轻则功能不一致,重则引发线上故障。

我下定决心,必须终结这种“石器时代”的部署方式。我需要一套“自动巡航”系统:开发人员只需将新镜像推送到 ECR 仓库,相关的 ECS 服务就应该能自动感知并触发更新。

从“配置地狱”到“标签驱动”:如何优雅地解耦“镜像”与“服务”

这是整个自动化任务的核心挑战:系统如何知道哪个 ECR 仓库的更新,应该触发哪个 ECS 服务的部署?

提出问题 (Why): 为什么不能简单粗暴地硬编码?

我脑海里冒出的第一个想法,也是最“简单粗暴”的,就是在 Lambda 函数里维护一个映射关系。

# 千万别这么干!这是一个反面教材
def get_service_for_repo(repository_name):
    if repository_name == 'user-service-repo':
        return ('main-cluster', 'user-service')
    elif repository_name == 'product-service-repo':
        return ('main-cluster', 'product-service')
    # ... 再加几十个 elif
    else:
        return (None, None)

想想就头疼。 这简直是给自己挖了一个“配置地狱”。每当有新服务上线,或者服务与仓库的对应关系发生变化,我就必须去修改并重新部署这个 Lambda 函数。这种设计,耦合度太高,违反了“开闭原则”,可维护性几乎为零。

另一个想法是“约定优于配置”,比如强制要求 ECR 仓库名与 ECS 服务名完全一致。但这同样缺乏灵活性。在真实世界里,一个镜像可能被多个服务(例如,一个给欧洲用户,一个给亚洲用户)使用,这种硬性约定很快就会被打破。

我需要一种更动态、更解耦的方案。我希望服务能“自我介绍”,主动声明:“嘿!我依赖于这个 ECR 仓库!”

展示方案 (How): 让“标签”成为沟通的桥梁

灵感来自于 AWS 的 标签(Tag) 系统。标签就像是贴在云资源上的便利贴,我们可以用它来分类、计费、做权限控制,当然,也可以用它来存储元数据!

我的方案是:

  1. 约定一个标签键: 我定义了一个统一的标签键,例如 auto-redeploy-from-ecr

  2. 为服务打标签: 对于任何需要自动更新的 ECS 服务,我都给它打上这个标签,标签的 值(Value) 就是它所依赖的 ECR 仓库的名称。

  3. Lambda 按图索骥: 当 Lambda 被 ECR 推送事件触发后,它不再关心具体的服务名叫什么,而是向 AWS 发出一个请求:“请帮我找到所有‘便利贴’上写着 auto-redeploy-from-ecr = <repository_name> 的 ECS 服务。”

这个流程的核心,是利用 Resource Groups Tagging API 这个强大的 API 来实现“按签寻物”。

这是我的 Lambda 核心代码:

import boto3
import json

# 使用 Resource Groups Tagging API 客户端,这是我们的“寻宝”工具
tagging_client = boto3.client('resourcegroupstaggingapi')
ecs_client = boto3.client('ecs')

# 定义我们约定好的“便利贴”的键
TAG_KEY_FOR_ECR_SOURCE = 'auto-redeploy-from-ecr'

def lambda_handler(event, context):
    print(f"收到的原始事件: {json.dumps(event)}")

    # 从事件中提取仓库名
    repository_name = event['detail']['repository-name']
    print(f"检测到仓库 '{repository_name}' 更新。开始基于标签查找关联服务...")

    try:
        # 使用 Tagging API 这个“寻宝”工具来查找资源
        response = tagging_client.get_resources(
            ResourceTypeFilters=['ecs:service'], # 只找 ECS 服务
            TagFilters=[
                {
                    'Key': TAG_KEY_FOR_ECR_SOURCE,
                    'Values': [repository_name] # 值必须是刚刚更新的仓库名
                }
            ]
        )

        service_arns = [item['ResourceARN'] for item in response.get('ResourceTagMappingList', [])]

        if not service_arns:
            print(f"未找到任何带有标签 '{TAG_KEY_FOR_ECR_SOURCE}={repository_name}' 的 ECS 服务。")
            return

        print(f"找到 {len(service_arns)} 个需要更新的服务: {service_arns}")

        # 遍历并更新找到的服务
        for arn in service_arns:
            # 从 ARN 中解析出集群和服务名,非常巧妙
            cluster_name = arn.split('/')[-2]
            service_name = arn.split('/')[-1]

            print(f"准备更新服务 '{service_name}' 于集群 '{cluster_name}'...")
            ecs_client.update_service(
                cluster=cluster_name,
                service=service_name,
                forceNewDeployment=True # 强制进行一次新的部署
            )

        print("所有关联服务已成功触发更新。")
        return {'statusCode': 200, 'body': '更新成功触发'}

    except Exception as e:
        print(f"处理过程中发生错误: {e}")
        return {'statusCode': 500, 'body': f"处理失败: {e}"}

