Long Ngo
Trong bài blog này, chúng ta sẽ tìm hiểu cách sử dụng AWS Serverless Application Model (SAM) để triển khai một API serverless đơn giản theo mô hình "Hello World". Hướng dẫn này sẽ dẫn bạn qua các bước từ việc cài đặt môi trường, khởi tạo ứng dụng, xây dựng, triển khai, đến xóa tài nguyên trên AWS Cloud. Ứng dụng mẫu sẽ bao gồm một hàm AWS Lambda, một endpoint API Gateway và các vai trò IAM cần thiết.
Trong thời đại công nghệ hiện nay, serverless computing đang trở thành xu hướng phổ biến nhờ khả năng giảm chi phí vận hành và tăng tính linh hoạt. AWS Serverless Application Model (SAM) là một công cụ mạnh mẽ giúp các nhà phát triển dễ dàng xây dựng và triển khai ứng dụng serverless trên AWS. Trong bài viết này, chúng ta sẽ tìm hiểu cách triển khai một API serverless đơn giản bằng SAM và tự động hóa quy trình triển khai bằng GitHub Actions, sử dụng xác thực OpenID Connect (OIDC) để tăng cường bảo mật.
Bài viết này sẽ hướng dẫn bạn qua các bước cụ thể, từ việc khởi tạo ứng dụng SAM, triển khai thủ công, đến thiết lập tự động hóa với GitHub Actions. Hướng dẫn được viết với giọng văn thân thiện, dễ hiểu, phù hợp cho cả người mới bắt đầu và người đã có kinh nghiệm với AWS.
AWS SAM (Serverless Application Model) là một framework mã nguồn mở giúp các nhà phát triển xây dựng và triển khai ứng dụng serverless trên AWS. SAM sử dụng AWS CloudFormation để định nghĩa cơ sở hạ tầng và tài nguyên như Lambda Functions, API Gateway, và DynamoDB. Một số đặc điểm nổi bật của SAM:
Một số lệnh SAM CLI phổ biến:
sam init: Khởi tạo một ứng dụng serverless mới.sam build: Chuẩn bị ứng dụng serverless cho kiểm thử cục bộ hoặc triển khai lên AWS.sam deploy: Triển khai ứng dụng serverless lên AWS Cloud.sam delete: Xóa tài nguyên của ứng dụng serverless bằng cách xóa CloudFormation stack.Trước khi bắt đầu, bạn cần chuẩn bị:
Ứng dụng mẫu trong hướng dẫn này là một API "Hello World" đơn giản, bao gồm:
| Tài nguyên | Mô tả |
|---|---|
| Lambda Function | Xử lý logic của API |
| API Gateway | Cung cấp endpoint để truy cập API |
| S3 Bucket | Lưu trữ artifact triển khai |
| CloudFormation | Quản lý và triển khai cơ sở hạ tầng |
Lưu ý: Hiện tại phiên bản 1.42 đang có lỗi khi chạy lệnh deploy. Mọi người cài đặt bản 1.42 trở về trước nhé. Vào trang https://github.com/aws/aws-sam-cli/releases để download và install theo hướng dẫn ở đây nhé
https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/install-sam-cli.html
Để bắt đầu, chúng ta sử dụng lệnh sam init để tạo một ứng dụng mẫu.
sam init
soa-sam-app. 
Sau khi chạy lệnh, thư mục dự án sẽ có cấu trúc như sau:
└── soa-sam-app
├── README.md
├── __init__.py
├── events
│ └── event.json
├── hello_world
│ ├── __init__.py
│ ├── app.py
│ └── requirements.txt
├── samconfig.toml
├── template.yaml
└── tests
├── __init__.py
├── integration
│ ├── __init__.py
│ └── test_api_gateway.py
├── requirements.txt
└── unit
├── __init__.py
└── test_handler.py
template.yaml: Định nghĩa cơ sở hạ tầng của ứng dụng (Lambda Function, API Gateway, v.v.).hello_world/app.py: Chứa mã nguồn của Lambda Function.Tiếp theo, chúng ta xây dựng ứng dụng bằng lệnh sam build để chuẩn bị các artifact cần thiết cho triển khai.
cd soa-sam-app
sam build
Lệnh này sẽ:
.aws-sam chứa các artifact đã được xây dựng. 
