やりたいこと
タイトルの通りなんですが、ローカルからFargate経由でのプライベートのAurora接続する際にSSMのポートフォワードを利用しています。
そして、毎回コンソールにログインしてコンテナランタイムIDを確認して、書き換えて実行というのがめんどくさすぎて発狂しそうなほど困ってました。
複数AWSアカウントを利用したりするので片方のAWSアカウントを利用している際にDB繋げてくれと言われると、コンテナランタイムID確認のためにセッションが切れたりして、作業効率が酷かったです。
なので、自動で最新のコンテナランタイムIDを取得してコマンド出してくれるスクリプトを作りました。
これでマジで楽になりました。
Auroraへの接続経路
実際はVPCエンドポイントなどありますが、簡易的に現状のAuroraへの接続経路になります。
SSM Session Managerを利用してローカルからプライベートのFargate経由でプライベートのAuroraへアクセスしてます。
インバウンドでSSHポートを開けずに、プライベートのリソースを利用してDBに接続できるので便利です。
スクリプト作成
今回は簡単にPythonで作成します。
めんどくさいのでデプロイとかもしません。
ポートフォワードを実施したい際に、ローカルでスクリプトを実行して吐き出させます。
ただ、実行する際のどこをカレントディレクトリとしても同じコマンドで実行できるようにします。
下記が実際のスクリプトになります。
環境はM2Macです。
※Pythonやboto3のインストールは割愛します。
001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052 053 054 055 056 057 058 059 060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 | import boto3 import sys import re import argparse def get_environment_config(env): """ 環境に応じた設定を返す関数 """ # 環境ごとのプロファイル設定 profiles = { 'dev': 'dev-profile', 'stg': 'stg-profile', 'prd': 'prd-profile' } configs = { 'dev': { 'cluster': 'dev-cluster', 'service': 'dev-service', 'profile': profiles['dev'], 'db_host': 'dev.ap-northeast-1.rds.amazonaws.com' }, 'stg': { 'cluster': 'stg-cluster', 'service': 'stg-service', 'profile': profiles['stg'], 'db_host': 'stg.ap-northeast-1.rds.amazonaws.com' }, 'prd': { 'cluster': 'prod-cluster', 'service': 'prod-service', 'profile': profiles['prd'], 'db_host': 'prod.ap-northeast-1.rds.amazonaws.com' } } if env not in configs: print(f"エラー: 環境 '{env}' は無効です。有効な環境: dev, stg, prd") sys.exit(1) return configs[env] def get_task_id_from_arn(task_arn): """ タスクARNからタスクIDを抽出 """ match = re.search(r'task/[^/]+/([^/]+)$', task_arn) if match: return match.group(1) return None def get_ecs_task_details(cluster, service_name, region='ap-northeast-1', profile=None): """ クラスターとサービスから実行中のECSタスクの詳細を取得 """ # プロファイルが指定されている場合はそれを使用 if profile: session = boto3.Session(profile_name=profile) ecs = session.client('ecs', region_name=region) else: ecs = boto3.client('ecs', region_name=region) # サービスに関連するタスクを取得 try: # サービスのタスクを一覧取得 response = ecs.list_tasks(cluster=cluster, serviceName=service_name) if not response['taskArns']: print(f"クラスター {cluster} のサービス {service_name} に実行中のタスクが見つかりませんでした") sys.exit(1) # 最初のタスクARNを取得 task_arn = response['taskArns'][0] # タスクの詳細情報を取得 task_details = ecs.describe_tasks(cluster=cluster, tasks=[task_arn]) if not task_details['tasks']: print(f"タスク {task_arn} の詳細情報が取得できませんでした") sys.exit(1) task = task_details['tasks'][0] # タスクIDを抽出 task_id = get_task_id_from_arn(task_arn) if not task_id: print(f"タスクARNからタスクIDを抽出できませんでした: {task_arn}") sys.exit(1) # コンテナIDを取得 if not task['containers']: print(f"タスク {task_id} にコンテナが見つかりませんでした") sys.exit(1) container_id = task['containers'][0]['runtimeId'] return { 'task_id': task_id, 'container_id': container_id, 'cluster': cluster } except Exception as e: print(f"タスク情報の取得エラー: {e}") sys.exit(1) def main(): # コマンドライン引数の解析 parser = argparse.ArgumentParser(description='ECSタスクIDを取得して環境ごとのSSMコマンドを生成します') parser.add_argument('env', choices=['dev', 'stg', 'prd'], help='環境を指定 (dev, stg, prd)') parser.add_argument('--port', type=int, default=3306, help='接続先ポート番号 (デフォルト: 3306)') parser.add_argument('--local-port', type=int, default=3308, help='ローカルポート番号 (デフォルト: 3308)') parser.add_argument('--region', default='ap-northeast-1', help='AWSリージョン (デフォルト: ap-northeast-1)') args = parser.parse_args() # 環境設定を取得 config = get_environment_config(args.env) profile = config['profile'] print(f"環境: {args.env}") print(f"使用するAWSプロファイル: {profile}") # タスク詳細を取得 task_details = get_ecs_task_details(config['cluster'], config['service'], region=args.region, profile=profile) # SSMターゲット文字列を生成 ssm_target = f"ecs:{config['cluster']}_{task_details['task_id']}_{task_details['container_id']}" print(f"クラスター: {config['cluster']}") print(f"サービス: {config['service']}") print(f"タスクID: {task_details['task_id']}") print(f"コンテナID: {task_details['container_id']}") # コマンドを生成 command = ( f"aws ssm start-session \\\n" f" --profile {profile} \\\n" f" --target {ssm_target} \\\n" f" --document-name AWS-StartPortForwardingSessionToRemoteHost \\\n" f" --parameters \\\n" f" 'portNumber={args.port},localPortNumber={args.local_port},host={config['db_host']}'" ) print("\nSSMコマンド生成完了:\n") print(command) if __name__ == "__main__": main() |
事前に各環境のprofile名とECSのクラスター名、サービス名、接続DBホストを記載して設定します。
あとは、スクリプト実行時にdev, stg, prdとオプションをつけることで、それぞれの環境のSSMコマンドが出力されます。
リモートポートとローカルポート、リージョンもスクリプト実行時の引数で設定できます。
他の人が利用する際にも–helpで利用方法は出力するようにしてます。
実行コマンドはssm-db devとしてます。下記が実行結果です。
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 | 環境: dev 使用するAWSプロファイル: dev-profile クラスター: dev-cluster サービス: dev-service タスクID: {実際のタスクID} コンテナID: {実際のコンテナランタイムID} SSMコマンド生成完了: aws ssm start-session \ --profile dev-profile \ --target ecs:dev-cluster_{実際のタスクID}_{実際のコンテナランタイムID} \ --document-name AWS-StartPortForwardingSessionToRemoteHost \ --parameters \ 'portNumber=3306,localPortNumber=3308,host=dev.ap-northeast-1.rds.amazonaws.com' |
あとは、エイリアスをつけてどこからでも実行できるようにします。
1 2 3 4 | echo 'alias {実行したい任意のコマンド}="python /Users/ユーザ/path/ssm_cmd.py"' >> ~/.zshrc # 設定反映 source ~/.zshrc |
おわり
以上で終わりです。本当に本当にすごいストレスだったのでやっと解放されました。
めでたしでした。