Memo/AmazonWebServices/EC2

• Memo/AmazonWebServices/EC2/AMI
• Memo/AmazonWebServices/EC2/DLM
• Memo/AmazonWebServices/EC2/EBS
• Memo/AmazonWebServices/EC2/ec2-metadata-mock
• Memo/AmazonWebServices/EC2/mock-ec2-metadata

EC2(Elastic Compute Cloud) †

• EBSインスタンスでEC2 > Create Imageを実行するとデフォルトでは自動的に再起動がかかるので注意。そうしたくない場合、オプションを外す。

• 記事
  • AWS再入門ブログリレー Amazon EC2編 | Developers.IO
  • [小ネタ]NACLでHTTP通信を制限する際の注意点 | Developers.IO
  • AWS EC2におけるネットワークインターフェース構成を考える ｜ DevelopersIO
  • EC2再作成時にプライベートIPアドレスとMACアドレスを引き継いでみる ｜ DevelopersIO
  • 【レポート】Amazon EC2 の進化の歴史から学ぶ EC2 入門 2019年版 #AWSsummit ｜ DevelopersIO
  • 【レポート】新たな選択肢：AMD EPYCプロセッサ―とAmazon EC2であなたのワークロードを最適化 #AWSSummit ｜ DevelopersIO
  • 再起動しても変わらない MTU を Amazon Linux 2 で設定する ｜ DevelopersIO

---

NVMe SSDのEBSがEC2: reboot,stop/start後に変わってしまう対策 †

環境:

• AlmaLinux 9.4/9.5
• InstanceType: t3,t4,m5
• EBS: gp3

現象:

• m5.*, t3.*でNVMe SSDのEBS(gp3)に対応したが、EC2をreboot, stop/startしてしまうとデバイス名が変わってしまう事がある。
• 異常なケース: ebs1=nvme0n1, root=nvme1n1。期待はroot volume=nvme0n1

  lsblk
  
  NAME        MAJ:MIN RM  SIZE RO TYPE MOUNTPOINTS
  nvme0n1     259:0    0   50G  0 disk
  nvme1n1     259:1    0   20G  0 disk
  ├─nvme1n1p1 259:2    0  200M  0 part /boot/efi
  ├─nvme1n1p2 259:3    0    1G  0 part /boot
  └─nvme1n1p3 259:4    0 18.8G  0 part /

原因:

• How to mount Linux volume and keep mount point consistency | AWS Compute Blog
• /etc/fstabで デバイス名(/dev/nvme1n1)を指定してマウントしている。
• root volumeは既にUUIDで記載がある

解決:

• UUIDを使ってマウントする。UUIDはフォーマット時に生成(sudo mkfs.xfs /dev/sdf)
• 再起動後に接続ボリュームを自動的にマウントする
• lsblkでEBS vol-id, UUID, device nameを表示。フル(-f)

  lsblk -o PATH,SERIAL,UUID

• blkid でUUIDを表示したい場合

  lsblk /dev/nvme1n1 -no UUID

• wipefsでUUIDを表示したい場合

  sudo wipefs -i /dev/nvme1n1 -O UUID

• nvmeコマンドで、EC2起動時に指定したEBSのマウントポイント名を得る

  sudo nvme id-ctrl --raw-binary /dev/nvme1n1 | cut -c3073-3104 | tr -s ' ' | sed 's/ $//g'
  
  sdf

• /etc/fstab にUUIDを指定してマウントする

  UUID=***-***-***-***-*** /mnt/ebs1 xfs defaults,nofail,comment=ansible 0 0

ansibleで自動化したい場合:

• https://github.com/transferwise/ansible-ebs-automatic-nvme-mapping/tree/master
  • https://github.com/transferwise/ansible-ebs-automatic-nvme-mapping/blob/master/files/ebs-nvme-mapping.sh
    • このスクリプトを実行すると、/dev/sdf のようにsymlinkを作ってくれる。再起動まで有効。symlinkに対して、UUIDを取得すれば良い

      # フォーマットする前では、UUIDが空になる
      sudo mkfs.xfs /dev/sdf
      lsblk /dev/sdf -no UUID

記事:

• NitroなEC2でEBSをマウントする（Ubuntu編）
• AnsibleでAWS EC2のfstabを正しく作成する方法 Day.11｜SHIFT Group 技術ブログ

---

Public IPv4の有償化 †

• 今までEC2にattachしていたEIP(IPv4)は無償だったが、有償になった
• 東京リージョンの場合、1EIPあたり、3.6USD (0.005USD * 24時間 * 30日)

