Memo/AmazonWebServices/EC2

EC2(Elastic Compute Cloud)

EC2(Elastic Compute Cloud) †

EBSインスタンスでEC2 > Create Imageを実行するとデフォルトでは自動的に再起動がかかるので注意。そうしたくない場合、オプションを外す。

記事

↑

ec2内から認証情報にアクセスできない †

IAM および Amazon EC2 のトラブルシューティング - AWS Identity and Access Management
- ec2はIAM roleと、IAM roleをec2にattachするinstance profile idの2つがある。

iam/info ドキュメントで "Code":"InstanceProfileNotFound" が表示される

インスタンスプロファイルをアタッチまたは置換する

PROFILE=example
REGION=ap-northeast-1

# ec2のAssociationIdを確認
aws ec2 describe-iam-instance-profile-associations \
 --filters "Name=instance-id,Values=i-012345678910abcde" \
 --profile $PROFILE \
 --region $REGION


# 最新のinstance-profile idを確認
aws iam get-instance-profile --instance-profile-name EXAMPLEPROFILENAME --profile $PROFILE --region $REGION

# 置換
aws ec2 replace-iam-instance-profile-association \
 --iam-instance-profile Name=EXAMPLEPROFILENAME \
 --association-id iip-assoc-0123456789 \
 --profile $PROFILE \
 --region $REGION

↑

プレイスメントグループ †

プレイスメントグループ - Amazon Elastic Compute Cloud

記事
- EC2のプレイスメントグループを活用するとネットワークパフォーマンスを向上したりハードウェア障害を軽減できます | Developers.IO

↑

AZ毎の違い †

AWSアカウント毎に、AZ表記(ZoneName)とZoneIDは違う。ランダムにして、特定AZのリソースの偏りを防ぐため？
ZoneID毎に作成できるインスタンスタイプが異なる
ZoneID: apne1-az[1,2,4]を推奨。az3は作成できない。2020-04時点で
- apne1-az1: t3a, m5aNG
- apne1-az2: 旧世代, m5d等NG
- apne1-az4: t3a含むすべてOK

ZoneNameとZoneIDの確認

aws ec2 describe-availability-zones --profile example --region ap-northeast-1

{
    "AvailabilityZones": [
        {
            "OptInStatus": "opt-in-not-required",
            "Messages": [],
            "ZoneId": "apne1-az4",
            "GroupName": "ap-northeast-1",
            "State": "available",
            "NetworkBorderGroup": "ap-northeast-1",
            "ZoneName": "ap-northeast-1a",
            "RegionName": "ap-northeast-1"
        },
...

記事
- [2020/5/26版] 東京リージョンで構築可能なインスタンスタイプのアベイラビリティーゾーン別一覧表 – サーバーワークスエンジニアブログ
- [t3a対応版]東京リージョンで構築可能なインスタンスタイプのアベイラビリティーゾーン別一覧表 – サーバーワークスエンジニアブログ

↑

EC2の休止(ハイバネート) †

ハイバネート: メモリの内容をDiskへ保存
サスペンド: メモリの内容をそのまま保存

Linux インスタンスの休止 - Amazon Elastic Compute Cloud
- メモリ内容をEBSに保存する事で、起動が速い。
- 事前にEC2を足しておきたいが、プロセスの起動に時間がかかるようなケースで有用。
- 対応したAMI, インスタンスのみ
- EBS、Elastic IPの料金はかかる。

記事
- [アップデート]CloudFormationでEC2インスタンスの休止機能を有効化できるようになりました！｜ Developers.IO
- 新機能 – EC2インスタンスの休止 | Amazon Web Services ブログ

↑

Auto Scaling †

記事

↑

Spot Instance: RIより安いが、指定価格によって終了する †

Amazon EC2 スポットインスタンス | AWS
- 指定した価格よりスポットインスタンスの価格が上がった場合は、EC2が終了する。
- 終了2分前に中断の通知が発生する
- Spot InstanceではEBSインスタンスでもstopできず、start/terminateのみ可能
- EC2はステートレスな利用に向いている
- ログはS3/CloudWatchに保存するようにする。fluentdを使えば、プロセス終了時にflushできる

