【AWS】AnsibleでLightsailインスタンスを作る【Lightsail】

【AWS】AnsibleでLightsailインスタンスを作る【Lightsail】:

はじめに

先日、AWSでLightsailインスタンスを作った際、CloudFormationが未対応だったのでAnsibleでインフラ構成を定義・構築しました。
lightsail - Create or delete a virtual machine instance in AWS Lightsail — Ansible Documentation

2018/11/24現在、まだCloudFormationはLightsailに対応していないようです。

AnsibleでLightsailインスタンスを構築した際、完全に自動化できず幾つか手動で対応が必要だったこと、Lightsail特有のハマりポイントがあったことから、記録として残します。

TL;DR

• Lightsail利用時の注意
  
  
  • SSH用の鍵ペアはEC2とは別管理
  • 固定グローバルIPアドレスは「Static IP」というものが用意されている
  • Static IP≒Elastic IPであるが、それぞれ別管理
• AnsibleのLightsailモジュール利用時の注意
  
  
  • Static IPの取得・割り当て等は未対応
• Ansibleのroute53モジュール利用時の注意
  
  
  • AssumeRoleするprofileを利用しているとtaskが失敗するケースがある

目的・概要

Ansible Playbookで下記の作業を全て実施できれば理想ですが、lightsailモジュールではStatic IPの操作は未対応のようです。したがって、この作業は手動で行う必要がありました。

Ansible Playbook化出来たのは、以下の項番2～4までとなります。

1. Static IPの確保
2. Lightsailインスタンスの作成
3. Static IPのLightsailインスタンスへの割り当て
4. 当該Static IPを指すRoute53 CNAMEレコードの作成

ちなみにStatic IPとは、EC2で言うところのElastic IPのようなものです。ただし、EC2用のそれとは別管理であるため、Lightsailサービス内で新たにStatic IPを取得する必要があります。

Static IP addresses in Amazon Lightsail | Lightsail Documentation

作成したPlaybook

作成したPlaybookはGitHub上に公開しました。
https://github.com/tmiki/server-config/tree/master/ansible

上記リポジトリには他のPlaybookもたくさん入っていますので、本稿に関するもののみを抜粋します。

ansible-playbookコマンドから指定して実行するファイルは下記となります。「aws_lightsail_wp」というRoleを別途定義し、これを読み込んでいます。

aws_lightsail_wp.yml

# 
# aws_lightsail_wp.yml 
# 
--- 
- hosts: localhost 
  connection: local 
  gather_facts: False 
  roles: 
   - aws_lightsail_wp 
 

「aws_lightsail_wp」Roleの実体です。

roles/aws_lightsail_wp/tasks/main.yml

# 
# aws_lightsail_wp 
# 
--- 
 
- name: Create a Lightsail instance 
  lightsail: 
    state: present 
    name: "{{ lightsail_wp.instance_name }}" 
    profile: "{{ aws_profile }}" 
    region: "{{ region }}" 
    zone: "{{ az_primary }}" 
    blueprint_id: "{{ lightsail_wp.blueprint_id }}" 
    bundle_id: "{{ lightsail_wp.bundle_id }}" 
    key_pair_name: "{{ lightsail_wp.key_pair_name }}" 
    user_data: " echo 'hello world' > /home/ubuntu/test.txt" 
    wait_timeout: 500 
  register: _lightsail_instance 
- debug: 
    var: _lightsail_instance 
- debug: 
    msg: 
     - "Name is {{  _lightsail_instance.instance.name  }}" 
     - "Arn is {{  _lightsail_instance.instance.arn  }}" 
  when: not ansible_check_mode 
 
- name: Retrieve a global IP address from the Static IP 1/2 
  command: "aws lightsail --profile {{aws_profile}} get-static-ip --static-ip-name {{ lightsail_wp.static_ip_name }}" 
  register: _result 
  when: not ansible_check_mode 
 
- name: Retrieve a global IP address from the Static IP 2/2 
  set_fact: 
    _lightsail_static_ip: "{{ _result.stdout | from_json }}" 
  when: not ansible_check_mode 
- debug: 
    var: _lightsail_static_ip 
- debug: 
    msg: "Current static IP is {{ _lightsail_static_ip.staticIp.ipAddress }}" 
  when: not ansible_check_mode 
 
- name: Attach the Static IP with the Lightsail instance 
  command: "aws lightsail --profile {{aws_profile}} attach-static-ip --static-ip-name {{ lightsail_wp.static_ip_name }} --instance-name {{ lightsail_wp.instance_name }}" 
  when: 
   - not ansible_check_mode 
   - _lightsail_instance.instance.is_static_ip != true 
 