記事:

• AWS におけるパブリック IPv4 アドレスの使用状況の特定と最適化 | Amazon Web Services ブログ
• 新着情報 – パブリック IPv4 アドレスの利用に対する新しい料金体系を発表 / Amazon VPC IP Address Manager が Public IP Insights の提供を開始 | Amazon Web Services ブログ
• 【コスト削減】すべてのリージョンから利用されていない Elastic IP をスクリプトで特定してみる - サーバーワークスエンジニアブログ

---

Public IPv4の削除 †

• private subnet上にEC2があるのに、public ipv4が付与されている場合は削除できるはず。
• AWS supports dynamically removing and adding auto assigned public IPv4 address
  • 自動割り当てのpublic ipv4を削除できるようになった

記事:

• 起動済み EC2 インスタンスのパブリックIPv4アドレスを削除する方法を教えてください | DevelopersIO

---

未使用のEIPの列挙 †

• Amazon VPC IP Address Manager を使う方法
  • 未使用/使用済みかをCSVでダウンロードできる

• awscliを使う方法

  profile=example
  region=ap-northeast-1
  
  aws ec2 describe-addresses --region $region --query 'Addresses[?AssociationId==null].{PublicIp:PublicIp,Domain:Domain}'  --profile $profile --output text
  
  vpc     xxx.xxx.xxx.xxx

---

EC2 Instance Connect: 踏み台なしで、private subnet上のEC2にssh/RDPする手順を提供 †

記事:

• EC2 Instance Connect Endpoint と Session Managerの違いをまとめてみた | DevelopersIO

• ターミナルからEC2 Instance Connectを使ってSSH接続してみる

• EC2 Instance Connect Endpoint経由でRDSに接続してみた | DevelopersIO

• EC2 Instance Connect エンドポイント登場！パブリックIPのないEC2にSSH・RDPできるようになりました | DevelopersIO

---

t2からt3へ変更 †

記事:

• Amazon EC2 インスタンス用の Red Hat 6/7 に ENA ドライバーをインストールして有効にする | AWS re:Post
• Linux インスタンスにおける Elastic Network Adapter (ENA) を使用した拡張ネットワーキングの有効化 - Amazon Elastic Compute Cloud
• いまさらながらT2シリーズのEC2をT3シリーズへ移行してみた - DENET 技術ブログ

t3:

• ENAサポートが必須。AWSのインスタンス設定と、OS側。非対応だと、以下のメッセージ出て起動しない

  Enhanced networking with the Elastic Network Adapter (ENA) is required for the 't3.micro' instance type. Ensure that your instance 'i-xxxx' is enabled for ENA.

  • OS側 CentOS 7: 7.4.1708 以降

    modinfo ena
    
    # サポートしていない場合。以下のエラー。yum updateが必要
    modinfo: ERROR: Module ena not found.

• gp3ストレージがNVMeなので、OSからみたデバイス名がSATAと異なる。

  # CentOS 7: NVMeの場合、EBS1は以下にマウントされた
  /dev/nvme1n1

t2からt3へ変えたい場合:

• NetworkManagerの起動と有効化が必須。 起動してない場合、t2からt3へ変えた後にec2 status check=1/2, sshが接続できない状態になった。

  sudo yum install NetworkManager
  sudo service NetworkManager start
  sudo chkconfig NetworkManager on

• OS側でもENAサポートが必要

  modinfo ena
  
  # enaが未サポートの場合、yum updateして再起動
  sudo yum upgrade kernel -y
  sudo reboot

• ec2 stop
• ENAサポートを有効にする

  profile=example
  region=ap-northeast-1
  ec2_instance_id=i-123456789012
  
  # EnaSupportの結果を取得
  aws ec2 describe-instances --profile $profile --region $region --instance-ids $ec2_instance_id --query "Reservations[].Instances[].EnaSupport" --output text
  
  False
  
  # EnaSupportをTrueへ変更
  aws ec2 modify-instance-attribute --profile $profile --region $region --instance-id $ec2_instance_id --ena-support

• ec2 start

---

後からssh key-pairを変更する †

記事:

• EC2のキーペアを紛失した時の簡単な対処法 - Qiita

---

Auto Recovery: ステータスチェックが失敗した時に、自動復旧 †

記事:

