Exécution de commandes sur votre instance Linux lors du lancement - Amazon Elastic Compute Cloud

Exécution de commandes sur votre instance Linux lors du lancement

Lorsque vous lancez une instance dans Amazon EC2, vous avez la possibilité de transmettre les données des utilisateurs vers l'instance qui peut être utilisée pour effectuer des tâches de configuration automatisées communes et même exécuter des scripts après le démarrage de l'instance. Vous pouvez transmettre deux types de données utilisateur vers Amazon EC2 : des scripts shell et des directives cloud-init. Vous pouvez aussi transférer ces données dans l'assistant de lancement comme du texte brut, en tant que fichier (cela est utile pour le lancement d'instance à l'aide des outils de ligne de commande) ou en tant que texte encodé base64 (pour les appels API).

Si vous êtes intéressé par les scénarios complexes d'automatisation, pensez à utiliser AWS CloudFormation et AWS OpsWorks. Pour plus d'informations, consultez le AWS CloudFormation Guide de l'utilisateur et le AWS OpsWorks User Guide.

Pour obtenir des informations sur l'exécution de commandes sur votre instance Windows au lancement, consultez Exécution de commandes sur votre instance Windows lors du lancement et Gestion de la configuration des instances Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Dans les exemples suivants, les commandes du Didacticiel : Installation d'un serveur web LAMP sur Amazon Linux 2 sont converties en script shell et en ensemble de directives cloud-init qui est exécuté lors du lancement de l'instance. Dans chaque exemple, les tâches suivantes sont exécutées par les données de l'utilisateur :

  • Les packages logiciels de distribution sont mis à jour.

  • Le serveur web, les packages php et mariadb nécessaires sont installés.

  • Le service httpd est lancé et activé via la commande systemctl.

  • L'utilisateur ec2-user est ajouté au groupe Apache.

  • La propriété et les autorisations sur les fichiers appropriées sont définies pour le répertoire web et les fichiers qu'il contient.

  • Une page Web simple est créée pour tester le serveur Web et le moteur PHP.

Prérequis

Les exemples suivants supposent que votre instance possède un nom DNS public que l'on peut atteindre à partir d'Internet. Pour plus d'informations, consultez Étape 1 : Lancement d'une instance. Vous devez aussi configurer votre groupe de sécurité pour autoriser les connexions SSH (port 22), HTTP (port 80) et HTTPS (port 443). Pour obtenir plus d'informations sur ces conditions préalables, consultez le didacticiel Configuration avec Amazon EC2.

Par ailleurs, ces instructions sont destinées à Amazon Linux 2, et il se peut que les commandes et les directives ne fonctionnent pas pour d'autres distributions Linux. Pour obtenir plus d'informations sur d'autres distributions, comme leur support pour cloud-init, consultez leur documentation spécifique.

Données utilisateur et scripts shell

Si vous connaissez l'écriture de scripts shell, il s'agit de la méthode la plus simple et la plus complète pour envoyer des instructions à une instance lors du lancement. L'ajout de ces tâches au moment du démarrage augmente le temps que cela prend pour démarrer l'instance. Vous devriez laisser s'écouler quelques minutes supplémentaires pour que les tâches s'effectuent avant de vérifier que le script utilisateur a fini avec succès.

Important

Par défaut, les scripts de données utilisateur et les directives cloud-init s’exécutent uniquement pendant le cycle de démarrage lors du premier lancement d’une instance. Vous pouvez mettre à jour votre configuration afin que vos scripts de données utilisateur et vos directives cloud-init s’exécutent à chaque redémarrage de votre instance. Pour plus d’informations, consultez Comment puis-je exécuter des données utilisateur à chaque redémarrage de mon instance EC2 ? dans le centre de connaissances AWS.

Les scripts shell de données utilisateur doivent commencer par les caractères #! et le chemin vers interpréteur que vous avez choisi pour la lecture du script (généralement /bin/bash)). Pour consulter une excellente présentation sur l'écriture de scripts shell, consultez BASH Programming HOW-TO dans le projet de documentation Linux (tldp.org).

Les scripts entrés en tant que données utilisateur sont exécutés comme l'utilisateur root, donc n'utilisez pas la commande sudo dans le script. Souvenez que tous les fichiers que vous créez seront détenus par root. Si des utilisateurs non-root doivent accéder au fichier, vous devriez modifier les autorisations en fonction du script. Par ailleurs, étant donné que le script n'est pas exécuté de façon interactive, vous ne pouvez pas inclure des commandes qui nécessitent les réactions de l'utilisateur (comme yum update sans l'indicateur -y).