为了让这个 Lambda “听”到 ECR 的消息,我配置了一个 Amazon EventBridge 规则,它就像一个敏锐的哨兵:

{
  "source": ["aws.ecr"],
  "detail-type": ["ECR Image Action"],
  "detail": {
    "action-type": ["PUSH"],
    "result": ["SUCCESS"]
  }
}

当任何 ECR 仓库有成功的镜像 PUSH 操作时,这个“哨兵”就会立刻通知我的 Lambda 函数。

分享踩坑经验 (The “Pits”)

看似完美的方案,在实施过程中依然踩了几个不大不小的坑。

第一个坑:被遗忘的“寻宝”API

我承认,我一开始并不知道 Resource Groups Tagging API 的存在。我的第一版代码逻辑是这样的:

  1. ecs_client.list_clusters() 获取所有集群 ARN。

  2. 遍历每个集群,用 ecs_client.list_services() 获取该集群下所有服务 ARN。

  3. 遍历每个服务,用 ecs_client.describe_services() 获取服务的详细信息,其中就包括标签。

  4. 在代码里进行比对,如果标签匹配,就执行更新。

这个方案在服务少的时候还能跑,但如果服务数量超过几十个,Lambda 的执行时间急剧增加,日志里全是密密麻麻的 API 调用记录。这就像为了找一本书,却把整个国家图书馆的书架都翻了一遍,而不是去查阅图书索引。 后来,在不断的 Google 搜索中,我发现了 Resource Groups Tagging API,这个 API 就是 AWS 官方提供的“图书索引”,它将筛选和查找的工作下沉到了 AWS 后端,性能和效率完全不是一个量级。

第二个坑:权限的最小化原则,说易行难

在配置 Lambda 的 IAM 角色时,为了图方便,我一开始给了它一个非常宽泛的权限,比如 ecs:*tag:*,资源(Resource)都是 *

// 错误示范:权限过大,像一把“大砍刀”
{
    "Effect": "Allow",
    "Action": "ecs:*", // 过于危险
    "Resource": "*"
}

这当然能工作,但在安全审计时绝对是一个巨大的红灯。自动化脚本的权限应该像一把 “手术刀”,精准而克制。经过反复推敲和测试,我最终将权限策略收紧到最小可用范围:

// 最终的、安全的 IAM 策略
{
    "Version": "2025-07-28",
    "Statement": [
        {
            "Sid": "CloudWatchLogsAccess",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        },
        {
            "Sid": "FindServicesByTag",
            "Effect": "Allow",
            "Action": "tag:GetResources", // 只给寻宝的权限
            "Resource": "*" // 这个 API 要求 Resource 为 *
        },
        {
            "Sid": "UpdateAllECSServices",
            "Effect": "Allow",
            "Action": "ecs:UpdateService", // 只给更新服务的权限
            // 资源 ARN 尽可能精确,避免跨区域/跨账户操作
            "Resource": "arn:aws:ecs:*:*:service/*/*"
        }
    ]
}

这个过程让我深刻体会到,安全永远不是“事后弥补”,而应该在设计之初就融入血液。

整体优化与反思

解决了核心问题后,我还进行了一些优化思考:

  • 错误处理与告警: 当前的代码只是简单地打印错误日志。一个更健壮的系统应该在 try-except 块中加入更明确的告警机制,比如当 ecs:UpdateService 调用失败时,通过 SNS 发送通知到邮件或 Slack,确保问题能被及时发现。

  • 可扩展性: 这套基于标签的架构具有极佳的可扩展性。未来,无论我们增加多少新服务,都不需要再动一行代码。DevOps 工程师或开发人员只需要遵循一个简单的流程:创建新服务时,记得给它贴上正确的“便利贴”(标签)即可。这大大降低了维护成本。

总结

这次从手动到自动的探索之旅,收获颇丰。总结下来,有几点核心启示:

  • 标签是 AWS 资源最好的“胶水”。 它们是实现资源动态发现和解耦的利器,远比硬编码或命名约定更灵活、更强大。

  • 永远优先使用专门的 API。 针对特定场景,AWS 通常都提供了更高性能的 API(如 Resource Groups Tagging API),善用它们能让你的应用事半功倍。

  • 自动化脚本的权限必须是“手术刀”,而不是“大砍刀”。 遵循最小权限原则,是保障云环境安全的生命线。

  • CI/CD 的最后一公里,值得用心打磨。 自动化部署不仅提升效率,更能降低风险,是现代软件工程不可或缺的一环。

希望我踩过的这些坑,能为你铺平前进的道路。如果你在构建自己的自动化部署流程时有其他好点子,欢迎在评论区和我交流!