• [アップデート] デフォルトでEC2インスタンスがAuto Recoveryするようになりました | DevelopersIO

---

ec2内から認証情報にアクセスできない †

• IAM および Amazon EC2 のトラブルシューティング - AWS Identity and Access Management
  • ec2はIAM roleと、IAM roleをec2にattachするinstance profile idの2つがある。

• iam/info ドキュメントで "Code":"InstanceProfileNotFound" が表示される
  • インスタンスプロファイルをアタッチまたは置換する

    PROFILE=example
    REGION=ap-northeast-1
    
    # ec2のAssociationIdを確認
    aws ec2 describe-iam-instance-profile-associations \
     --filters "Name=instance-id,Values=i-012345678910abcde" \
     --profile $PROFILE \
     --region $REGION
    
    
    # 最新のinstance-profile idを確認
    aws iam get-instance-profile --instance-profile-name EXAMPLEPROFILENAME --profile $PROFILE --region $REGION
    
    # 置換
    aws ec2 replace-iam-instance-profile-association \
     --iam-instance-profile Name=EXAMPLEPROFILENAME \
     --association-id iip-assoc-0123456789 \
     --profile $PROFILE \
     --region $REGION

---

プレイスメントグループ †

• プレイスメントグループ - Amazon Elastic Compute Cloud

• 記事
  • EC2のプレイスメントグループを活用するとネットワークパフォーマンスを向上したりハードウェア障害を軽減できます | Developers.IO

---

AZ毎の違い †

• AWSアカウント毎に、AZ表記(ZoneName)とZoneIDは違う。ランダムにして、特定AZのリソースの偏りを防ぐため？
• ZoneID毎に作成できるインスタンスタイプが異なる
• ZoneID: apne1-az[1,2,4]を推奨。az3は作成できない。2020-04時点で
  • apne1-az1: NG:t3a, m5a
  • apne1-az2: NG:旧世代, m5d
  • apne1-az4: t3a含むすべてOK

• AZ毎に作成可能なインスタンスタイプ一覧
  • https://github.com/YakDriver/aws-ec2-instance-types/blob/main/results/ap-northeast-1.md#t3

• ZoneNameとZoneIDの確認

  aws ec2 describe-availability-zones --profile example --region ap-northeast-1
  
  {
      "AvailabilityZones": [
          {
              "OptInStatus": "opt-in-not-required",
              "Messages": [],
              "ZoneId": "apne1-az4",
              "GroupName": "ap-northeast-1",
              "State": "available",
              "NetworkBorderGroup": "ap-northeast-1",
              "ZoneName": "ap-northeast-1a",
              "RegionName": "ap-northeast-1"
          },
  ...

• 記事
  • [2020/5/26版] 東京リージョンで構築可能なインスタンスタイプのアベイラビリティーゾーン別一覧表 – サーバーワークスエンジニアブログ
  • [t3a対応版]東京リージョンで構築可能なインスタンスタイプのアベイラビリティーゾーン別一覧表 – サーバーワークスエンジニアブログ

---

EC2の休止(ハイバネート) †

• ハイバネート: メモリの内容をDiskへ保存
• サスペンド: メモリの内容をそのまま保存

• Linux インスタンスの休止 - Amazon Elastic Compute Cloud
  • メモリ内容をEBSに保存する事で、起動が速い。
  • 事前にEC2を足しておきたいが、プロセスの起動に時間がかかるようなケースで有用。
  • 対応したAMI, インスタンスのみ
  • EBS、Elastic IPの料金はかかる。

• 記事
  • [アップデート]CloudFormationでEC2インスタンスの休止機能を有効化できるようになりました！ ｜ Developers.IO
  • 新機能 – EC2インスタンスの休止 | Amazon Web Services ブログ

---

Auto Scaling †

• 記事
  • スタンバイ状態の EC2 が削除できない!!その時あなたはどうする!? ｜ Developers.IO
  • [アップデート] EC2 Auto Scalingがインスタンスタイプ混在時の「インスタンスの重み付け」をサポートしました ｜ Developers.IO
  • [アップデート]EC2 AutoScalingでインスタンスタイプの重み付けができるようになりました ｜ Developers.IO

---

Spot Instance: RIより安いが、指定価格によって終了する †

• Amazon EC2 スポットインスタンス | AWS
  • 指定した価格よりスポットインスタンスの価格が上がった場合は、EC2が終了する。
  • 終了2分前に中断の通知が発生する
  • Spot InstanceではEBSインスタンスでもstopできず、start/terminateのみ可能
  • EC2はステートレスな利用に向いている
  • ログはS3/CloudWatchに保存するようにする。fluentdを使えば、プロセス終了時にflushできる

