Получить идентификатор экземпляра EC2, в котором размещена задача ECS для определенного имени службы

Question

С помощью плагина AWS SSM вы можете войти в контейнер ECS с помощью следующего:

aws ssm start-session --target i-<ec2 instance target id>
sudo su
docker ps
docker exec -it <image id> bash

Хитрость заключается в том, чтобы сначала найти правильный идентификатор экземпляра ec2.Это можно сделать вручную с помощью нескольких вызовов командной строки.Например,

aws ecs list-container-instances --cluster <cluster name>
aws ecs list-tasks --cluster <cluster name>

Но это не дает мне именно того, что я хочу, - это быстрый скрипт или oneliner, чтобы иметь возможность указать имя службы ECS и немедленно войти в экземпляр EC2, на котором размещена задача дляэтот сервис.

Очевидно, что может быть несколько экземпляров, выполняющих несколько задач из одного сервиса - первый в порядке.

В итоге, как я могу получить идентификатор экземпляра EC2, который содержит задачу для определенного имени службы.В идеале этот идентификатор экземпляра может быть передан в команду aws ssm.

Answer 1

Наконец-то выяснили, как это легко сделать в Ruby с помощью нескольких системных вызовов AWS CLI для вывода карты ec2InstanceId в группу сервисов

#!/usr/bin/env ruby
require 'json'
cluster = ARGV[0]
container_instances = JSON.parse(`aws ecs list-container-instances --cluster #{cluster} |jq`)["containerInstanceArns"]
container_instances_metadata = JSON.parse(`aws ecs describe-container-instances --cluster #{cluster} --container-instances #{container_instances.join(' ')}|jq`)["containerInstances"]
target_map = container_instances_metadata.inject({}){|map, cim| map[cim["containerInstanceArn"]] = cim["ec2InstanceId"]; map}

tasks = JSON.parse(`aws ecs list-tasks --cluster #{cluster} |jq`)["taskArns"]
tasks_metadata = JSON.parse(`aws ecs describe-tasks --cluster #{cluster} --tasks #{tasks.join(' ')} |jq`)["tasks"]

final_map = tasks_metadata.map do |task|
  ec2InstanceId = target_map[task["containerInstanceArn"]]
  [ec2InstanceId, task["group"], task['overrides']]
end
puts final_map.map{|i| i.join(' ')}

Answer 2

Существует файл метаданных контейнера, который доступен для каждого контейнера.Расположение файла автоматически помещается в переменную окружения ECS_CONTAINER_METADATA_FILE.

В соответствии с документами необходимо включить метаданные контейнера, поскольку они по умолчанию недоступны.Это можно сделать, установив ECS_ENABLE_CONTAINER_METADATA=true в файле /etc/ecs/ecs.config вашего экземпляра ECS EC2.(Вы должны перезапустить агент ECS после обновления файла).

Вы можете увидеть содержимое файла в вашем контейнере, запустив cat $ECS_CONTAINER_METADATA_FILE.Например,

{
    "Cluster": "default",
    "ContainerInstanceARN": "arn:aws:ecs:us-west-2:012345678910:container-instance/1f73d099-b914-411c-a9ff-81633b7741dd",
    "TaskARN": "arn:aws:ecs:us-west-2:012345678910:task/2b88376d-aba3-4950-9ddf-bcb0f388a40c",
    "ContainerID": "98e44444008169587b826b4cd76c6732e5899747e753af1e19a35db64f9e9c32",
    "ContainerName": "metadata",
    "DockerContainerName": "/ecs-metadata-7-metadata-f0edfbd6d09fdef20800",
    "ImageID": "sha256:c24f66af34b4d76558f7743109e2476b6325fcf6cc167c6e1e07cd121a22b341",
    "ImageName": "httpd:2.4",
    "PortMappings": [
        {
            "ContainerPort": 80,
            "HostPort": 80,
            "BindIp": "",
            "Protocol": "tcp"
        }
    ],
    "Networks": [
        {
            "NetworkMode": "bridge",
            "IPv4Addresses": [
                "172.17.0.2"
            ]
        }
    ],
    "MetadataFileStatus": "READY"
}

С этой информацией мы можем сделать вызов API, чтобы получить идентификатор экземпляра EC2, на котором работает контейнер.В следующем примере я предполагаю, что jq и aws-cli установлены в вашем контейнере.Я также предполагаю, что вы добавили переменную среды ECS_CLUSTER в ваше Определение задачи , которое содержит имя вашего кластера ECS.

#!/bin/bash -e
CONTAINER_ARN=$(cat ${ECS_CONTAINER_METADATA_FILE} | jq -r '.ContainerInstanceARN')

CONTAINER_DESCRIPTION=$(aws ecs describe-container-instances --container-instances ${CONTAINER_ARN} --cluster ${ECS_CLUSTER} --region ${YOUR_REGION})

EC2_INSTANCE_ID=$(echo ${CONTAINER_DESCRIPTION} | jq -r '.containerInstances[0].ec2InstanceId')

echo ${EC2_INSTANCE_ID}

Я выполняюаналогичный скрипт в моем контейнере.Обязательно настройте политику IAM, связанную с ролью IAM вашей задачи, чтобы у нее было разрешение на выполнение действия ecs:DescribeContainerInstances.