在会话管理器中查看运行的内部 - Amazon CodeBuild
先决条件暂停构建启动构建Connect 到构建容器恢复构建
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在会话管理器中查看运行的内部

InAmazon CodeBuild,你可以暂停正在运行的构建然后使用Amazon Systems Manager会话管理器连接到构建容器并查看容器的状态。

注意

此功能在 Windows 环境中不可用。

先决条件

要允许会话管理器与构建会话一起使用,必须为构建启用会话连接。有两个先决条件:

  • CodeBuild Linux 标准精选映像已安装 SSM 代理并启用 SSM 代理容器模式。

    如果要为构建使用自定义映像,请执行以下操作:

    1. 安装 SSM Agent 有关更多信息,请参阅 。在适用于 Linux 的 EC2 实例上手动安装 SSM Agent中的Amazon Systems Manager用户指南。SSM Agent 版本必须为 3.0.1295.0 或更高版本。

    2. 复制文件https://github.com/aws/aws-codebuild-docker-images/blob/master/ubuntu/standard/4.0/amazon-ssm-agent.json/etc/amazon/ssm/映像中的目录。这将在 SSM 代理中启用容器模式。

  • CodeBuild 服务角色必须具有以下 SSM 策略:

    {
  "Effect": "Allow",
  "Action": [
    "ssmmessages:CreateControlChannel",
    "ssmmessages:CreateDataChannel",
    "ssmmessages:OpenControlChannel",
    "ssmmessages:OpenDataChannel"
  ],
  "Resource": "*"
}

    启动构建时,您可以让 CodeBuild 控制台自动将此策略附加到服务角色。或者,您可以手动将此策略附加到服务角色。

  • 如果您有审计和记录会话活动在 Systems Manager 首选项中启用,CodeBuild 服务角色还必须具有其他权限。权限会有所不同,具体取决于日志的存储位置。

    CloudWatch Logs

    如果使用 CloudWatch Logs 存储日志,请向 CodeBuild 服务角色添加以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:DescribeLogGroups",
      "Resource": "arn:aws:logs:<region-id>:<account-id>:log-group:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:<region-id>:<account-id>:log-group:<log-group-name>:*"
    }
  ]
}
    Amazon S3

    如果使用 Amazon S3 存储您的日志,请向 CodeBuild 服务角色添加以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetEncryptionConfiguration",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::<bucket-name>",
        "arn:aws:s3:::<bucket-name>/*"
      ]
    }
  ]
}

    有关更多信息,请参阅 。审计和记录会话活动中的Amazon Systems Manager用户指南.

暂停构建

要暂停构建,请插入codebuild-breakpoint在构建规范文件的任何构建阶段中执行命令。此时构建将暂停,这允许您连接到构建容器并在其当前状态下查看容器。

例如,将以下内容添加到构建规范文件的构建阶段。

phases:
  pre_build:
    commands:
      - echo Entered the pre_build phase...
      - echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

此代码创建/tmp/hello-world文件,然后此时暂停构建。

启动构建

要允许会话管理器与构建会话一起使用,必须为构建启用会话连接。为此,在启动构建时,请按照以下步骤操作:

  1. 打开Amazon CodeBuild控制台在https://console.aws.amazon.com/codesuite/codebuild/home.

  2. 在导航窗格中,选择 Build projects。选择构建项目,然后选择 Start build

  3. 选择 Advanced build overrides (高级构建覆盖)

  4. 环境部分,选择启用会话连接选项。如果未选择此选项,则所有codebuild-breakpointcodebuild-resume命令将被忽略。

  5. 环境部分,选择AllowAmazon CodeBuild修改此服务角色以便它可用于此构建项目选项允许 CodeBuild 控制台自动将会话管理器策略附加到服务角色。如果您已将会话管理器策略添加到您的角色,则无需选择此选项。

  6. 进行任何其他所需的更改,然后选择启动构建.

  7. 在控制台中监控构建状态。当会话可用时,Amazon会话管理器链接会出现在生成包状态部分。

Connect 到构建容器

您可以采用以下两种方法之一连接到构建容器:

CodeBuild 控制台

在 Web 浏览器中,打开Amazon会话管理器链接以连接到构建容器。将打开一个终端会话,允许您浏览和控制构建容器。

Amazon CLI
注意

为此过程,您的本地计算机必须安装会话管理器插件。有关更多信息,请参阅 。安装会话管理器插件AmazonCLI中的Amazon Systems Manager用户指南。

  1. 调用batch-get-buildsapi 使用构建 ID 来获取有关构建的信息,包括会话目标标识符。会话目标标识符属性名称根据aws命令。这就是为什么--output json将添加到命令中。

    aws codebuild batch-get-builds --ids <buildID> --region <region> --output json

  2. 复制sessionTarget属性值。这些区域有:sessionTarget属性名称可能因输出类型而异。aws命令。这就是为什么--output json在上一步中添加到命令中。

  3. 使用以下命令连接到构建容器。

    aws ssm start-session --target <sessionTarget> --region <region>

对于此示例,请验证/tmp/hello-world文件存在且包含文本Hello World.

恢复构建

检查完构建容器后,发出codebuild-resume来自容器 shell 的命令。

$ codebuild-resume