• スポットインスタンスアドバイザー | AWS
  • リージョン、インスタンス毎の、割引率、中断率がわかる
  • 例：ap-northeast-1, t3.medium, 割引率70%, 中断率 5%

• 記事
  • 【AWS Summit Tokyo 2019 セッションレポート】EC2スポットインスタンスのすべて #AWSSummit ｜ Developers.IO
  • [レポート] Amazon EC2 スポットインスタンスの各社の利用例についてご紹介 #AmazonGameTech #AmznGameTechJP ｜ Developers.IO

---

トラブルシューティング †

• EC2のステータスがpending
  • EBSが問題の場合
    • EC2からVolumeをクリック -> 「○○前からボリュームがアタッチ中のまま動いていません。」->ケース作成で、サポートに英語でissueが作成できる。サポートプランがbasicでもOK。

• 記事
  • EC2 enables replacing root volumes for quick restoration and troubleshooting ec2を起動したま、root volumeをebs snapshotから復元できるようになった
  • SELinuxの無効化ミスでEC2起動不可になった際の対応 – サーバーワークスエンジニアブログ
  • SingleAZ配置のEC2インスタンスで障害発生時の影響を最小化する ｜ DevelopersIO
  • EC2 の「強制的に停止 (Forcefully Stop)」操作を紹介します ｜ DevelopersIO

---

秘密鍵を紛失した/変更したい †

• SSH キーペアを紛失したときに Amazon EC2 インスタンスに接続する | AWS re:Post
• デフォルトではEC2起動時にcloud-initがuser-dataを用いて設定している
• ssm-agentが動作していれば初期化できるようだ

記事:

• EC2のキーペアを失くしたので設定しなおしてみた | DevelopersIO
• SSH用の秘密鍵を無くしてしまった方へ。Systems MangerでEC2の秘密鍵を追加してみた | DevelopersIO

---

コピーしたAMIからsshが接続できない場合 †

現象:

• あるCentOS 7のEC2:AからAMIを作る
• AMIで新しくEC2:Bを作る
• EC2:Bに対してsshしようとしてもtimeoutする。AWSコンソールのシステムログやスクリーンショットを見ると、login:待ちまでは起動している

対策:

• CentOS 7: NetworkManagerを更新、起動する

  sudo yum install NetworkManager
  sudo service NetworkManager start
  sudo chkconfig NetworkManager on

• AMIを取得し直す

---

EC2が起動できない場合 †

• 記事
  • EBS 最適化インスタンスをスペックダウンしたらエラーで起動できなくなったときの対処法 | Developers.IO
  • 起動できないEC2インスタンス内部の問題を調査する方法 | Developers.IO
  • EC2 が起動できない！実例から学ぶ原因と解決策 – オペ部だより- ｜ DevelopersIO

---

kernel panic: †

• 新着 – カーネルパニックをトリガーし、応答しない EC2 インスタンスを診断 | Amazon Web Services ブログ

---

EBS operational issueの場合 †

• 現象
  • EC2がpendingのまま起動しない。
    • 該当EBSのページを表示すると、「○○前からボリュームがアタッチ中のまま動いていません。」->ケース作成で、サポートに英語でissueを作成できる。basicプランでも。
  • Linux上で該当EBSにアクセスするとレスポンスが無い

• 解決方法：スナップショットを作成し、既存EBSと入れ替える。

1. EC2をstop
2. 問題のEBSを選択し、右クリック > スナップショット作成 わかりやい名前を付ける。(<hostname>-root, <hostname>-ebs1等)
   • snapshot作成に失敗する場合があった。「An internal error has occurred」
3. 古いEBSは削除

---

Instance Connect: SSHの接続をIAMで管理 †

• Public IPが必要。
• 接続元〜EC2へ22/tcpが疎通可能な事。
• 特定のLinuxディストリビューション
  • Amazon Linux 2, Ubuntu 16.04移行

• 記事
  • EC2 Instance Connect でのインスタンス接続ユーザーについて調べてみた ｜ DevelopersIO
  • EC2 Instance Connect CLIでEC2インスタンスへのSFTPもできます ｜ DevelopersIO
  • EC2のSSHアクセスをIAMで制御できるEC2 Instance Connectが発表されました ｜ DevelopersIO

