AWS - NAT インスタンスが開始される前に LaunchConfig が開始する (CloudFormation)

Question 1

Cloudwatcher さんの回答は正しかったのですが、今後同様の問題に遭遇する人のために詳しく説明したいと思います。

CloudFormation テンプレートの 'DependsOn' 属性は、リソースが完了したことを通知したときに満たされます。デフォルトでは、これは Amazon がリソースを作成したときであると私は考えています。私の例では、NAT インスタンスは実際に作成されており、インスタンスが通知していたときです。ただし、インスタンス内の構成と設定が完了していなかったため、他のインスタンスが NAT を利用しようとするまで、NAT は動作しませんでした。その後、他のインスタンスは NAT インスタンスを介してインターネットに接続できなかったため失敗しました。

デフォルトのシグナリングは手動で上書きできます。つまり、アクションを実行してから完了したらシグナルを送信できます。それに依存する他のすべてのリソースの 'DependsOn' 属性は、適切に機能します。これを行うには、EC2 インスタンス内の Amazon ヘルパースクリプト、具体的には 'cfn-init' と 'cfn-signal' を使用します。EC2 インスタンス (または自動スケーリンググループ) の 'UserData' プロパティで、yum install aws-cfn-bootstrap を実行してスクリプト (または使用しているパッケージマネージャー) を取得します。次に、UserData 内で初期化手順を実行し、完了したら、cfn-signal を使用してリソースが完了したことをシグナル送信します。次に例を示します。

"UserData"       : { "Fn::Base64" : { "Fn::Join" : ["", [
            "#!/bin/bash -xe\n",
            "yum update -y aws-cfn-bootstrap\n",
            "wget <<URL FOR YOUR INIT BASH SCRIPT HERE>> -O - | bash\n",

            "/opt/aws/bin/cfn-init -v ",
            "         --stack ", { "Ref" : "AWS::StackName" },
            "         --resource <RESOURCE TO SIGNAL HERE> ",
            "         --region ", { "Ref" : "AWS::Region" }, "\n",

            "/opt/aws/bin/cfn-signal -e $? ",
            "         --stack ", { "Ref" : "AWS::StackName" },
            "         --resource <RESOURCE TO SIGNAL HERE> ",
            "         --region ", { "Ref" : "AWS::Region" }, "\n"
            ]]}}

これが誰かの役に立つことを願います。

Answer

Cloudwatcher さんの回答は正しかったのですが、今後同様の問題に遭遇する人のために詳しく説明したいと思います。

CloudFormation テンプレートの 'DependsOn' 属性は、リソースが完了したことを通知したときに満たされます。デフォルトでは、これは Amazon がリソースを作成したときであると私は考えています。私の例では、NAT インスタンスは実際に作成されており、インスタンスが通知していたときです。ただし、インスタンス内の構成と設定が完了していなかったため、他のインスタンスが NAT を利用しようとするまで、NAT は動作しませんでした。その後、他のインスタンスは NAT インスタンスを介してインターネットに接続できなかったため失敗しました。

デフォルトのシグナリングは手動で上書きできます。つまり、アクションを実行してから完了したらシグナルを送信できます。それに依存する他のすべてのリソースの 'DependsOn' 属性は、適切に機能します。これを行うには、EC2 インスタンス内の Amazon ヘルパースクリプト、具体的には 'cfn-init' と 'cfn-signal' を使用します。EC2 インスタンス (または自動スケーリンググループ) の 'UserData' プロパティで、yum install aws-cfn-bootstrap を実行してスクリプト (または使用しているパッケージマネージャー) を取得します。次に、UserData 内で初期化手順を実行し、完了したら、cfn-signal を使用してリソースが完了したことをシグナル送信します。次に例を示します。

"UserData"       : { "Fn::Base64" : { "Fn::Join" : ["", [
            "#!/bin/bash -xe\n",
            "yum update -y aws-cfn-bootstrap\n",
            "wget <<URL FOR YOUR INIT BASH SCRIPT HERE>> -O - | bash\n",

            "/opt/aws/bin/cfn-init -v ",
            "         --stack ", { "Ref" : "AWS::StackName" },
            "         --resource <RESOURCE TO SIGNAL HERE> ",
            "         --region ", { "Ref" : "AWS::Region" }, "\n",

            "/opt/aws/bin/cfn-signal -e $? ",
            "         --stack ", { "Ref" : "AWS::StackName" },
            "         --resource <RESOURCE TO SIGNAL HERE> ",
            "         --region ", { "Ref" : "AWS::Region" }, "\n"
            ]]}}

これが誰かの役に立つことを願います。

Question 2

セキュリティグループやトラフィックの許可などについては、考慮すべき点がいくつかあります。しかし、NATに関しては、NAT起動設定で次のことを実行していないことを確認してください。

/opt/aws/bin/cfn-signal

セットアップとパススルースクリプトが完了するまで。NAT に「DependsOn」している場合は、CloudFormation スタックがこの信号を受信するまで続行されません。

[編集] 今日(2015-12-18)以降にこれを見ている人は、AWS が提供する NAT マネージドサービスへの移行を真剣に検討する必要があります。詳しくはこちら:

Answer

セキュリティグループやトラフィックの許可などについては、考慮すべき点がいくつかあります。しかし、NATに関しては、NAT起動設定で次のことを実行していないことを確認してください。

/opt/aws/bin/cfn-signal

セットアップとパススルースクリプトが完了するまで。NAT に「DependsOn」している場合は、CloudFormation スタックがこの信号を受信するまで続行されません。

[編集] 今日(2015-12-18)以降にこれを見ている人は、AWS が提供する NAT マネージドサービスへの移行を真剣に検討する必要があります。詳しくはこちら:

AWS - NAT インスタンスが開始される前に LaunchConfig が開始する (CloudFormation)

答え1

答え2

関連情報