Memo/Ansible/AWS

AWS(Amazon Web Services) †

• Amazon Web Services Guide — Ansible Documentation

• Amazon - Cloud modules

• 記事
  • Using Ansible on AWS EC2インスタンスを作成する ｜ Developers.IO

動作バージョン †

• python, pipのバージョン管理が難しい。特にsystemがpython2, 3を使っていると、ansibleやansible-galaxyが使うpythonを間違える場合がある。

• ansible 2.11.12, Ubuntu 20.04.4 LTS

  pyenv -v
  pyenv 2.2.4-1-4-g1e79a522
  
  python -V
  Python 3.6.8
  
  pip list | grep -P "ansible|boto"
  ansible                4.10.0
  ansible-core           2.11.12
  boto3                  1.23.10
  botocore               1.26.10
  
  
  ansible-galaxy collection list | grep aws
  amazon.aws    5.4.0
  community.aws 5.4.0

amazon.aws,community.aws †

• amazon.aws, community.aws: 相互に依存関係があって、片方いれると両方入る

記事:

• [Ansible] AWS 系コレクションは 2つある（amazon.aws、community.aws） - てくなべ (tekunabe)

• ansible 2.10まで

  ansible-galaxy collection install community.aws:4.5.0 -f
  ansible-galaxy collection install amazon.aws:4.4.0 -f

• python v2.7で動く

  ansible-galaxy collection install community.aws:1.5.0 -f
  ansible-galaxy collection install amazon.aws:1.5.0 -f

ec2_metadata_facts: ec2 metadataを参照する †

• ec2 instance idが必要な場合
  • 「ansible_board_asset_tag」にもec2 id入っていた。これはec2_metadata_facts不要
  • ec2_metadata_factsでは「ansible_ec2_instance_id」で参照できる

• amazon.aws.ec2_metadata_facts module – Gathers facts (instance metadata) about remote hosts within EC2 — Ansible Documentation

• cliで実行。どんな項目が取得できるか確認できる

  ansible -i hosts.ini -m ec2_metadata_facts -u centos host01

• playbookに足す場合:

    tasks:
    - ec2_metadata_facts:

• amazon.aws 5.0以上だと「The error was: AttributeError: 'module' object has no attribute 'JSONDecodeError'」が発生する。4.4.0以下だとエラーは出なかった。

  ansible-galaxy collection install amazon.aws:4.4.0 --force

CloudFormationのyamlの読み込み †

• 組み込み関数リファレンス - AWS CloudFormation

• yaml中の「!Ref」「!Sub」といったCloudFormationの短縮形があると以下のエラーが出て読めない。

  could not determine a constructor for the tag '!Ref'\n  in \"<unicode string>

• vars.yml:

    template_body: "{{ lookup('file','cloudformation/example.yml') | from_yaml }}"

• 置換する。関数によって「Fn::」が不用な点が注意
  • 「!Ref」->「Ref:」
  • 「!Sub」->「Fn::Sub:」

    - !Ref AwsAccountId
    + Ref: AwsAccountId

• awscliを使った検証。あくまで構文のチェックで、実行時にエラーが出る事もある。

  aws cloudformation validate-template --template-body file://cloudformation/example.yml --profile example

• 記事
  • AWS CloudFormation テンプレートの検証エラーまたは形式エラーを解決する
  • 【小ネタ】PythonでCloudFormationテンプレートをパースする時に組み込み関数の短縮系構文に邪魔されない方法 ｜ DevelopersIO

Dynamic Inventory: 動的にinventoryを取得 †

• Working With Dynamic Inventory — Ansible Documentation

• 記事
  • [AWS]AnsibleのDynamic Inventoryを使って実行対象のEC2をタグ等で柔軟に指定する ｜ DevelopersIO

AWS assume role †

• 参考 ~/.aws/config: Memo/AmazonWebServices/IAM#tfb76382
• account1がログイン用、account2がswitch先とする
• boto module の場合、単純にansible module側「profile: account2」を指定するだけでは、以下のエラーで失敗した。
  • ansible 2.5.x: Profile given for AWS was not found. Please fix and retry.
  • 例：ec2_remote_facts
  • ec2_elb_facts
  • route53

• boto3 module の場合、成功した
  • 例：aws_region_facts
• 「~/.boto -> ~/.aws/credentials」のようなsymlinkがあると失敗するので、「~/.boto」は消す
• sts_assume_role を使う場合

      - name: assume role
        sts_assume_role:
          role_arn: "{{ role_arn }}"
          role_session_name: session1
          region: "{{ region }}"
          profile: "{{ aws_profile }}"
        register: assumed_role
      - name: EC2 remote facts
        ec2_remote_facts:
          region: "{{ region }}"
          filters:
            instance-state-name: running
        register: result_ec2
        changed_when: False
        environment:
          AWS_ACCESS_KEY_ID: "{{ assumed_role.sts_creds.access_key }}"
          AWS_SECRET_ACCESS_KEY: "{{ assumed_role.sts_creds.secret_key }}"
          AWS_SESSION_TOKEN: "{{ assumed_role.sts_creds.session_token }}"
      - name: Number of running
        debug: msg="{{ result_ec2.instances | count }}"

コマンドのjson出力を取り込んで、yaml形式で出力する †

• Filters For Formatting Data
  • 文字列からjsonやyamlへの変換ができる
  • to_nice_yaml(indent=2)のような指定もできる

• ec2 describe-instancesの結果(json)を取り込んで、yaml形式で出力する
  • aws.ec2.list-instance.zip

aws profileを利用する †

いつのバージョンから(boto3 module？)か「~/.boto」は不用になった。 assume role利用の際に邪魔になるので、「~/.boto」は作らない方が良い。

「~/.aws/credentials」が既にある場合、ansibleからその中のアクセスキー等を利用したい。
ansibleのawsモジュールには profile: オプションで boto configの値を指定でき、フォーマットはaws configと同じなのでsymlinkで良さそう

• Boto Config — boto v2.42.0

• 例：dynamodb_table - Create, update or delete AWS Dynamo DB tables. — Ansible Documentation create, update, deleteは同時10テーブルまで。それ以上はエラーになるため、エラーが解消されるまで、複数回のansible実行が必要だった

• ansible v2.1, boto >= 2.24.0で動作確認できた。ansible v2.4.xは不具合があってdynamodb_tableは動かない

    tasks:
  #    - name: create symlink ~/.boto
  #      file: src=~/.aws/credentials dest=~/.boto state=link
  
      - name: Delete dynamodb table
        dynamodb_table:
          profile: "{{ aws_profile }}"
          region: "{{ aws_region }}"
          name: "{{ item }}"
          hash_key_name: "{{ item }}" # ドキュメントでは required:no だが、実行時にエラーが出るため追加
          state: absent
        with_items:
          - test

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件