---

Nitoro世代インスタンスとNVMeデバイス †

m5, t3シリーズ等。

• インスタンスタイプ - Amazon Elastic Compute Cloud

• 変更点
  • AMIが対応していないと起動できない。kernelにNVMeドライバが含まれているか。
    • NG: CentOS 6公式
    • OK: CentOS 7公式
  • EBSのデバイス名が違う。CentOS 7公式の場合

    /dev/nvme0n1p1 / (root volume)
    /dev/nvme1n1   /mnt/ebs0
    /dev/nvme2n1   /mnt/ebs1

  • fstypeを調べるコマンド

    sudo file -s /dev/nvme?n*

• 記事
  • Nitro世代にインスタンスタイプを切り替えたいっ！~準備からトラブルシューティングまで~ ｜ DevelopersIO
  • 高負荷システムでNVMeデバイス使用時のfstrimとdiscard mount optionの話 - たごもりすメモ

---

暗号化 †

• 記事
  • [アップデート] これは簡単！EC2 起動時にルートボリュームを1ステップで暗号化できるようになりました！ ｜ DevelopersIO

---

インスタンスタイプ選定 †

• dev環境: t2/t3
  • CPU使用率が低い。または、短時間のみ使用率が高い。

• prod環境: m5
  • CPU使用率が高い状態が続く。

• 記事
  • ちょっと待ってください!あなたが使うべきは本当にT系インスタンスですか!? ｜ DevelopersIO

---

WindowsServer †

• 記事
  • EC2 Windowsのストレージ(EBSボリューム)の容量を拡張する手順 | Developers.IO
  • Windows Server EC2の管理者パスワードについて調べてみた ｜ DevelopersIO

---

Private SubnetのEC2に接続する †

Private Subnet上のEC2はPublic IPを割り当てても通信できない。

• 記事
  • プライベートなEC2に一時的にSSHする3つの方法 ｜ DevelopersIO

---

削除 †

• 記事
  • [TIPS] AMIとそれに紐づくスナップショットをBash Scriptでまとめて削除する ｜ DevelopersIO

---

CPU stealが高い †

• m3.mediumの場合、CPU stealが高く、プログラムの挙動が遅くなる時がある。他のインスタンスタイプへの移行を検討。
  • t2シリーズは普段はCPU利用率が低く、瞬間的にCPU利用率が上がる場合に適している。(開発用やbatch処理等)。CPUクレジットを使い切ると、バーストしなくなるので注意。
  • 常時CPU利用率が高い場合は、m4/m5のインスタンスを検討。large以上のみのため高い
• 記事
  • m3.medium のインスタンスの CPU 負荷が高かったため t2.medium へ移行した - Feedforce Developer Blog

---

セキュリティグループ †

• 制限
  • EC2-Classicの場合、1アカウント、1リージョン、500個まで。1個あたり、100ルールまで。
    • Linux インスタンスの Amazon EC2 セキュリティグループ - Amazon Elastic Compute Cloud
  • EC2-VPCの場合、1アカウント、1リージョン、デフォルト500個まで。1個あたり、50ルールまで。上限緩和申請で拡張可能。
    • Amazon VPC の制限 - Amazon Virtual Private Cloud

• 別AWSアカウントのセキュリティグループも指定できる。
  • <AWS account ID>/sg-xxxx
  • 同一リージョンのみ

---

タグ付け †

• Amazon EC2 リソースタグ
  • key:
    • 使用可能文字: A-Za-z0-9\-\_
    • CamelCase
  • value

• 値が複数の場合の区切り文字: ";", ",", "|"

• Amazon EC2 リソースにタグを付ける - Amazon Elastic Compute Cloud タグの制限事項等
• Amazon EC2 リソースタグ

---

EC2の強制停止 †

• ホストのハードウェア故障等で、突然再起動したり、その後起動しない場合がある。
  • AWS管理コンソール上のステータスは0/2で正常に起動しない
  • AWS管理コンソールからstopを実行しても、stoppingのままで処理が進まない。

• 対応
  • stop-instances — AWS CLI 1.11.76 Command Reference --forceオプションを試す(AWS supportの回答)。10分程度待つと停止した。
  • AWS supportにお願いする

• awscliで強制停止例

  aws ec2 stop-instances --instance-id i-xxxx --force --profile default --region ap-northeast-1

---

Public DNSとPrivate DNSの自動変換 †

• Amazon EC2 インスタンスの IP アドレッシング - Amazon Elastic Compute Cloud

  外部 DNS ホスト名を解決すると、インスタンスのパブリック IP アドレス (インスタンスのネットワーク外の場合) およびインスタンスのプライベート IPv4 アドレス (インスタンスのネットワーク内からの場合) となります。