Si vous utilisez une API AWS, y compris l'interface de ligne de commande AWS, dans un script de données utilisateur, vous devez utiliser un profil d'instance lors du lancement de l'instance. Un profil d'instance fournit les informations d'identification AWS appropriées requises par le script de données utilisateur pour exécuter l'appel d'API. Pour de plus amples informations, veuillez consulter Utilisation de profils d'instance dans le IAM Guide de l'utilisateur. Les autorisations que vous attribuez au rôle IAM dépendent des services que vous appelez avec l'API. Pour de plus amples informations, veuillez consulter Rôles IAM pour Amazon EC2.

Le fichier journal de sortie cloud-init (/var/log/cloud-init-output.log) capture la sortie de la console, si bien que vous pouvez facilement déboguer vos scripts suite à un lancement si l'instance ne se comporte pas comme vous le vouliez.

Lorsqu'un script de données utilisateur est traité, il est copié dans /var/lib/cloud/instances/instance-id/ et exécuté à partir de là. Le script n'est pas supprimé après son exécution. Veillez à supprimer les scripts de données utilisateur dans /var/lib/cloud/instances/instance-id/ avant de créer une AMI à partir de l'instance. Dans le cas contraire, le script figurera dans ce répertoire sur toute instance lancée à partir de l'AMI.

Données utilisateur et console

Vous pouvez spécifier des données utilisateur d'instance lorsque vous lancez l'instance. Si le volume racine de l'instance est un volume EBS, vous pouvez également arrêter l'instance et mettre à jour ses données utilisateur.

Spécification des données utilisateur d'instance au moment du lancement

Suivez la procédure de lancement d'une instance décrite dans Lancement d'une instance à l'aide de l'assistant de lancement d'instance, mais, quand vous arrivez à Étape 3 : Configurer les détails de l'instance dans cette procédure, copiez votre script shell dans le champ Données utilisateur, puis terminez la procédure de lancement.

Dans l'exemple de script ci-dessous, le script crée et configure notre serveur web.

#!/bin/bash yum update -y amazon-linux-extras install -y lamp-mariadb10.2-php7.2 php7.2 yum install -y httpd mariadb-server systemctl start httpd systemctl enable httpd usermod -a -G apache ec2-user chown -R ec2-user:apache /var/www chmod 2775 /var/www find /var/www -type d -exec chmod 2775 {} \; find /var/www -type f -exec chmod 0664 {} \; echo "<?php phpinfo(); ?>" > /var/www/html/phpinfo.php

Laissez assez de temps à l'instance pour lancer et exécuter les commandes dans votre script, puis vérifiez que votre script a terminé les tâches que vous souhaitiez.

Pour notre exemple, dans un navigateur web, saisissez l'URL du fichier test PHP que le script a créé. Cette URL est l'adresse DNS publique de votre instance suivie par une barre oblique et le nom du fichier.

http://my.public.dns.amazonaws.com/phpinfo.php

Vous devriez voir la page d'informations PHP. Si vous ne pouvez pas voir la page d'informations PHP, vérifiez que le groupe de sécurité que vous utilisez contient une règle pour permettre le trafic HTTP (port 80). Pour plus d'informations, consultez Ajout de règles à un groupe de sécurité.

(Facultatif) Si votre script n'a pas accompli les tâches que vous attendiez ou si vous voulez uniquement vérifier que votre script s'est terminé sans erreur, examinez le fichier journal de sortie cloud-init à l'emplacement /var/log/cloud-init-output.log et recherchez les messages d'erreur dans les résultats.

Pour obtenir des informations supplémentaires sur le débogage, vous pouvez créer une archive Mime en plusieurs parties qui comporte la section de données cloud-init avec la directive suivante :

output : { all : '| tee -a /var/log/cloud-init-output.log' }

Cette directive envoie la sortie de la commande de votre script à /var/log/cloud-init-output.log. Pour plus d'informations sur les formats de données cloud-init et la création d'archives Mime en plusieurs parties, consultez Formats de cloud-init..

Affichage et mise à jour des données utilisateur d'instance

Pour mettre à jour les données de l'utilisateur de l'instance, vous devez d'abord arrêter l'instance. Si l'instance est en cours d'exécution, vous pouvez afficher les données utilisateur, mais vous ne pouvez pas les modifier.