記事
- 【AWS Summit Tokyo 2019 セッションレポート】EC2スポットインスタンスのすべて #AWSSummit ｜ Developers.IO
- [レポート] Amazon EC2 スポットインスタンスの各社の利用例についてご紹介 #AmazonGameTech #AmznGameTechJP ｜ Developers.IO

↑

トラブルシューティング †

EC2のステータスがpending
- EBSが問題の場合
  - EC2からVolumeをクリック -> 「○○前からボリュームがアタッチ中のまま動いていません。」->ケース作成で、サポートに英語でissueが作成できる。サポートプランがbasicでもOK。

記事
- EC2 enables replacing root volumes for quick restoration and troubleshooting ec2を起動したま、root volumeをebs snapshotから復元できるようになった
- SELinuxの無効化ミスでEC2起動不可になった際の対応 – サーバーワークスエンジニアブログ
- SingleAZ配置のEC2インスタンスで障害発生時の影響を最小化する｜ DevelopersIO
- EC2 の「強制的に停止 (Forcefully Stop)」操作を紹介します｜ DevelopersIO

↑

EC2が起動できない場合 †

記事

↑

kernel panic: †

新着 – カーネルパニックをトリガーし、応答しない EC2 インスタンスを診断 | Amazon Web Services ブログ

↑

EBS operational issueの場合 †

現象
- EC2がpendingのまま起動しない。
  - 該当EBSのページを表示すると、「○○前からボリュームがアタッチ中のまま動いていません。」->ケース作成で、サポートに英語でissueを作成できる。basicプランでも。
- Linux上で該当EBSにアクセスするとレスポンスが無い

解決方法：スナップショットを作成し、既存EBSと入れ替える。

EC2をstop
問題のEBSを選択し、右クリック > スナップショット作成わかりやい名前を付ける。(<hostname>-root, <hostname>-ebs1等)
- snapshot作成に失敗する場合があった。「An internal error has occurred」
古いEBSは削除

↑

Instance Connect: SSHの接続をIAMで管理 †

Public IPが必要。
接続元～EC2へ22/tcpが疎通可能な事。
特定のLinuxディストリビューション
- Amazon Linux 2, Ubuntu 16.04移行

記事

↑

Nitoro世代インスタンスとNVMeデバイス †

m5, t3シリーズ等。

インスタンスタイプ - Amazon Elastic Compute Cloud

変更点
- AMIが対応していないと起動できない。kernelにNVMeドライバが含まれているか。
  - NG: CentOS 6公式
  - OK: CentOS 7公式
- EBSのデバイス名が違う。CentOS 7公式の場合
```
/dev/nvme0n1p1 / (root volume)
/dev/nvme1n1   /mnt/ebs0
/dev/nvme2n1   /mnt/ebs1
```
- fstypeを調べるコマンド
```
sudo file -s /dev/nvme?n*
```

記事
- Nitro世代にインスタンスタイプを切り替えたいっ！~準備からトラブルシューティングまで~ ｜ DevelopersIO
- 高負荷システムでNVMeデバイス使用時のfstrimとdiscard mount optionの話 - たごもりすメモ

↑

暗号化 †

記事
- [アップデート] これは簡単！EC2 起動時にルートボリュームを1ステップで暗号化できるようになりました！｜ DevelopersIO

↑

インスタンスタイプ選定 †

dev環境: t2/t3
- CPU使用率が低い。または、短時間のみ使用率が高い。

prod環境: m5
- CPU使用率が高い状態が続く。

記事
- ちょっと待ってください!あなたが使うべきは本当にT系インスタンスですか!? ｜ DevelopersIO

↑

WindowsServer †

記事
- EC2 Windowsのストレージ(EBSボリューム)の容量を拡張する手順 | Developers.IO
- Windows Server EC2の管理者パスワードについて調べてみた｜ DevelopersIO