---

ベンチマーク †

• 記事
  • AWS Graviton2 新CPUの性能検証 | 外道父の匠
  • AWS EC2 全インスタンスのCPUベンチマークを取った | ロードバランスすだちくん

---

SSHログインできない場合 †

AWSの場合、ssh設定ファイルを間違えたり、iptablesを間違えたりするとsshログインできなくなる。
他のクラウドでは管理画面からターミナルを開けたりするので最悪そこから編集できる。

• 記事
  • EC2インスタンスにログインできなくなったら……。〜Linux編〜 ｜ DevelopersIO
  • ログインできないec2インスタンスを調査する ｜ Developers.IO

1. 問題のEC2のEBSルートボリュームのスナップショットを作成。停止できるなら、停止してルートEBSを外しても良い
2. 新規で調査用EC2を作成
3. EBSスナップショットからEBSを作成し、調査用インスタンスにアタッチ
4. 調査用EC2でマウントして、調査する
5. 修正できるなら、問題のEC2のルートボリュームを作成したEBSと入れ替えて起動

---

cloud-init: EC2起動時にコマンド実行 †

• Memo/Linux/cloud-init#xb2eb07e

---

グローバルIPを取得 †

• Linux インスタンス用の受信トラフィックの認可
• EC2以外のホストでも使えるので便利

  curl http://checkip.amazonaws.com/
  curl https://checkip.amazonaws.com/

• EC2インスタンスの情報は Memo/AmazonWebServices#n9149545 で取得できる

---

NTP †

• Linux インスタンスの時刻の設定 - Amazon Elastic Compute Cloud
  • VPCのprivate subnet内: 169.254.169.123
  • time.aws.com はインターネット側からも接続可能
  • 0.amazon.pool.ntp.org〜3.amazon.pool.ntp.orgもあるが、これは世界中のpool.ntp.orgのaliasのため、遠くて接続性が悪かったり精度が低い場合があった

• 記事
  • Amazon Time Syncに公開NTPが追加されました | DevelopersIO
  • Amazon Time Sync Service で時刻同期した EC2 サーバから時刻同期する ｜ DevelopersIO
  • Amazon Linuxにおけるシステム時計とNTP ｜ Developers.IO

---

EBSスナップショットの別リージョンへのコピー †

今まで面倒だったEBSスナップショットのリージョン間のコピーが ec2-copy-snapshot で出来るようになった

• 記事
  • Amazon EBS Snapshotのリージョン間コピー機能リリース！ ｜ クラスメソッド開発ブログ

• 要:Amazon EC2 API Tools : Developer Tools : Amazon Web Services 1.6.6.0 2012-12-01 以降

  ./ec2-copy-snapshot --region ap-southeast-1 -r ap-northeast-1 -s snap-xxxxx

---

fdiskでEBSインスタンスのROOTデバイスを拡張 †

• 記事
  • AWS Marketplace版CentOSとの格闘記録 | AWS情報ブログ
  • CentOS on Amazon EC2 でディスクサイズ変更しても変わらないときの対処方法 ｜ Developers.IO dracut-modules-growroot を使う方法
  • packerでhvmでもresize2fsをできるようにしてrebootを回避する - Qiita packerで自動化する方法
  • growpartでRHEL EC2のルートパーティションを自動拡張する サーバーワークス エンジニアブログ cloud-utilsのgrowpartを使う方法。2回再起動が必要とある
  • EC2のCentOS-HVMでディスクのサイズを変更する | Hack cloud-utilsのgrowpartを使う方法。再起動が必要。実際に試したところ、Status Checks 1/2とエラーが出たのでstop&startが必要だった
  • suz-lab - blog: サイズの小さなAMIからブートディスク(EBS)を大きくしてEC2を起動
  • EBS-backedインスタンスのrootボリュームをサイズ増量 | koba206の開発WIKI
    • 方法1:EBS instanceをstop > ebs detach > snapshopt作成 > volume作成(増量) > ec2にattach > ec2起動
  1. EBS instance
  • 方法2:起動中EC2 Instanceのsnapshot作成 > AMI作成 > 起動 > 元といれかえ
  • suz-lab - blog: パーティション分割されたEBSを"resize2fs"で拡張
  • suz-lab - blog: "resize2fs"でEBSの容量を増やす

