AWS EC2(Amazon Linux 2 AMI)でよく行う設定をシェルスクリプトにしてみました | ライタス株式会社

お世話になります。 新入社員の田所です。

最近AWSでの構築のお仕事が重なり、「これ前もやった設定だな・・・」なんてことをSSHで設定する度に感じました。

なので最低限これはレシピとして持っておいて正解かな?っていう内容をシェルスクリプトにしてみました。
Amazon Linux 2 AMIでの方法ですのでご了承ください。
また、これだけではCloudWatch等サービスとの連携はできず、適切なIAMロールをEC2に適応する必要があります。
今回はEC2側の設定のみです。
※あくまで参考程度にして頂き、細かい設定は各環境に合わせて変更、運用してください。

今回は下記のような設定をスクリプトにしています。
  • 日本時間に設定
  • CloudWatchAgentのインストール、起動
  • ec2-userのロック、新規ユーザーの作成
  • CloudWatchLogsのインストール、設定、起動

↓が作成したものです。 

#!/bin/bash

# =====①アップデート======
yum -y update

# =====②インスタンス名を環境変数に定義しておく======
echo "export INSTANCE_NAME='product-ec2-web-1a'" >> /etc/profile
source /etc/profile

# =====③日本時間に設定======
cp -p /usr/share/zoneinfo/Japan /etc/localtime
cat << EOF > /etc/sysconfig/clock
ZONE="Asia/Tokyo"
UTC=true
EOF

# =====④amazon-cloudwatch-agentの設定======
yum install -y amazon-cloudwatch-agent
/opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s

# =====⑤新規ユーザーを作成し、ec2-userを使用不可にする======
USER_NAME="new_user"
groupadd -g 1010 $USER_NAME
useradd -u 1010 -g 1010 -G 10 $USER_NAME
echo "$USER_NAME ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
cp -R -p /home/ec2-user/.ssh/ /home/$USER_NAME/.ssh/
chown -R $USER_NAME:$USER_NAME /home/$USER_NAME/.ssh/
usermod -s /bin/false ec2-user

# =====⑥CloudwatchLogsの設定======
yum install -y awslogs
cat << 'EOF' > /etc/awslogs/awscli.conf
[plugins]
cwlogs = cwlogs
[default]
region = ap-northeast-1
EOF

# Logsに送信するログの定義
cat << 'EOF' > /etc/awslogs/awslogs.conf
[general]
state_file = /var/lib/awslogs/agent-state
[/var/log/messages]
datetime_format = %b %d %H:%M:%S
file = /var/log/messages
buffer_duration = 5000
log_stream_name = {instance_id}
initial_position = start_of_file
log_group_name = EC2-syslog-/var/log/messages
[/var/log/cron]
datetime_format = %b %d %H:%M:%S
file = /var/log/cron
buffer_duration = 5000
log_stream_name = {instance_id}
initial_position = start_of_file
log_group_name = EC2-syslog-/var/log/cron
[/var/log/secure]
datetime_format = %b %d %H:%M:%S
file = /var/log/secure
buffer_duration = 5000
log_stream_name = {instance_id}
initial_position = start_of_file
log_group_name = EC2-syslog-/var/log/secure
[/var/log/yum.log]
datetime_format = %b %d %H:%M:%S
file = /var/log/yum.log
buffer_duration = 5000
log_stream_name = {instance_id}
initial_position = start_of_file
log_group_name = EC2-syslog-/var/log/yum.log
EOF
sed -i "s/{instance_id}/$INSTANCE_NAME/g" /etc/awslogs/awslogs.conf
systemctl start awslogsd.service
systemctl enable awslogsd.service


補足


  • ②インスタンス名を環境変数に定義しておく
      複数のインスタンス識別しやすくするため環境変数に任意の名前を設定しています。(⑥で使用します)
  • ④amazon-cloudwatch-agentの設定
  • ⑤新規ユーザーを作成し、ec2-userを使用不可にする
      ec2インスタンスはデフォルトユーザーとしてec2-userを生成しますが、セキュリティ的には使用しないことが良いとされていますので、ec2-userをロックし、代わりの新規ユーザー(例ではnew-user)を作成します。
      今後は作成したユーザーでSSH接続できるようになります。 
      echo "$USER_NAME ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
      上記コマンドについてはパスワード確認無しで管理者権限のコマンドを実行できてしまいますので、運用にはご注意ください。
  • ⑥CloudwatchLogsの設定
      /etc/awslogs/awslogs.confでどのログファイルを送信するのか定義します。
      書き方の詳細は↓公式ドキュメントを参考
      https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/AgentReference.html

      今回は最低限見れるべき状態にしておきたい[/var/log/messages],[/var/log/cron],[/var/log/secure],[/var/log/yum.log]に絞っています。
      webサーバー(apache等)を稼働させている場合はそのログファイルも追加します。
      sed -i "s/{instance_id}/$INSTANCE_NAME/g" /etc/awslogs/awslogs.conf
      上記コマンドは①で定義した環境変数INSTANCE_NAMEの値をログストリーム名にしています。
      こうすることで、CloudWatchLogsで確認すると
      このようにインスタンスを一目で識別できます。
最後このスクリプトをEC2起動設定の「ステップ 3: インスタンスの詳細の設定」の「高度な詳細」の「ユーザーデータ」に張り付けるだけで一気に構築時に実行してくれます。
別の方法としてAnsibleとかで構成管理をすることも可能ですが、他で流用しにくいので、
今回のようにシェルスクリプトで持っておいてユーザーデータに流しこむ方が個人的には好きです!!
Terraformではユーザーデータを使用できるので、これをそのまま使えますね!


では、これからも精進致します!

