CloudFormation

关于CloudFormation Template

Template就是一个text文本文件，文件内容的格式是json或yaml

Template里声明了要在Amazone创建或配置的resource，这些resource相互关联，组成了stack

Template声明顶层对象包括以下：

• AWSTemplateFormatVersion：可选

• Description：可选

• Parameters：可选

• Mappings：可选

• Resources：必须，Template至少要声明一个resource

• Outputs：可选

AWSTemplateFormatVersion对象

用于指定Template的版本，如果不指定，则CloudFormation会使用最新的版本

Description对象

用于对Template添加描述信息，可以是任何json或yaml格式的文本

Parameters对象

用于声明向Template传递的参数

通过参数，可以避免将敏感信息嵌入到template里

Parameters对象可以包含多个parameter对象，每个parameter对象又可以有多个attribute，其中type attribute是必须项

Default attribute表示默认值，Default attribute如果没有指定，则必须通过参数传递过来，否则创建stack时会报错

---

NoEcho

通过指定NoEcho attribute为true，可以将返回的参数信息做Data Masking处理(****)

NoEcho不会对以下attribute做Data Masking处理

• Metadata Section，CloudFormation不会对metadata里的任何信息做转换，修改或编辑处理

• Outputs Section

• Resouce Section的metadata attribute

注：强烈建议不要直接在CloudFormation Template里嵌入敏感信息(密码,验证信息等)，可将敏感信息存储在Template之外(比如Amazon Systems Manager Parameter Store 或者Amazon Secrets Manager)，再将敏感信息以动态传参的方式传入Template

---

参数的类型为以下：

• String

• Number

• Amazon的特定类型

---

通过以下两种方式验证参数的有效性：

• 声明约束(constraints)

  参数若是String类型，可以使用以下Attribute用于约束

  • MinLength

  • MaxLength

  • Default

  • AllowedValues

  • AllowedPattern

  参数若是Number类型，数字可以是整型或浮点型，可以使用以下Attribute用于约束

  • MinValue
  • MaxValue
  • Default
  • AllowedValues

• 为parameter的type attribute 指定Amazon的特定类型

  参数若是Amazon的特定类型，CloudFormation在创建stack资源之前，会根据用户帐户和要创建的stack的区域中的现有值验证参数值

Resources对象

Resources对象至少要包含一个reosurce对象

每一个resource对象都有对应的attribute，其中type attribute是必须的

每个attribute都是resource的子对象，它们都是自描述的

type attribute的格式是：

AWS::ProductIdentifier::ResourceType

比如Amazon S3 bucket的resource type是

AWS::S3::Bucket

---

不同type的resource会有不同的attribute，它们有的是必须的，有的是可选的，要根据实际情况而定，当没有显式的指定时，会使用默认值

比如创建bucket时，如果没有指定其他的attribute，则CloudFormation会使用默认值的设置这些attribute

Resources:
  HelloBucket:
    Type: AWS::S3::Bucket

---

在resource的声明里，可以使用Properties attribute来指定创建resource时需要的一些信息

不同type的resource可以有不同的property

每个resource的Properties可以有多个子项，每个子项的值都是string，比如：

Resources:
  HelloBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: PublicRead
      WebsiteConfiguration:
        IndexDocument: index.html
        ErrorDocument: error.html

---

CloudFormation Template可以创建多个resource，这些resource可以相互配合工作从而搭建起一个应用或解决方案

resource声明里的名称是逻辑名称，当CloudFormation创建这些resource时，会将逻辑名，stack名和unique id拼接起来作为这些资源的物理名

---

以下attribute是可以在任何resource里作为可选attribute

• DependsOn：用于指定该resource依赖于哪个resource

• DeletionPolicy ： 用于指定CloudFormation如何执行删除resource操作

• Metadata：用于指定使用resource构建的结构化数据

Mappings对象

类似java里的switch分支语句，可以根据需要，通过不同的输入值返回不同的结果

需要使用FindInMa函数

Mappings:
  RegionMap:
    us-east-1:
      AMI: ami-76f0061f
    us-west-1:
      AMI: ami-655a0a20
    eu-west-1:
      AMI: ami-7fd4e10b
    ap-southeast-1:
      AMI: ami-72621c20
    ap-northeast-1:
      AMI: ami-8e08a38f
Resources:
  Ec2Instance:
    Type: 'AWS::EC2::Instance'
    Properties:
      KeyName: !Ref KeyName
      ImageId: !FindInMap 
        - RegionMap
        - !Ref 'AWS::Region'
        - AMI
      UserData: !Base64 '80'

伪参数

AWS::Region

用于获取创建stack所在的region

AWS::CloudFormation::Stack

将其他stack作为一个resource嵌入到template中

函数

!Ref函数

用于指定某一个resource

Parameters:
  KeyName:
    Description: The EC2 Key Pair to allow SSH access to the instance
    Type: 'AWS::EC2::KeyPair::KeyName'
Resources:
  Ec2Instance:
    Type: 'AWS::EC2::Instance'
    Properties:
      SecurityGroups:
        - !Ref InstanceSecurityGroup
        - MyExistingSecurityGroup
      KeyName: !Ref KeyName
      ImageId: ami-7a11e213
  InstanceSecurityGroup:
    Type: 'AWS::EC2::SecurityGroup'
    Properties:
      GroupDescription: Enable SSH access via port 22
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: '22'
          ToPort: '22'
          CidrIp: 0.0.0.0/0