↑

Private SubnetのEC2に接続する †

Private Subnet上のEC2はPublic IPを割り当てても通信できない。

記事
- プライベートなEC2に一時的にSSHする3つの方法｜ DevelopersIO

↑

削除 †

記事
- [TIPS] AMIとそれに紐づくスナップショットをBash Scriptでまとめて削除する｜ DevelopersIO

↑

CPU stealが高い †

m3.mediumの場合、CPU stealが高く、プログラムの挙動が遅くなる時がある。他のインスタンスタイプへの移行を検討。
- t2シリーズは普段はCPU利用率が低く、瞬間的にCPU利用率が上がる場合に適している。(開発用やbatch処理等)。CPUクレジットを使い切ると、バーストしなくなるので注意。
- 常時CPU利用率が高い場合は、m4/m5のインスタンスを検討。large以上のみのため高い
記事
- m3.medium のインスタンスの CPU 負荷が高かったため t2.medium へ移行した - Feedforce Developer Blog

↑

セキュリティグループ †

制限
- EC2-Classicの場合、1アカウント、1リージョン、500個まで。1個あたり、100ルールまで。
  - Linux インスタンスの Amazon EC2 セキュリティグループ - Amazon Elastic Compute Cloud
- EC2-VPCの場合、1アカウント、1リージョン、デフォルト500個まで。1個あたり、50ルールまで。上限緩和申請で拡張可能。
  - Amazon VPC の制限 - Amazon Virtual Private Cloud

別AWSアカウントのセキュリティグループも指定できる。
- <AWS account ID>/sg-xxxx
- 同一リージョンのみ

↑

タグ付け †

Amazon EC2 リソースタグ
- key:
  - 使用可能文字: A-Za-z0-9\-\_
  - CamelCase?
- value

値が複数の場合の区切り文字: ";", ",", "|"

Amazon EC2 リソースにタグを付ける - Amazon Elastic Compute Cloud タグの制限事項等
Amazon EC2 リソースタグ

↑

EC2の強制停止 †

ホストのハードウェア故障等で、突然再起動したり、その後起動しない場合がある。
- AWS管理コンソール上のステータスは0/2で正常に起動しない
- AWS管理コンソールからstopを実行しても、stoppingのままで処理が進まない。

対応
- stop-instances — AWS CLI 1.11.76 Command Reference --forceオプションを試す(AWS supportの回答)。10分程度待つと停止した。
- AWS supportにお願いする

awscliで強制停止例

aws ec2 stop-instances --instance-id i-xxxx --force --profile default --region ap-northeast-1

↑

Public DNSとPrivate DNSの自動変換 †

Amazon EC2 インスタンスの IP アドレッシング - Amazon Elastic Compute Cloud
外部 DNS ホスト名を解決すると、インスタンスのパブリック IP アドレス (インスタンスのネットワーク外の場合) およびインスタンスのプライベート IPv4 アドレス (インスタンスのネットワーク内からの場合) となります。

↑

ベンチマーク †

記事
- AWS Graviton2 新CPUの性能検証 | 外道父の匠
- AWS EC2 全インスタンスのCPUベンチマークを取った | ロードバランスすだちくん

↑

SSHログインできない場合 †

AWSの場合、ssh設定ファイルを間違えたり、iptablesを間違えたりするとsshログインできなくなる。
他のクラウドでは管理画面からターミナルを開けたりするので最悪そこから編集できる。

記事
- EC2インスタンスにログインできなくなったら……。〜Linux編〜｜ DevelopersIO
- ログインできないec2インスタンスを調査する｜ Developers.IO

問題のEC2のEBSルートボリュームのスナップショットを作成。停止できるなら、停止してルートEBSを外しても良い
新規で調査用EC2を作成
EBSスナップショットからEBSを作成し、調査用インスタンスにアタッチ
調査用EC2でマウントして、調査する
修正できるなら、問題のEC2のルートボリュームを作成したEBSと入れ替えて起動

↑

cloud-init: EC2起動時にコマンド実行 †

Memo/Linux/cloud-init#xb2eb07e

↑

グローバルIPを取得 †

Linux インスタンス用の受信トラフィックの認可

EC2以外のホストでも使えるので便利

curl http://checkip.amazonaws.com/
curl https://checkip.amazonaws.com/

EC2インスタンスの情報は Memo/AmazonWebServices#n9149545 で取得できる

↑

NTP †

Amazon Time Sync Service で時間を維持する | Amazon Web Services ブログ
- 169.254.169.123 を指定すれば良い
Linux インスタンスの時刻の設定