• ManageMentconsoleから拡張して起動した場合

  #  m1.largeの例
  resize2fs /dev/xvde1
  reboot

• 上記でエラーが出るケースや、パーティションを切ってある場合
  • m1.largeの例。ManageMentconsole からROOTデバイスを40GBに拡張した場合

    fdisk /dev/xvde
    ----
    Command (m for help): p
    ...
    Device Boot Start End Blocks Id System
    /dev/xvde1 * 1 1044 8385898+ 83 Linux
    ----
    Command (m for help): d 
    Selected partition 1
    ----
    Command (m for help): n
    Command action
    e extended
    p primary partition (1-4)
    p
    Partition number (1-4): 1
    First cylinder (1-5221, default 1): 
    Using default value 1
    Last cylinder, +cylinders or +size{K,M,G} (1-5221, default 5221): 
    Using default value 5221
    ----
    Command (m for help): p
    ...
    Device Boot Start End Blocks Id System
    /dev/xvde1 1 5221 41937651 83 Linux
    ----
    Command (m for help): w
    ...
    ----
    reboot
    
    resize2fs /dev/xvde1
    df -h
    Filesystem Size Used Avail Use% Mounted on
    /dev/xvde1 40G 2.6G 35G 7% /
    ...

---

IAM ROLE(ec2 instance profile)を使う †

• Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する
  • ec2で動作確認のための最低限の権限を与える
  • 信頼ポリシー

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                    "Service": "ec2.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }

  • インラインポリシー

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Action": "ec2:DescribeRegions",
                "Resource": "*"
            }
    }

• 記事
  • EC2にアタッチしたIAMロールからクロスアカウントでスイッチロールしてみる | Developers.IO
  • EC2 インスタンスに適切な権限の IAM ロールを割り当てたにも関わらず、権限エラーが発生したときの対処方法 | Developers.IO
  • AWS CLIで EC2 に割り当てた IAM ロール から Switch Role してみた。 ｜ DevelopersIO

• 動作確認

  # 値が取れる
  curl -s -m 1 http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance
  
  # access_key, secret_key, regionが自動で設定される
  aws configure list
  
        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile                <not set>             None    None
  access_key     ****************SELV         iam-role
  secret_key     ****************BEdR         iam-role
      region           ap-northeast-1             imds
  
  # region一覧が取得できる
  aws ec2 describe-regions

• ec2 instance profileにiam roleを設定しても値が取れない場合
  • AssumeRoleUnauthorizedAccess
  • 設定変更後、AWS consoleで「セッションを取り消す」を実行して、現在のセッションを強制的にexpireさせるまでエラーが続く

    aws configure list --debug
    ...
    2022-06-16 09:13:28,784 - MainThread - botocore.utils - DEBUG - Error response received when retrievingcredentials: {'Code': 'AssumeRoleUnauthorizedAccess', 'Message': 'EC2 cannot assume the role <role name>.  Please see documentation at https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_iam-ec2.html#troubleshoot_iam-ec2_errors-info-doc.', 'LastUpdated': '2022-06-16T07:47:56Z'}.

---

AMIをPVからHVMへ変換 †

仮想化方式の違いで、PV, HVMがある。

• PV(paravirtual, 準仮想化): AKI(kernel), ARI(ramdisk)を使う方式(Amazonが用意したkernel+ramdisk)と、PV-GRUBを使う方式(PV-GRUB用AKIを使って、grub.confに書いたkernelを読む)がある
• HVM(Hardware-assited VM, 完全仮想化): 物理マシンとほぼ同じ。ブート領域(GPT, MBR) + ブートローダ(GRUB)が必要。XENのモジュール追加は必要。T2インスタンスはHVMのAMIのみに対応

• 記事
  • Virtualization Types - Amazon Elastic Compute Cloud
  • AWS Developer Forums: CentOS 6.* PV/HVM AMI how-to ...
  • EC2:　CC2用Scientific Linux6.2のAMIを作成する - aws memo

---

t2/t3シリーズ †

• 特徴
  • バースト性能を持つ。(EBS General purposeタイプ)
  • メモリがt1より多い
  • 価格がt1より安い

• t3シリーズ
  • CPUのバーストパフォーマンスのデフォルトがunlimited 。 高負荷が永続するような使い方では、他の固定パフォーマンスのようが安くなる場合もある。

• アカウント単位でデフォルトのCpuCreditsを「standard/unlimited」で指定できるようになった。
  • [新機能] Amazon EC2 T系インスタンスの無制限モードをアカウントレベルで設定可能になりました ｜ Developers.IO