!GetAZs函数

用于获取一个region下所有可用的zones列表

!GetAtt函数

用于获取resource的指定attribute

有两个参数，第一个参数是要获取attribute所在的resource，第二个参数是想要获取的resource的attribute

Resources:
  myBucket:
    Type: 'AWS::S3::Bucket'
  myDistribution:
    Type: 'AWS::CloudFront::Distribution'
    Properties:
      DistributionConfig:
        Origins:
          - DomainName: !GetAtt 
              - myBucket
              - DomainName
            Id: myS3Origin
            S3OriginConfig: {}
        Enabled: 'true'
        DefaultCacheBehavior:
          TargetOriginId: myS3Origin
          ForwardedValues:
            QueryString: 'false'
          ViewerProtocolPolicy: allow-all

!FindInMap函数

用于匹配mapping的值

!Join函数

用于拼接值

有两个参数，第一个参数是拼接符，第二个参数是一个数组

返回结果是用第一个参数表示的拼接符，按照第二个参数表示的数组中元素的顺序将各个元素拼接起来

例：

HealthCheck:
        Target: !Join 
          - '-'
          - - 123
            - 456
            - 789

结果：Target的值是123-456-789

!ImportValue函数

引用其他stack导出的resource

更新Template

Template中的resource是可以更新的

基本操作就是在本地将Template更新好后，通过console上传，CloudFormation会查看并更新stack

CloudFormation只会对更新部分做更新，未更新部分仍会保持原样

---

当更新Template时，需要考虑以下几点：

• 当需要更新resource时，是否会对resource本身后者其他关联的resource有影响，比如更新instance type时，需要先停止instance然后再启动，这样可能就会对业务有影响
• 确定更新是可变还是不可变的，一些resource的property的更新是不被底层的服务支持的；如果property支持更新，则底层服务使用modify或update类型的api；如果property不支持更新，则会用更新的属性创建新的resource，并链接到stack中，最后删除就的resource；在stack重新配置期间，应用将无法完全运行，比如请求和后台访问等

Security

Cloud Security是Amazone最高的层级的Security

技巧

模块化组织stack

最好不要将所有的resource都放到一个stack中，最好按照不同的目的将resource分类，不同的类别放到放到不同的stack中

组织stack的方式有以下两种：

• 多层架构

  就是将所有stack组织划分成各个层级，每个层级都各自依赖于其他层级，每个层级又可以有多个stack

• 面向服务架构(SOA)

  根据业务逻辑，将不同的业务划分为不同的service，然后根据需求将不同的service整合到同一个stack中，这些stack之间相互协同

使用跨stack引用导出共享resource

如果一个stack中需要使用另外一个stack里的resource，可以通过hard code或参数的方式实现，但是这样会使Template的维护变得困难

如果通过跨stack引用的方式，将一个stack中的resource导出，这样其他stack就可以引用导出的resource了

使用ImportValue函数可以其他stack导出的resource

验证所有类型reource的配额

在启动stack之前，需要确保所创建的所有resource不要超过账户对应的resource上限

比如，默认一个账号在一个region可创建最多200个stack，但如果该账号创建的stack数超过了200，则CloudFormation在创建这些stack时会失败，直到把账号的200个stack上限提高

多环境下复用Template

Template在dev环境开发好后，还要在tst环境测试，并最终发布到prd环境

但是不同的环境下，设置可能会有不同，比如dev环境所需要的配置可能会低于prd或tst环境，但环境配置外的部分应该都是不变的

因此，将配置部分通过参数，mapping等方式做自定义化，这样同一个Template可以在三个环境同时使用了

使用模块复用resource配置

随着使用资源不断增长，可以将一些共通的组件整合到一起，使用Modules是一个很好的方式

使用Amazon特定的参数类型

如果Template要求既存的Amazon特定值作为参数，则使用Amazone特定的参数类型，这样CloudFormation可以很快的通过验证

使用参数约束

通过使用参数约束，CloudFormation可以捕捉到不合法的参数

使用AWS::CloudFormation::Init来发布软件应用到EC2实例

使用最新版本的helper scripts

使用Template前先验证

使用Template创建stack之前，请先通过CloudFormation验证下Template是否有错误，包括语法错误，依赖关联等

CloudFormation 首先先验证Template是否是合格的json格式，如果不是则验证是否是合格的yaml格式，若都不是，则会返回验证错误

验证Template是否符合公司的安全要求

通过CloudFormation来管理所有stack资源

不要通过CloudFormation之外更新调整resource，这样会使用=resource和Template的描述不一致，从而导致通过Template更新resource时会报错

在更新stack前创建change set

更新stack之前创建change set，即可通过检查change set确定本次更新是否符合预期及评估影响

使用stack policy

使用stack policy可以防止一些重要的resource不被更新，因为有些重要的resource更新时会影响业务

比如数据库实例，更新是会停止运行

stack policy就是一个json文档，用于描述在哪些resource上会执行哪些操作

在stack更新过程中，必须显式的指定哪些被保护的resource是要被更新的，否则这些被保护的resource是不会被更新的

通过代码review及版本控制管理Template

像管理代码源文件一样，管理Template

review Template可确保质量，同时确保历史各个时期版本的完整，保证出问题时可以追根朔源

定期更新EC2 linux实例

对于所有EC2 linux实例以及通过CloudFormation创建的EC2 linux实例，要定期通过yum update命令更新，确保获得最新的版本