- name: Create a Route53 CNAME record points to the static IP address of the Lightsail instance 
  route53: 
    state: present 
    profile: "{{ aws_profile }}" 
    zone: "{{ route53zone }}" 
    record: "example-site.{{ route53zone }}" 
    type: A 
    ttl: 300 
    value: "{{ _lightsail_static_ip.staticIp.ipAddress }}" 
  when: not ansible_check_mode 
 

上記のtaskで利用している変数定義です。

hosts/dev1/group_vars/all.yml

--- 
env: dev1 
Env: "{{ env.capitalize() }}" 
 
aws_profile: dev1 
 
route53zone: "dev1.your-domain.com" 
 
region: ap-northeast-1 
az_primary: ap-northeast-1a 
az_secondary: ap-northeast-1c 
 
lightsail_wp: 
  blueprint_id: "wordpress_4_9_6" 
  bundle_id: "nano_2_0" 
  instance_name: "{{env}}-example-site" 
  static_ip: "{{env}}-example-site-ip" 
  key_pair_name: "{{env}}-lightsail-keypair" 
 

Lightsailインスタンス構築手順

必要な手順は下記のREADME.mdにまとめてあります。
https://github.com/tmiki/server-config/blob/master/ansible/README.md

各ステップについてそれぞれ説明します。

1. Create a key pair for Lightsail

まず最初にSSH用の鍵ペアを作ります。EC2用のものとLightsail用のものは独立して管理されているため、初めてLightsailインスタンスを作る際にはこちらも併せて作る必要があります。

鍵ペアの作成には「aws lightsail create-key-pair」コマンドを実行します。当該鍵ペアは「--key-pair-name」で指定した名前で保存されます。Lightsailインスタンスの作成時には、この名前で鍵ペアを指定することができます。

実行結果に秘密鍵が含まれるため、リダイレクトして保存しておくと良いでしょう。言うまでもないことですが、秘密鍵の取り扱いには十分注意します。

$ aws lightsail create-key-pair --key-pair-name dev1-lightsail-keypair > dev1-lightsail-keypair.json 

2. Allocate a new Static IP

次に、Static IPを取得します。Elastic IPとの大きな違いは、任意の名前を付与して管理できることです。ここでは「dev1-example-site-ip」という名称でStatic IPを取得しています。

$ aws lightsail allocate-static-ip --static-ip-name dev1-example-site-ip 
{ 
    "operations": [ 
        { 
            "status": "Succeeded", 
            "resourceType": "StaticIp", 
            "isTerminal": true, 
            "statusChangedAt": 1542990973.062, 
            "location": { 
                "availabilityZone": "all", 
                "regionName": "ap-northeast-1" 
            }, 
            "operationType": "AllocateStaticIp", 
            "resourceName": "dev1-example-site-ip", 
            "id": "47fb700f-ffff-ffff-ffff-ffffffffffff", 
            "createdAt": 1542990972.707 
        } 
    ] 
} 
 

「aws lightsail get-static-ips」コマンドで、取得済みのStatic IPを確認することが可能です。

$ aws lightsail get-static-ips 
{ 
    "staticIps": [ 
        { 
            "name": "dev1-example-site-ip", 
            "resourceType": "StaticIp", 
            "supportCode": "0123456789012/xx.xx.xx.xx", 
            "arn": "arn:aws:lightsail:ap-northeast-1:123456789012:StaticIp/9283dbfd-ffff-ffff-ffff-ffffffffffff", 
            "isAttached": false, 
            "ipAddress": "xx.xx.xx.xx", 
            "createdAt": 1542990972.707, 
            "location": { 
                "availabilityZone": "all", 
                "regionName": "ap-northeast-1" 
            } 
        } 
    ] 
} 

3. Modify variable definitions

自分の環境に合わせて、Ansible Playbook用の変数定義を編集します。当該Playbookの実行に必要な変数は、「hosts/*/group_vars/all.yml」に定義する想定です。

$ vi hosts/dev1/group_vars/all.yml 

4. Run the Playbook

Playbookを実行します。

$ ansible-playbook -vv -i hosts/dev1 aws_lightsail_wp.yml 

5.Create a Route53 record manually, if the Playbook fails.