Avertissement

Lorsque vous arrêtez une instance, les données contenues sur les volumes de stockage d'instance sont effacées. Pour conserver les données des volumes de stockage d'instance, veillez à les sauvegarder sur un stockage permanent.

Nouvelle console

Pour modifier les données utilisateur d'instance

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l'instance et choisissez État de l'instance, Arrêter l'instance. Si cette option est désactivée, l'instance est déjà arrêtée ou son périphérique racine est un volume de stockage d'instance.

  4. Lorsque vous êtes invité à confirmer l'opération, choisissez Arrêter. L'arrêt de l'instance peut prendre quelques minutes.

  5. Alors que l'instance est toujours sélectionnée, choisissez Actions, Instance settings (Paramètres de l'instance), Edit user data (Modifier les données utilisateur).

  6. Modifiez les données utilisateur selon vos besoins, puis choisissez Save (Enregistrer).

  7. Redémarrez l'instance. Les nouvelles données utilisateur sont visibles sur votre instance, après son redémarrage. Par contre, les scripts de données utilisateur ne sont pas exécutés.

Ancienne console

Pour modifier les données utilisateur d'instance

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l'instance et choisissez Actions, État de l'instance, Arrêter. Si cette option est désactivée, l'instance est déjà arrêtée ou son périphérique racine est un volume de stockage d'instance.

  4. Lorsque vous êtes invité à confirmer, choisissez Oui, arrêter. L'arrêt de l'instance peut prendre quelques minutes.

  5. Avec l'instance est toujours sélectionnée, choisissez Actions, Paramètres de l'instance, Afficher/Changer les données utilisateur.

  6. Dans la boîte de dialogue Afficher/Changer les données utilisateur, mettez à jour les données utilisateur, puis cliquez sur Enregistrer.

  7. Redémarrez l'instance. Les nouvelles données utilisateur sont visibles sur votre instance, après son redémarrage. Par contre, les scripts de données utilisateur ne sont pas exécutés.

Directives sur les données utilisateur et Cloud-Init

Le package cloud-init configure les aspects spécifiques d'une nouvelle instance Amazon Linux lorsqu'elle est lancée. Il configure plus particulièrement le fichier .ssh/authorized_keys pour l'utilisateur ec2 afin que vous puissiez vous connecter avec votre clé privée. Pour plus d'informations, consultez cloud-init.

Les directives d'utilisateur cloud-init peuvent être transférées vers une instance au moment du lancement tout comme un script, même si la syntaxe est différente. Pour plus d'informations sur cloud-init, accédez à http://cloudinit.readthedocs.org/en/latest/index.html.

Important

Par défaut, les scripts de données utilisateur et les directives cloud-init s’exécutent uniquement pendant le cycle de démarrage lors du premier lancement d’une instance. Vous pouvez mettre à jour votre configuration afin que vos scripts de données utilisateur et vos directives cloud-init s’exécutent à chaque redémarrage de votre instance. Pour plus d’informations, consultez Comment puis-je exécuter des données utilisateur à chaque redémarrage de mon instance EC2 ? dans le centre de connaissances AWS.

L'ajout de ces tâches au moment du démarrage augmente le temps que cela prend pour démarrer une instance. Vous devriez laisser s'écouler quelques minutes supplémentaires pour que les tâches s'effectuent avant de vérifier que vos directives sur les données utilisateur sont terminées.

Pour transférer les directives cloud-init vers une instance avec les données utilisateur

  1. Suivez la procédure de lancement d'une instance décrite dans Lancement d'une instance à l'aide de l'assistant de lancement d'instance, mais, quand vous arrivez à Étape 3 : Configurer les détails de l'instance dans cette procédure, entrez le texte de votre directive could-init dans le champ Données utilisateur, puis terminez la procédure de lancement.

    Pour l'exemple ci-dessous, les directives créent et configurent un serveur Web sur Amazon Linux 2. La ligne #cloud-config en haut est requise pour identifier les commandes en tant que directives cloud-init.