記事
- Amazon Time Sync Service で時刻同期した EC2 サーバから時刻同期する｜ DevelopersIO
- Amazon Linuxにおけるシステム時計とNTP ｜ Developers.IO

↑

EBSスナップショットの別リージョンへのコピー †

今まで面倒だったEBSスナップショットのリージョン間のコピーが ec2-copy-snapshot で出来るようになった

記事
- Amazon EBS Snapshotのリージョン間コピー機能リリース！｜クラスメソッド開発ブログ

要:Amazon EC2 API Tools : Developer Tools : Amazon Web Services 1.6.6.0 2012-12-01 以降
```
./ec2-copy-snapshot --region ap-southeast-1 -r ap-northeast-1 -s snap-xxxxx
```

↑

fdiskでEBSインスタンスのROOTデバイスを拡張 †

記事
- AWS Marketplace版CentOSとの格闘記録 | AWS情報ブログ
- CentOS on Amazon EC2 でディスクサイズ変更しても変わらないときの対処方法｜ Developers.IO dracut-modules-growroot を使う方法
- packerでhvmでもresize2fsをできるようにしてrebootを回避する - Qiita packerで自動化する方法
- growpartでRHEL EC2のルートパーティションを自動拡張するサーバーワークスエンジニアブログ cloud-utilsのgrowpartを使う方法。2回再起動が必要とある
- EC2のCentOS-HVMでディスクのサイズを変更する | Hack cloud-utilsのgrowpartを使う方法。再起動が必要。実際に試したところ、Status Checks 1/2とエラーが出たのでstop&startが必要だった
- suz-lab - blog: サイズの小さなAMIからブートディスク(EBS)を大きくしてEC2を起動
- EBS-backedインスタンスのrootボリュームをサイズ増量 | koba206の開発WIKI
  - 方法1:EBS instanceをstop > ebs detach > snapshopt作成 > volume作成(増量) > ec2にattach > ec2起動
1. EBS instance
- 方法2:起動中EC2 Instanceのsnapshot作成 > AMI作成 > 起動 > 元といれかえ
- suz-lab - blog: パーティション分割されたEBSを"resize2fs"で拡張
- suz-lab - blog: "resize2fs"でEBSの容量を増やす

ManageMentconsoleから拡張して起動した場合
```
#  m1.largeの例
resize2fs /dev/xvde1
reboot
```

上記でエラーが出るケースや、パーティションを切ってある場合

m1.largeの例。ManageMentconsole からROOTデバイスを40GBに拡張した場合

fdisk /dev/xvde
----
Command (m for help): p
...
Device Boot Start End Blocks Id System
/dev/xvde1 * 1 1044 8385898+ 83 Linux
----
Command (m for help): d 
Selected partition 1
----
Command (m for help): n
Command action
e extended
p primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-5221, default 1): 
Using default value 1
Last cylinder, +cylinders or +size{K,M,G} (1-5221, default 5221): 
Using default value 5221
----
Command (m for help): p
...
Device Boot Start End Blocks Id System
/dev/xvde1 1 5221 41937651 83 Linux
----
Command (m for help): w
...
----
reboot

resize2fs /dev/xvde1
df -h
Filesystem Size Used Avail Use% Mounted on
/dev/xvde1 40G 2.6G 35G 7% /
...

↑

IAM ROLE(ec2 instance profile)を使う †

Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する
- IAM ROLE付きEC2を起動するために必要な権限等
```
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "iam:PassRole",
      "iam:ListInstanceProfiles",
      "ec2:*"
    ],
    "Resource": "*"
  }]
}
```

記事

↑

AMIをPVからHVMへ変換 †

仮想化方式の違いで、PV, HVMがある。

PV(paravirtual, 準仮想化): AKI(kernel), ARI(ramdisk)を使う方式(Amazonが用意したkernel+ramdisk)と、PV-GRUBを使う方式(PV-GRUB用AKIを使って、grub.confに書いたkernelを読む)がある
HVM(Hardware-assited VM, 完全仮想化): 物理マシンとほぼ同じ。ブート領域(GPT, MBR) + ブートローダ(GRUB)が必要。XENのモジュール追加は必要。T2インスタンスはHVMのAMIのみに対応

