AWS EB环境变量动态管理：代码化方案实践

1. 项目背景与核心需求

在AWS Elastic Beanstalk（EB）环境中管理EC2实例时，环境变量的动态配置一直是个痛点。传统做法是通过EB控制台界面手动添加，这在需要频繁变更或批量部署时效率极低。更麻烦的是，每次环境变量更新都会触发实例重建，导致服务中断。

我最近接手的一个微服务项目就遇到这个问题：需要根据部署环境（dev/staging/prod）动态注入不同的数据库连接参数和第三方API密钥。手动操作不仅容易出错，在CI/CD流程中更是无法实现自动化。经过多次踩坑，最终摸索出一套完全通过代码管理EB环境变量的方案。

这套方案的核心价值在于：

• 实现环境变量配置的版本控制（与代码库同步）
• 支持不同环境差异化配置（避免硬编码敏感信息）
• 零停机更新（无需重建EC2实例）
• 完美融入CI/CD流程（可通过脚本自动化执行）

2. 技术方案选型对比

2.1 常见方案优劣分析

先看几种常见的EB环境变量管理方式：

2.2 核心技术组件

最终方案基于以下AWS服务构建：

• AWS Systems Manager (SSM) Parameter Store：安全存储环境变量
• EB平台Hook：通过.platform/hooks在部署阶段注入变量
• Instance Profile：控制EC2访问SSM的权限
• AWS CLI：动态更新参数的工具链

重要提示：选择SSM而非Secrets Manager主要出于成本考虑。SSM标准层参数完全免费，而Secrets Manager每个密钥每月收费$0.4。对于非金融级敏感数据，SSM已足够安全。

3. 完整实现步骤

3.1 基础架构准备

首先需要配置SSM参数存储，建议按以下命名规范创建：

code复制/env/[environment_name]/[application_name]/[variable_name]

例如生产环境的数据库连接字符串：

code复制/env/prod/user-service/DB_CONNECTION

通过AWS CLI创建示例：

bash复制aws ssm put-parameter \
  --name "/env/prod/user-service/DB_CONNECTION" \
  --value "postgres://user:pass@host:5432/db" \
  --type SecureString \
  --tags "Key=env,Value=prod"

3.2 IAM权限配置

EC2实例需要通过Instance Profile获取读取SSM的权限。在EB环境配置中添加以下托管策略：

• AmazonSSMReadOnlyAccess
• 自定义策略示例：

json复制{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParameter"
      ],
      "Resource": [
        "arn:aws:ssm:region:account-id:parameter/env/prod/user-service/*"
      ]
    }
  ]
}

3.3 部署阶段注入变量

在项目根目录创建.platform/confighooks/predeploy文件夹，添加01_load_env_vars.sh：

bash复制#!/bin/bash

# 获取当前环境名称
ENV_NAME=$(/opt/elasticbeanstalk/bin/get-config environment -k EnvironmentName)

# 从SSM批量获取参数
PARAMS=$(aws ssm get-parameters-by-path \
  --path "/env/${ENV_NAME}/user-service/" \
  --with-decryption \
  --query "Parameters[*].{Name:Name,Value:Value}")

# 转换为环境变量格式
for row in $(echo "${PARAMS}" | jq -r '.[] | @base64'); do
  _jq() {
    echo ${row} | base64 --decode | jq -r ${1}
  }
  
  # 提取变量名最后部分作为KEY
  FULL_NAME=$(_jq '.Name')
  KEY=$(basename "${FULL_NAME}")
  VALUE=$(_jq '.Value')
  
  echo "Exporting ${KEY}=${VALUE}"
  echo "export ${KEY}=${VALUE}" >> /etc/profile.d/eb_env_vars.sh
done

# 使环境变量立即生效
source /etc/profile.d/eb_env_vars.sh

记得给脚本添加执行权限：

bash复制chmod +x .platform/confighooks/predeploy/01_load_env_vars.sh

3.4 应用启动时加载

对于需要提前加载变量的场景（如PM2启动前），在.platform/hooks/prestart添加：

bash复制#!/bin/bash
source /etc/profile.d/eb_env_vars.sh

# 示例：传递给Node.js应用
pm2 start ecosystem.config.js --update-env

4. 高级配置技巧

4.1 多环境差异化配置

通过环境名称自动加载不同配置，在CI/CD管道中动态设置：

yaml复制# .github/workflows/deploy.yml
jobs:
  deploy:
    steps:
      - name: Configure AWS credentials
        uses: aws-actions/configure-aws-credentials@v1
        with:
          aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
          aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
          aws-region: us-east-1

      - name: Set env vars from SSM
        run: |
          ENV_NAME=${{ github.event_name == 'push' && 'prod' || 'staging' }}
          aws ssm get-parameters-by-path \
            --path "/env/${ENV_NAME}/user-service/" \
            --with-decryption \
            --output json | jq -r '.Parameters[] | "\(.Name)=\(.Value)"' >> $GITHUB_ENV

4.2 敏感信息处理

对数据库密码等敏感信息建议：

1. 使用SecureString类型存储
2. 设置定期自动轮换策略
3. 通过KMS CMK加密（非AWS默认密钥）
4. 限制IAM访问权限到具体参数路径

轮换示例：

bash复制# rotate_secret.sh
NEW_PASSWORD=$(openssl rand -base64 16)
aws ssm put-parameter \
  --name "/env/prod/user-service/DB_PASSWORD" \
  --value "${NEW_PASSWORD}" \
  --type SecureString \
  --overwrite

# 触发应用重新加载（无需重启）
aws elasticbeanstalk restart-app-server --environment-name prod-env

5. 实战问题排查

5.1 常见错误与解决方案

5.2 调试技巧

1. 查看Hook执行日志：

bash复制/var/log/eb-hooks.log

2. 手动测试SSM访问：

bash复制# 假设EC2已有权限
aws ssm get-parameter \
  --name "/env/prod/user-service/DB_CONNECTION" \
  --with-decryption \
  --query "Parameter.Value" \
  --output text

3. 检查环境变量是否注入：

bash复制cat /etc/profile.d/eb_env_vars.sh
env | grep DB_

6. 性能优化建议

1. 批量获取参数：减少API调用次数

bash复制# 一次获取所有参数（最多10个）
aws ssm get-parameters \
  --names "/env/prod/db_url" "/env/prod/api_key" \
  --with-decryption

2. 本地缓存：对不常变的参数写入/tmp并设置TTL

bash复制CACHE_FILE="/tmp/env_vars.cache"
if [ ! -f "$CACHE_FILE" ] || [ $(stat -c %Y "$CACHE_FILE") -lt $(date -d '1 hour ago' +%s) ]; then
  aws ssm get-parameters-by-path --path "/env/prod/" > "$CACHE_FILE"
fi

3. 分层加载：关键变量优先加载

bash复制# 先加载数据库等关键配置
CRITICAL_VARS=("DB_HOST" "DB_PORT" "REDIS_URL")
for var in "${CRITICAL_VARS[@]}"; do
  value=$(aws ssm get-parameter --name "/env/prod/$var" --with-decryption --query "Parameter.Value" --output text)
  export "$var=$value"
done

# 其他变量后台加载
(nohup load_other_vars.sh &)

这套方案在日部署频率超过20次的生产环境中验证，环境变量更新耗时从原来的8-10分钟（EB环境重建）降低到10秒内完成。对于需要动态调整配置参数的场景，比如临时切换日志级别或功能开关，效果尤为显著。