やりたいこと

タイトルの通りなんですが、ローカルからFargate経由でのプライベートのAurora接続する際にSSMのポートフォワードを利用しています。

そして、毎回コンソールにログインしてコンテナランタイムIDを確認して、書き換えて実行というのがめんどくさすぎて発狂しそうなほど困ってました。
複数AWSアカウントを利用したりするので片方のAWSアカウントを利用している際にDB繋げてくれと言われると、コンテナランタイムID確認のためにセッションが切れたりして、作業効率が酷かったです。

なので、自動で最新のコンテナランタイムIDを取得してコマンド出してくれるスクリプトを作りました。

これでマジで楽になりました。

Auroraへの接続経路

実際はVPCエンドポイントなどありますが、簡易的に現状のAuroraへの接続経路になります。
SSM Session Managerを利用してローカルからプライベートのFargate経由でプライベートのAuroraへアクセスしてます。

インバウンドでSSHポートを開けずに、プライベートのリソースを利用してDBに接続できるので便利です。

 

スクリプト作成

今回は簡単にPythonで作成します。
めんどくさいのでデプロイとかもしません。
ポートフォワードを実施したい際に、ローカルでスクリプトを実行して吐き出させます。
ただ、実行する際のどこをカレントディレクトリとしても同じコマンドで実行できるようにします。

下記が実際のスクリプトになります。

環境はM2Macです。

※Pythonやboto3のインストールは割愛します。

001
002
003
004
005
006
007
008
009
010
011
012
013
014
015
016
017
018
019
020
021
022
023
024
025
026
027
028
029
030
031
032
033
034
035
036
037
038
039
040
041
042
043
044
045
046
047
048
049
050
051
052
053
054
055
056
057
058
059
060
061
062
063
064
065
066
067
068
069
070
071
072
073
074
075
076
077
078
079
080
081
082
083
084
085
086
087
088
089
090
091
092
093
094
095
096
097
098
099
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
import boto3
import sys
import re
import argparse
 
def get_environment_config(env):
"""
環境に応じた設定を返す関数
"""
# 環境ごとのプロファイル設定
profiles = {
'dev': 'dev-profile',
'stg': 'stg-profile',
'prd': 'prd-profile'
}
 
configs = {
'dev': {
'cluster': 'dev-cluster',
'service': 'dev-service',
'profile': profiles['dev'],
'db_host': 'dev.ap-northeast-1.rds.amazonaws.com'
},
'stg': {
'cluster': 'stg-cluster',
'service': 'stg-service',
'profile': profiles['stg'],
'db_host': 'stg.ap-northeast-1.rds.amazonaws.com'
},
'prd': {
'cluster': 'prod-cluster',
'service': 'prod-service',
'profile': profiles['prd'],
'db_host': 'prod.ap-northeast-1.rds.amazonaws.com'
}
}
 
if env not in configs:
print(f"エラー: 環境 '{env}' は無効です。有効な環境: dev, stg, prd")
sys.exit(1)
 
return configs[env]
 
def get_task_id_from_arn(task_arn):
"""
タスクARNからタスクIDを抽出
"""
match = re.search(r'task/[^/]+/([^/]+)$', task_arn)
if match:
return match.group(1)
return None
 
def get_ecs_task_details(cluster, service_name, region='ap-northeast-1', profile=None):
"""
クラスターとサービスから実行中のECSタスクの詳細を取得
"""
# プロファイルが指定されている場合はそれを使用
if profile:
session = boto3.Session(profile_name=profile)
ecs = session.client('ecs', region_name=region)
else:
ecs = boto3.client('ecs', region_name=region)
 
# サービスに関連するタスクを取得
try:
# サービスのタスクを一覧取得
response = ecs.list_tasks(cluster=cluster, serviceName=service_name)
 
if not response['taskArns']:
print(f"クラスター {cluster} のサービス {service_name} に実行中のタスクが見つかりませんでした")
sys.exit(1)
 