記事

↑

t2/t3シリーズ †

特徴
- バースト性能を持つ。(EBS General purposeタイプ)
- メモリがt1より多い
- 価格がt1より安い

t3シリーズ
- CPUのバーストパフォーマンスのデフォルトがunlimited 。高負荷が永続するような使い方では、他の固定パフォーマンスのようが安くなる場合もある。

アカウント単位でデフォルトのCpuCreditsを「standard/unlimited」で指定できるようになった。
- [新機能] Amazon EC2 T系インスタンスの無制限モードをアカウントレベルで設定可能になりました｜ Developers.IO

記事

↑

Root Deviceをinstance storeからEBSに変換する †

記事
- 雑記帳 - instance-storeのEC2をEBSブートのEC2に変換する

試行錯誤の結果、rsyncでは失敗し以下の方法で成功した。
EC2起動に失敗する場合、EC2起動時のstatus checkが1/2等になっていた。

例
- AWS ACCOUNT ID: 000000000000
- AWS pk: ~/.aws/pk.pem
- AWS cert: ~/.aws/cert.pem
- / : root device 10GB
- /mnt: ephemeral disk 160GB

移行対象サーバにec2-ami-toolsのインストール

wget http://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip
unzip ec2-ami-tools.zip
rm ec2-ami-tools.zip
ln -s ec2-ami-tools-1.4.0.9 ec2-ami-tools

instance storeのイメージをephemeral diskに作成

export EC2_HOME=~/ec2-ami-tools
~/ec2-ami-tools/bin/ec2-bundle-vol -r x86_64 -e /mnt -d /mnt/ -k ~/.aws/pk.pem -c ~/.aws/cert.pem -u 000000000000

新しいEBS volumeを作成し、インスタンスにattach
- AZ: インスタンスと同じ
- device: /dev/sdf
- size: 10GB

イメージからEBSに書き込み

time dd if=/mnt/image of=/dev/sdf
real    32m42.451s

fsck /dev/sdf

rm -f /mnt/{image,image.*}

EBSをdetach
EBSからsnapshotを作成
snapshotからAMIを作成
- Kernel ID: aki-xxxxxxxx, RAM Disk ID: ari-xxxxxxxx を元のEC2と同じに合わせる必要がある。特に指定が無い場合は default
AMIからEC2インスタンスを起動
使い終わった10GBのEBSは削除して良い

↑

EC2 AMI作成時に"The parameter iops is not supported for standard volumes." †

ManagementConsoleから下記構成のEBSインスタンスのAMIを取ろうとすると、"The parameter iops is not supported for standard volumes."が発生した

Type Device    Snapshot ID Size Volume Type IOPS Delete on Termination
Root /dev/sda1             8    standard         true
EBS  /dev/sdf              10   standard         false

他の同じ構成のインスタンスでは発生せず。このインスタンスだけ
AMI 作成時に10GB EBSをRemoveすると作成できた
作成したAMIからEC2を起動し、後からEBS 10GBを付与したインスタンスに対して、AMI作成はできた

↑

EC2でELBのヘルスチェックを許可 †

EC2 apache

<Files healthcheck.txt>
    Satisfy Any
    Allow from 10.0.0.0/8
</Files>

↑

instance metadata: EC2インスタンス内で取得できる値 †

IMDSv2

インスタンスメタデータとユーザーデータ - Amazon Elastic Compute Cloud

# GETが無い場合、curl/wgetでも取得可能
# 取得できる値一覧
curl -s -m 1 http://169.254.169.254/latest/meta-data/

# availability-zone (ap-northeast-1a)
curl -s -m 1 http://169.254.169.254/latest/meta-data/placement/availability-zone

# ユーザデータの取得
curl -s -m 1 http://169.254.169.254/latest/user-data

記事
- [アップデート] インスタンスメタデータに 5 つのフィールドが追加されました | Developers.IO