コメント

  1. 匿名2022年3月5日 9:51

    Casinos Near Casinos Near Casinos in Philadelphia, PA | MapyRO
    Find Casinos Near 상주 출장샵 Casinos Near Philadelphia in Philadelphia, PA 양산 출장마사지 near 공주 출장마사지 Casino at Penn 충청북도 출장안마 National Race Course. MapYO.com is a trusted resource 영천 출장마사지 for information on

    返信削除

コメントを投稿

このブログの人気の投稿

Firefoxを起動したら、Couldn't load XPCOM. というエラーが出る時の対処法 | ライタス株式会社

イメージ
今朝方、Firefoxを起動したら、Couldn't load XPCOM. というエラーが出るようになり、起動できなくなりました。 確か、システムの復元が走ったので、そのせいかなと思います。 対処法については、こちらに記載がありました。 http://www.thewindowsclub.com/firefox-couldnt-load-xpcom-windows 英語だったので、日本語訳してみます。 XPCOM is a cross-platform component object model, which is similar to Microsoft COM, and is required for file and memory management, basic data structures and so on. XPCOMは、クロスプラットフォームコンポーネントで、Microsoft COMに似ています。このファイルはメモリー管理、基礎データ構造などに利用されています。 This Firefox start-up error can typically occur after performing a Windows System Restore or if you run it in a Sandbox. In fact I too received this message a few days back after I had system restore my omputer a couple of times to fix some other issues. Firefoxの起動エラーは、Windowsのシステム復元を行ったときに出ることがあります。実際、私もシステム復元のあとに、このメッセージが出た時は、次のように対処しました。 1] Open Firefox Menu, click the “?” Help button and select  Restart with addons disabled . If this solves your issue, you may need to disable some problem-causing addon. 1] Fire...
続きを読む

Hyper-VゲストOS再起動にご注意 | ライタス株式会社

今回は、Hyper-Vにまつわるトラブル(というか、現象)のご紹介です。  ある客先で、Hyper-Vゲストをシャットダウン -> 起動をする必要に見舞われたため、 メンテナンス時間を設けて、シャットダウンしました。 通常であれば、ステータスが何もない状態になるはずが、 「結合処理実行中...」 とかでてます。(この時点で、すごくやな予感・・・) ちなみに、結合処理について、解説しておくと。。。 仮想マシンで、スナップショットなどを取得している場合、 差分ディスク(ディスクといっても、実態はファイル・拡張子はavhd)というものが生成されます。 差分ディスクは、スナップショットを取得した時点から、次のスナップショットが 取得されるまでの差分を記録するものです。 スナップショットが削除されると、仮想マシンが停止した段階で、 差分ディスクの内容を、本体のディスクファイルに整合性を保つように 変更しにいきます。これが、結合処理です。 細かい結合処理の起動トリガーについては、以下を参考にするとよいと思います。 http://www.atmarkit.co.jp/fwin2k/verification/vpcwin06/vpcwin06_03.html 今回は、上のURL的には、ケース1に該当していたので、 結合処理中を無視して、再起動してしまいました。 (といっても、ケースに該当していたことを知ったのは、この記事を書いているときなんだけれども・・・) ですので、今回は障害にならなくて済みましたが、 状況によっては、最悪、仮想マシンが復帰してこない状況もありえたので、 いま考えても、結構怖いです。(バックアップはとってますが、、、始末書モノです、、、) 対応策としては、 運用で使っている仮想マシンは、スナップショットを取らない どうしても取ったほうがいい場合は、時期を見てサーバーを停止させて、ときどき結合処理を実施させる 停止状態にしない(停止状態でなければ、結合処理は実施されない・・・はず) といったところでしょうか・・・ avhdファイルが大きければ大きいほど、結合処理に時間がかかるので、 くれぐれも、ご用心を 今回の環境では、計40GBほどのavhdファ...
続きを読む

[未解決]w32time突然死の謎 | ライタス株式会社

最近は人的トラブル以外の技術的なトラブルが少ないので、 書くことが少なくて平和な日々を過ごしていますが、 そんなことを言いつつ、いろいろ巻き込まれています。 今回のお題は、毎度毎度お騒がせなWindows Timeサービスです。 前にも書いたことがあるような気がするのですが、(゚ε゚)キニシナイ!! イベントの種類: エラー イベント ソース: W32Time イベント カテゴリ: なし イベント ID: 30 説明: タイム サービスの構成をレジストリから読み取っているときにエラーが 発生しました。エラー: 指定されたファイルが見つかりません。 (0x80070002) なぜだか、突然Windows Timeサービスがお亡くなりになりました。 調べてみると、以下のKBが引っかかって来ました。 http://technet.microsoft.com/ja-jp/library/cc733213(v=ws.10).aspx 英語ェ・・・ とりあえず、net start w32timeでサービスを起こそうと思うのですが、 Windows Time サービスを開始します. Windows Time サービスを開始できませんでした。 システム エラーが発生しました。 システム エラー 2 が発生しました。 指定されたファイルが見つかりません。 とツレナイ答えが。 しょうがないので、KBを苦しみながら読んでみると、サービスを登録しなおせば大丈夫と書いてあるように見えるのですが、肝心の原因が書いてないです。 この現象が起きているのは、Hyper-V上のゲスト機だけなので、もしかしたら、Hyper-V周りでなにか起きているのかもしれないですが、 正直良くわからないままです。 どなたか答えを知ってたら教えて下さい。 他にも困っている人を発見してしまいました。。。 http://www.networksteve.com/forum/topic.php/Windows_Time_Service_will_not_start_after_reboot/?TopicId=6938&Posts=12 http://d.hatena.ne.jp/thinkAmi/20110925/13...
続きを読む