# 最初のタスクARNを取得
task_arn = response['taskArns'][0]
 
# タスクの詳細情報を取得
task_details = ecs.describe_tasks(cluster=cluster, tasks=[task_arn])
 
if not task_details['tasks']:
print(f"タスク {task_arn} の詳細情報が取得できませんでした")
sys.exit(1)
 
task = task_details['tasks'][0]
 
# タスクIDを抽出
task_id = get_task_id_from_arn(task_arn)
 
if not task_id:
print(f"タスクARNからタスクIDを抽出できませんでした: {task_arn}")
sys.exit(1)
 
# コンテナIDを取得
if not task['containers']:
print(f"タスク {task_id} にコンテナが見つかりませんでした")
sys.exit(1)
 
container_id = task['containers'][0]['runtimeId']
 
return {
'task_id': task_id,
'container_id': container_id,
'cluster': cluster
}
 
except Exception as e:
print(f"タスク情報の取得エラー: {e}")
sys.exit(1)
 
def main():
# コマンドライン引数の解析
parser = argparse.ArgumentParser(description='ECSタスクIDを取得して環境ごとのSSMコマンドを生成します')
parser.add_argument('env', choices=['dev', 'stg', 'prd'], help='環境を指定 (dev, stg, prd)')
parser.add_argument('--port', type=int, default=3306, help='接続先ポート番号 (デフォルト: 3306)')
parser.add_argument('--local-port', type=int, default=3308, help='ローカルポート番号 (デフォルト: 3308)')
parser.add_argument('--region', default='ap-northeast-1', help='AWSリージョン (デフォルト: ap-northeast-1)')
 
args = parser.parse_args()
 
# 環境設定を取得
config = get_environment_config(args.env)
profile = config['profile']
 
print(f"環境: {args.env}")
print(f"使用するAWSプロファイル: {profile}")
 
# タスク詳細を取得
task_details = get_ecs_task_details(config['cluster'], config['service'], region=args.region, profile=profile)
 
# SSMターゲット文字列を生成
ssm_target = f"ecs:{config['cluster']}_{task_details['task_id']}_{task_details['container_id']}"
 
print(f"クラスター: {config['cluster']}")
print(f"サービス: {config['service']}")
print(f"タスクID: {task_details['task_id']}")
print(f"コンテナID: {task_details['container_id']}")
 
# コマンドを生成
command = (
f"aws ssm start-session \\\n"
f" --profile {profile} \\\n"
f" --target {ssm_target} \\\n"
f" --document-name AWS-StartPortForwardingSessionToRemoteHost \\\n"
f" --parameters \\\n"
f" 'portNumber={args.port},localPortNumber={args.local_port},host={config['db_host']}'"
)
 
print("\nSSMコマンド生成完了:\n")
print(command)
 
if __name__ == "__main__":
main()

事前に各環境のprofile名とECSのクラスター名、サービス名、接続DBホストを記載して設定します。
あとは、スクリプト実行時にdev, stg, prdとオプションをつけることで、それぞれの環境のSSMコマンドが出力されます。

リモートポートとローカルポート、リージョンもスクリプト実行時の引数で設定できます。
他の人が利用する際にも–helpで利用方法は出力するようにしてます。

実行コマンドはssm-db devとしてます。下記が実行結果です。

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
環境: dev
使用するAWSプロファイル: dev-profile
クラスター: dev-cluster
サービス: dev-service
タスクID: {実際のタスクID}
コンテナID: {実際のコンテナランタイムID}
 
SSMコマンド生成完了:
 
aws ssm start-session \
--profile dev-profile \
--target ecs:dev-cluster_{実際のタスクID}_{実際のコンテナランタイムID} \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters \
'portNumber=3306,localPortNumber=3308,host=dev.ap-northeast-1.rds.amazonaws.com'

あとは、エイリアスをつけてどこからでも実行できるようにします。

1
2
3
4
echo 'alias {実行したい任意のコマンド}="python /Users/ユーザ/path/ssm_cmd.py"' >> ~/.zshrc
 
# 設定反映
source ~/.zshrc

おわり

以上で終わりです。本当に本当にすごいストレスだったのでやっと解放されました。
めでたしでした。