ecs-deploy

镜像概述和主要用途

ecs-deploy是一个用Go编写的REST API服务器，用于从任何地方部署ECS服务，通常作为部署流水线的一部分。由于Jenkins、CircleCI、Bitbucket等持续集成（CI）软件往往缺乏与ECS的原生集成，该API服务器可部署在ECS上，提供ECS的持续部署能力，解决CI工具与ECS集成不足的问题。

核心功能和特性

• 在DynamoDB中注册服务
• 创建ECR仓库
• 创建必要的IAM角色
• 创建ALB目标和监听器规则
• 基于JSON/YAML输入创建和更新ECS服务
• 支持SAML的Web UI，可用于重新部署/回滚版本、添加/更新/删除参数、查看事件/容器日志、扩缩容以及运行手动任务
• 支持ECS容器实例的扩容和缩容

Web UI演示

使用场景和适用范围

适用于需要将CI/CD流水线与AWS ECS集成的场景，特别是当现有CI工具缺乏原生ECS部署能力时。可用于自动化部署流程、管理ECS服务生命周期（部署、回滚、扩缩容）、监控服务状态和日志，以及配置自动扩缩容策略，适用于开发、测试和生产环境的ECS集群管理。

使用方法和配置说明

下载

可从发布页面下载ecs-deploy和ecs-client，或使用Docker Hub镜像。

引导ECS集群

使用ecs-deploy可以引导新的ECS集群，自动设置自动扩缩组、ALB、IAM角色和ECS集群：

bash
./ecs-deploy --bootstrap \
  --alb-security-groups sg-*** \  # ALB安全组
  --cloudwatch-logs-enabled \        # 启用CloudWatch日志
  --cloudwatch-logs-prefix mycompany \ # CloudWatch日志前缀
  --cluster-name mycluster \          # 集群名称
  --ecs-desired-size 1 \              # ECS期望实例数
  --ecs-max-size 1 \                  # ECS最大实例数
  --ecs-min-size 1 \                  # ECS最小实例数
  --ecs-security-groups sg-*** \   # ECS安全组
  --ecs-subnets subnet-*** \       # ECS子网
  --environment staging \             # 环境（如staging、prod）
  --instance-type t2.micro \          # 实例类型
  --key-name mykey \                  # SSH密钥名称
  --load***-domain cluster.in4it.io \ # ALB域名
  --paramstore-enabled \              # 启用参数存储
  --paramstore-kms-arn aws:arn:kms:region:accountid:key/1234 \ # KMS ARN
  --paramstore-prefix mycompany \     # 参数存储前缀
  --profile your-aws-profile \        # AWS凭证配置文件
  --region your-aws-region            # AWS区域（必填）

注意：需先创建安全组和VPC/子网。ALB安全组应允许80/443端口入站，ECS安全组应允许来自ALB的32768-61000端口流量。如需删除集群，将--bootstrap替换为--delete-cluster。

使用Terraform引导集群

也可通过Terraform部署ECS集群，详见Terraform模块文档。

部署到ECS集群

使用ecs-client部署示例服务（如nginx和echoserver）：

交互式登录

bash
./ecs-client login --url [***]

使用环境变量登录

bash
ECS_DEPLOY_LOGIN=deploy ECS_DEPLOY_PASSWORD=password ./ecs-client login --url [***]

部署服务

bash
./ecs-client deploy -f examples/services/multiple-services/multiple-services.yaml

配置说明（环境变量）

AWS相关变量

• AWS_REGION=region：AWS区域（必填）

认证变量

• JWT_SECRET=secret：JWT加密密钥（必填）
• DEPLOY_PASSWORD=deploy：部署用户密码（必填）
• DEVELOPER_PASSWORD=developer：开发用户密码（必填）

服务部署相关变量（部署服务时使用）

• AWS_ACCOUNT_ENV=dev|staging|testing|qa|prod：AWS账户环境标识
• PARAMSTORE_ENABLED=yes：是否启用参数存储（默认：no）
• PARAMSTORE_PREFIX=mycompany：参数存储前缀（如设为mycompany，参数路径为/mycompany/服务名/变量）
• PARAMSTORE_KMS_ARN=：用于加密/解密参数的KMS ARN
• CLOUDWATCH_LOGS_ENABLED=yes：是否启用CloudWatch日志（默认：no）
• CLOUDWATCH_LOGS_PREFIX=mycompany：CloudWatch日志前缀
• LOAD***_DOMAIN=mycompany.com：负载均衡器域名

DynamoDB变量

• DYNAMODB_TABLE=Services：存储服务信息的DynamoDB表名（默认：Services）

ECR变量

• ECR_SCAN_ON_PUSH=true：是否启用ECR镜像推送时扫描（默认：false）

SAML认证变量（启用SAML时需配置）

• SAML_ENABLED=yes：启用SAML认证（默认：no）
• SAML_ACS_URL=[***]：SAML断言消费者服务URL
• SAML_CERTIFICATE=证书内容：SAML证书内容
• SAML_PRIVATE_KEY=私钥内容：SAML私钥内容
• SAML_METADATA_URL=[***]：身份提供商元数据URL

生成SAML密钥和证书的命令：

bash
openssl req -x509 -newkey rsa:2048 -keyout myservice.key -out myservice.cert -days 3650 -nodes -subj "/CN=myservice.mycompany.com"

自动扩缩容配置

自动扩缩容设置

通过以下步骤启用自动扩缩容：

1. 创建SNS主题，添加HTTPS订阅（URL：[***]）
2. 创建ECS任务/服务的CloudWatch事件规则
3. 创建EC2自动扩缩组生命周期钩子，并配置CloudWatch事件触发SNS主题

自动扩缩容策略

• 扩容触发条件：当集群中最大容器（按资源计算）无法调度时触发扩容
• 缩容触发条件：当移除一个节点后仍有足够容量容纳最大容器（含缓冲）时触发缩容

自动扩缩容配置参数（环境变量）

自动扩缩容策略类型