• 記事
  • [小ネタ]CloudFormationでT3インスタンスのUnlimitedモードを無効にして起動する ｜ DevelopersIO
  • Amazon Web Services ブログ: 【AWS発表】バースト可能な性能を持つ新しい低コストEC2インスタンス
  • EC2のt1.microをt2.microへ移行する : アジャイル株式会社

---

Root Deviceをinstance storeからEBSに変換する †

• 記事
  • 雑記帳 - instance-storeのEC2をEBSブートのEC2に変換する

試行錯誤の結果、rsyncでは失敗し以下の方法で成功した。
EC2起動に失敗する場合、EC2起動時のstatus checkが1/2等になっていた。

• 例
  • AWS ACCOUNT ID: 000000000000
  • AWS pk: ~/.aws/pk.pem
  • AWS cert: ~/.aws/cert.pem
  • / : root device 10GB
  • /mnt: ephemeral disk 160GB

1. 移行対象サーバにec2-ami-toolsのインストール

   wget http://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip
   unzip ec2-ami-tools.zip
   rm ec2-ami-tools.zip
   ln -s ec2-ami-tools-1.4.0.9 ec2-ami-tools

2. instance storeのイメージをephemeral diskに作成

   export EC2_HOME=~/ec2-ami-tools
   ~/ec2-ami-tools/bin/ec2-bundle-vol -r x86_64 -e /mnt -d /mnt/ -k ~/.aws/pk.pem -c ~/.aws/cert.pem -u 000000000000

3. 新しいEBS volumeを作成し、インスタンスにattach
   • AZ: インスタンスと同じ
   • device: /dev/sdf
   • size: 10GB
4. イメージからEBSに書き込み

   time dd if=/mnt/image of=/dev/sdf
   real    32m42.451s
   
   fsck /dev/sdf
   
   rm -f /mnt/{image,image.*}

5. EBSをdetach
6. EBSからsnapshotを作成
7. snapshotからAMIを作成
   • Kernel ID: aki-xxxxxxxx, RAM Disk ID: ari-xxxxxxxx を元のEC2と同じに合わせる必要がある。特に指定が無い場合は default
8. AMIからEC2インスタンスを起動
9. 使い終わった10GBのEBSは削除して良い

---

EC2 AMI作成時に"The parameter iops is not supported for standard volumes." †

• ManagementConsoleから下記構成のEBSインスタンスのAMIを取ろうとすると、"The parameter iops is not supported for standard volumes."が発生した

  Type Device    Snapshot ID Size Volume Type IOPS Delete on Termination
  Root /dev/sda1             8    standard         true
  EBS  /dev/sdf              10   standard         false

1. 他の同じ構成のインスタンスでは発生せず。このインスタンスだけ
2. AMI 作成時に10GB EBSをRemoveすると作成できた
3. 作成したAMIからEC2を起動し、後からEBS 10GBを付与したインスタンスに対して、AMI作成はできた

---

EC2でELBのヘルスチェックを許可 †

• EC2 apache

  <Files healthcheck.txt>
      Satisfy Any
      Allow from 10.0.0.0/8
  </Files>

---

instance metadata: EC2インスタンス内で取得できる値 †

• IMDSv2
  • [レポート] SEC310: Amazon EC2インスタンスメタデータサービスのセキュリティベストプラクティス #reinvent ｜ Developers.IO
  • [UPDATE] IMDSv2を強制するIAMポリシーを検証してみた #reinvent ｜ Developers.IO
  • EC2 インスタンスメタデータサービスの拡張により、オープンなファイアウォール、リバースプロキシ、SSRFの脆弱性に対する防御を強化しました | Amazon Web Services ブログ
  • InstanceMetaDataV2を分かりやすく解説してみる – サーバーワークスエンジニアブログ
  • [待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました！ ｜ Developers.IO

• インスタンスメタデータとユーザーデータ - Amazon Elastic Compute Cloud

# GETが無い場合、curl/wgetでも取得可能
# 取得できる値一覧
curl -s -m 1 http://169.254.169.254/latest/meta-data/

# availability-zone (ap-northeast-1a)
curl -s -m 1 http://169.254.169.254/latest/meta-data/placement/availability-zone

# ユーザデータの取得
curl -s -m 1 http://169.254.169.254/latest/user-data


# instance-profileで設定されたiam role他の情報
curl -s -m 1 http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance

• 記事
  • [アップデート] インスタンスメタデータに 5 つのフィールドが追加されました | Developers.IO

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

---

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件

---