【小ネタ】Windowsでcfn-signalを使用する時の注意
ウィスキー、シガー、パイプをこよなく愛する大栗です。
Windows ServerのEC2インスタンスをCloudFormationで構成していたのですが、少し嵌った事があったので注意点をまとめてみます。EC2のOSはAmazon Linuxを使用することが多いのですが、Windowsの場合に異なる部分がありました。
CloudFormationでEC2を作成する時のポイント
CloudFormationでEC2インスタンスを構成するときに、UserDataやCloudFormation::Initを使用してミドルウェアをインストールすることで一発で環境を構成することができます。しかし、ここで問題になるのがリソースの作成順序です。
CloudFormationでEC2インスタンスを作成するときにはステータスがrunningになるとリソースとしてはCREATE_COMPLETEになり、作成したEC2に依存しているリソースの作成処理が流れてしまいます。するとUserDataでミドルウェアをインストールする前に後続処理が走ってしまい都合が悪くなります。例えばWebサーバをインストールする前にELBに登録されてしまい、Unhealthyになりなかなかつながらない場合などがあります。
この場合は、WaitConditionとWaitConditionHandleを利用します。UserDataの処理の最後でcfn-signalコマンドを実行してWaitConditionHandleへシグナルを送ります。WaitConditionHandleにシグナルが送られるとWaitConditionがCREATE_COMPLETEとなります。つまり、UserDataの実行後にリソースを作成したい場合には、作成したいリソースのDependsOn属性でWaitConditionを指定すれば良いのです。
嵌ったこと
Windowsでcfn-signalコマンドを使用した時に問題が発生しました。
cfn-signalコマンドはドキュメントによると以下の様な形式でWaitConditionHandleへシグナルを送ります。
cfn-signal --success|-s signal.to.send \
--reason|-r resource.status.reason \
--data|-d data \
--id|-i unique.id \
--exit-code|-e exit.code \
waitconditionhandle.url
Linuxの場合
Amazon Linux(ami-374db956)で起動するときには、以下の様なテンプレートで起動できます。cfn-signalコマンドは以下のようになります。
"/opt/aws/bin/cfn-signal -e $? -r \"AppServer01 setup complete\" '", { "Ref" : "Srv01WaitHandle" }, "'"
{
"AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "Linux Stack",
"Resources" : {
"Srv01WaitHandle" : {
"Type" : "AWS::CloudFormation::WaitConditionHandle"
},
"Srv01WaitCondition" : {
"Type" : "AWS::CloudFormation::WaitCondition",
"Properties" : {
"Handle" : {"Ref" : "Srv01WaitHandle"},
"Timeout" : "900"
}
},
"Server01": {
"Type": "AWS::EC2::Instance",
"Properties": {
"ImageId": "ami-374db956",
"InstanceType": "c4.large",
"KeyName": "KeyPairName",
"UserData": { "Fn::Base64": { "Fn::Join": [ "", [
"#! /bin/bash -v", "\n",
"sleep 180", "\n",
"# All is well so signal success", "\n",
"/opt/aws/bin/cfn-signal -e $? -r \"AppServer01 setup complete\" '", { "Ref" : "Srv01WaitHandle" }, "'"
]]}}
}
}
}
}
EC2インスタンスが起動してから180秒以上経ってからWaitConditionがCREATE_COMPLETEになります。
Windowsの場合
Windows Server 2012 R2(ami-0f19db6e)で、ImageIdを変更してUserDataを以下のようにcfn-signalコマンドを書き換えてテンプレートを実行してみました。
"<script>", "\n",
"powershell.exe -command Start-Sleep -s 180", "\n",
"", "\n",
"cfn-signal.exe -e %ERRORLEVEL% -r \"AppServer01 setup complete\" \"", { "Ref" : "Srv01WaitHandle" }, "\"", "\n",
"</script>"
しかし、WaitConditionがCREATE_COMPLETEにならずに、そのままタイムアウトしてCREATE_FAILEDになってしまいます。
Windowsの正しいcfn-signalの呼び方
正しい呼び方は、『AWS CloudFormation の Windows スタックのブートストラップ』というドキュメントに記載がありました。
Windows スタックでは、待機条件ハンドル URL を再度 base64 エンコードする必要があります。
つまりFn::Base64関数を使えということでした。書き換えたテンプレートの全体は、以下のようになります。
cfn-signalの部分は"cfn-signal.exe -e %ERRORLEVEL% -r \"AppServer01 setup complete\" \"", { "Fn::Base64" : { "Ref" : "Srv01WaitHandle" }}, "\"", "\n"となります
{
"AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "Linux Stack",
"Resources" : {
"Srv01WaitHandle" : {
"Type" : "AWS::CloudFormation::WaitConditionHandle"
},
"Srv01WaitCondition" : {
"Type" : "AWS::CloudFormation::WaitCondition",
"Properties" : {
"Handle" : {"Ref" : "Srv01WaitHandle"},
"Timeout" : "900"
}
},
"Server01": {
"Type": "AWS::EC2::Instance",
"Properties": {
"ImageId": "ami-0f19db6e",
"InstanceType": "c4.large",
"KeyName": "KeyPairName",
"UserData": { "Fn::Base64": { "Fn::Join": [ "", [
"<script>", "\n",
"powershell.exe -command Start-Sleep -s 180", "\n",
"", "\n",
"cfn-signal.exe -e %ERRORLEVEL% -r \"AppServer01 setup complete\" \"", { "Fn::Base64" : { "Ref" : "Srv01WaitHandle" }}, "\"", "\n",
"</script>"
]]}}
}
}
}
}
上記のテンプレートでは問題なくWaitConditionがCREATE_COMPLETEとなりました。
さいごに
正直cfn-signalの仕様をLinux版とWindows版で合せて欲しい部分でしたが、LinuxとWindowsではCloudFormationの書き方に細かい違いがあるので、注意して作成する必要があります。
![[アップデート] AWS CDK でリプレースメントタイプの更新が含まれている場合に自動的に `--no-rollback` フラグを無効にするか、ユーザーに確認を求める機能が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-5cf97530609f228b0c0aa35bb42ef118/177aae4f779b47783f481bd82859ff0b/aws-cdk)