Để triển khai ứng dụng, sử dụng lệnh sam deploy --guided.
sam deploy --guided
Lệnh này sẽ:
sam-app), vùng AWS (ví dụ: us-east-1), và bucket S3 để lưu trữ artifact.Các steps:
Sau khi triển khai, bạn có thể kiểm tra API bằng cách gửi yêu cầu HTTP đến endpoint được cung cấp.
https://{Invoke URL}/hello
samconfig.tomlĐể tự động hóa triển khai bằng GitHub Actions mà không cần lưu trữ thông tin xác thực AWS lâu dài, chúng ta sử dụng xác thực OIDC.
A PhongNX đã có một bài giải thích rất kỹ vì sao nên sử dụ OIDC mình sẽ để link ở đây và không giải thích lại:
Tham khảo thêm bài của a Phong : Integrating GitHub Actions with AWS Using OIDC authentication
https://token.actions.githubusercontent.com.sts.amazonaws.com.token.actions.githubusercontent.com).AWSLambdaFullAccessAmazonS3FullAccessCloudFormationFullAccessAmazonAPIGatewayAdministrator để quản lý API Gateway.SOA-GitHubActions-SAMDeploy.{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::YOUR_ACCOUNT_ID:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
"token.actions.githubusercontent.com:sub": "repo:YOUR_GITHUB_USERNAME/YOUR_REPO_NAME:ref:refs/heads/main"
}
}
}
]
}
Sample của mình :
YOUR_ACCOUNT_ID bằng ID tài khoản AWS của bạn.YOUR_GITHUB_USERNAME và YOUR_REPO_NAME bằng tên người dùng và kho lưu trữ GitHub của bạn.Để tự động hóa triển khai, chúng ta tạo một workflow GitHub Actions.
.github/workflows và file deploy.yml:name: Apiapp auto build
on:
push:
paths:
- 'hello_world/**' # Kích hoạt workflow khi có thay đổi trong thư mục hello_world
permissions:
id-token: write # Quyền ghi token để xác thực với AWS
contents: read # Quyền đọc nội dung repository
repository-projects: write # Quyền ghi vào projects của repository
jobs:
deploy-sam:
runs-on: ubuntu-latest # Chạy job trên máy Ubuntu mới nhất
steps:
# Lấy mã nguồn từ repository
- name: Checkout repository
uses: actions/checkout@v4
with:
fetch-depth: 0 # Lấy toàn bộ lịch sử commit để đảm bảo có commit hash chính xác
- uses: actions/checkout@v3
- uses: actions/setup-python@v3
- uses: aws-actions/setup-sam@v2
# Cấu hình thông tin xác thực AWS
- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v4
with:
role-to-assume: ${{ secrets.AWS_ROLE_ARN }} # Vai trò AWS để xác thực
aws-region: ${{ secrets.AWS_REGION }} # Vùng AWS được chỉ định
- name: SAM Build
run: sam build
- name: SAM Deploy
run: sam deploy --no-confirm-changeset --no-fail-on-empty-changeset --stack-name SOA-Stack-Serverless-Application --capabilities CAPABILITY_IAM --region us-east-1
Link code mẫu: https://github.com/longngo192/SOA-Sam-Demo/blob/master/.github/workflows/deploy.ym
Workflow này sẽ chạy mỗi khi có push lên nhánh master, thực hiện sam build và sam deploy.
git add .
git commit -m "Initial commit - AWS SAM API setup"
git push -u origin main
https://github.com/{GIT_USERNAME}/{PROJECTNAME}/settings/secrets/actions Thêm 2 secrect như bên dướiAWS_ROLE_ARN bằng ARN của role được tạo trong step Bước 4: Thiết lập OIDC trong AWS .AWS_REGION bằng us-east-1. 
Để tránh phát sinh chi phí, hãy xóa các tài nguyên sau khi hoàn tất:
sam delete --stack-name SOA-Stack-Serverless-ApplicationSOA-Stack-Serverless-Application > Delete.SOA-GitHubActions-SAMDeploy > Delete.token.actions.githubusercontent.com > Delete.Bằng cách sử dụng AWS SAM và GitHub Actions với xác thực OIDC, bạn có thể triển khai và tự động hóa các ứng dụng serverless một cách an toàn và hiệu quả. Phương pháp này không chỉ giúp tiết kiệm thời gian mà còn tăng cường bảo mật bằng cách loại bỏ nhu cầu lưu trữ thông tin xác thực lâu dài. Hãy thử áp dụng và khám phá thêm các tính năng của SAM và GitHub Actions để xây dựng các ứng dụng serverless mạnh mẽ hơn!