このPlaybookは、取得したStatic IPを指すCNAMEレコードを自動的に作成します。

原因は不明（というより詳細は未調査）ですが、AssumeRoleするProfileを利用しているとレコードの作成に失敗します。最新のAnsible／AWS CLI／Boto3の環境で発生するかどうかは不明です。

このような場合、Route53レコードは手動で作る必要があります。

Playbookの解説

lightsailモジュール

varsで定義したパラメータ等を元に、Lightsailインスタンスを作成します。Lightsailはblueprintとして、WordpressやLAMP、Node.jsなど予め準備しており、これをもとに新たなLightsailインスタンスを構築することができます。

bundle_idは、簡単に言うとインスタンスサイズです。CPUやメモリ容量、転送可能なデータ量などのサーバリソースがセットになったものです。

blueprint_id、bundle_idの取得は下記記事を参照してください。

【小ネタ】AWS LightsailでblueprintIdやbundleIdを確認する【Lightsail】

key_pair_nameとして、先ほど手動で作った鍵ペアが指定されるよう、変数定義しておきます。

lightsailモジュール

- name: Create a Lightsail instance 
  lightsail: 
    state: present 
    name: "{{ lightsail_wp.instance_name }}" 
    profile: "{{ aws_profile }}" 
    region: "{{ region }}" 
    zone: "{{ az_primary }}" 
    blueprint_id: "{{ lightsail_wp.blueprint_id }}" 
    bundle_id: "{{ lightsail_wp.bundle_id }}" 
    key_pair_name: "{{ lightsail_wp.key_pair_name }}" 
    user_data: " echo 'hello world' > /home/ubuntu/test.txt" 
    wait_timeout: 500 
  register: _lightsail_instance 
- debug: 
    var: _lightsail_instance 
- debug: 
    msg: 
     - "Name is {{  _lightsail_instance.instance.name  }}" 
     - "Arn is {{  _lightsail_instance.instance.arn  }}" 
  when: not ansible_check_mode 

Static IPをLightsailインスタンスに紐づける

Static IPは先ほどのlightsailモジュールでは操作できません。そのため、「command」モジュールを用いて、AWS CLIを実行しています。

「aws lightsail attach-static-ip」コマンドで、先ほど生成したLightsailインスタンスに紐づけています。

なおこれに先立ち、「aws lightsail get-static-ip」コマンドで、先ほど手動で取得したStatic IPの実際のIPアドレスを取りだしていますが、これはこの後、Route53レコード作成に必要な情報となります。

StaticIP

- name: Retrieve a global IP address from the Static IP 1/2 
  command: "aws lightsail --profile {{aws_profile}} get-static-ip --static-ip-name {{ lightsail_wp.static_ip_name }}" 
  register: _result 
  when: not ansible_check_mode 
 
- name: Retrieve a global IP address from the Static IP 2/2 
  set_fact: 
    _lightsail_static_ip: "{{ _result.stdout | from_json }}" 
  when: not ansible_check_mode 
- debug: 
    var: _lightsail_static_ip 
- debug: 
    msg: "Current static IP is {{ _lightsail_static_ip.staticIp.ipAddress }}" 
  when: not ansible_check_mode 
 
- name: Attach the Static IP with the Lightsail instance 
  command: "aws lightsail --profile {{aws_profile}} attach-static-ip --static-ip-name {{ lightsail_wp.static_ip_name }} --instance-name {{ lightsail_wp.instance_name }}" 
  when: 
   - not ansible_check_mode 
   - _lightsail_instance.instance.is_static_ip != true 
 

Route53 CNAMEレコードの作成

Ansibleのroute53モジュールを利用して、CNAMEレコードを作成します。

ゾーン名は「route53zone」という変数で定義されます。当該Lightsailインスタンスに対応するドメイン名は、「lightsail_wp.site_hostname」変数及び「route53zone」変数を組み合わせたものとなります。

なお先日試した際には、AssumeRoleするProfileを利用したところ、レコードの作成に失敗しました。原因も詳しく調査していないので詳細は不明ですが、このような場合は手動でRoute53レコードを作る必要があります。

Route53

- name: Create a Route53 CNAME record points to the static IP address of the Lightsail instance 
  route53: 
    state: present 
    profile: "{{ aws_profile }}" 
    zone: "{{ route53zone }}" 
    record: "{{ lightsail_wp.site_hostname }}.{{ route53zone }}" 
    type: A 
    ttl: 300 
    value: "{{ _lightsail_static_ip.staticIp.ipAddress }}" 
  when: not ansible_check_mode 
 

おわりに

Lightsailのインフラ構成を定義・管理するという需要は恐らく小さいと思われるので、CloudFormationもAnsibleも完全に対応するのはまだ先のことでしょう。

それでも、出来る限り構成管理は進めていった方が、後々の管理が楽になりますので、可能な限りやっておいた方が良いでしょう。