    #cloud-config repo_update: true repo_upgrade: all packages: - httpd - mariadb-server runcmd: - [ sh, -c, "amazon-linux-extras install -y lamp-mariadb10.2-php7.2 php7.2" ] - systemctl start httpd - sudo systemctl enable httpd - [ sh, -c, "usermod -a -G apache ec2-user" ] - [ sh, -c, "chown -R ec2-user:apache /var/www" ] - chmod 2775 /var/www - [ find, /var/www, -type, d, -exec, chmod, 2775, {}, \; ] - [ find, /var/www, -type, f, -exec, chmod, 0664, {}, \; ] - [ sh, -c, 'echo "<?php phpinfo(); ?>" > /var/www/html/phpinfo.php' ]
  2. Laissez assez de temps à l'instance pour lancer et exécuter les directives dans vos données utilisateur, puis vérifiez que vos directives ont terminé les tâches que vous souhaitiez.

    Pour notre exemple, dans un navigateur web, saisissez l'URL du fichier test PHP que les directives ont créé. Cette URL est l'adresse DNS publique de votre instance suivie par une barre oblique et le nom du fichier.

    http://my.public.dns.amazonaws.com/phpinfo.php

    Vous devriez voir la page d'informations PHP. Si vous ne pouvez pas voir la page d'informations PHP, vérifiez que le groupe de sécurité que vous utilisez contient une règle pour permettre le trafic HTTP (port 80). Pour plus d'informations, consultez Ajout de règles à un groupe de sécurité.

  3. (Facultatif) Si vos directives n'ont pas accompli les tâches que vous attendiez ou si vous voulez uniquement vérifier que vos directives se sont terminées sans erreur, examinez le fichier journal de sortie à l'emplacement /var/log/cloud-init-output.log et recherchez les messages d'erreur dans les résultats. Pour plus d'informations sur le débogage, vous pouvez ajouter la ligne suivante à vos directives :

    output : { all : '| tee -a /var/log/cloud-init-output.log' }

    Cette directive envoie le résultat runcmd à /var/log/cloud-init-output.log.

Données utilisateur et AWS CLI

Vous pouvez utiliser l'AWS CLI pour spécifier, modifier et afficher les données utilisateur de votre instance. Pour plus d'informations sur l'affichage des données utilisateur de votre instance à l'aide des métadonnées d'instance, consultez Récupération des données utilisateur d'instance.

Sur Windows, vous pouvez utiliser le Outils AWS pour Windows PowerShell plutôt que l'AWS CLI. Pour plus d'informations, consultez Données utilisateur et Outils pour Windows PowerShell dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Exemple : spécification des données utilisateur au moment du lancement

Pour spécifier les données utilisateur lorsque vous lancez l'instance, utilisez la commande run-instances avec le paramètre --user-data. Avec run-instances, l'AWS CLI effectue l'encodage base64 des données utilisateur pour vous.

L'exemple suivant montre comment définir un script en tant que chaîne sur la ligne de commande :

aws ec2 run-instances --image-id ami-abcd1234 --count 1 --instance-type m3.medium \ --key-name my-key-pair --subnet-id subnet-abcd1234 --security-group-ids sg-abcd1234 \ --user-data echo user data

L'exemple suivant montre comment définir un script en utilisant un fichier texte. Assurez-vous d'utiliser le préfixe file:// pour spécifier le fichier.

aws ec2 run-instances --image-id ami-abcd1234 --count 1 --instance-type m3.medium \ --key-name my-key-pair --subnet-id subnet-abcd1234 --security-group-ids sg-abcd1234 \ --user-data file://my_script.txt

L'exemple suivant est celui d'un fichier texte avec un script shell.

#!/bin/bash yum update -y service httpd start chkconfig httpd on

Exemple : Modification des données utilisateur d'une instance arrêtée

Vous pouvez modifier les données utilisateur d'une instance arrêtée à l'aide de la commande modify-instance-attribute. Avec modify-instance-attribute, l'AWS CLI n'effectue pas l'encodage base64 des données utilisateur pour vous.

  • Sur un ordinateur Linux utilisez la commande base64 pour encoder les données utilisateur.

    base64 my_script.txt >my_script_base64.txt
  • Sur un ordinateur Windows, utilisez la commande certutil pour encoder les données utilisateur. Pour pouvoir utiliser ce fichier avec l'AWS CLI, vous devez supprimer la première ligne (BEGIN CERTIFICATE) et la dernière ligne (END CERTIFICATE).

    certutil -encode my_script.txt my_script_base64.txt notepad my_script_base64.txt

Utilisez les paramètres --attribute et --value afin d'utiliser le fichier texte encodé pour spécifier les données utilisateur. Assurez-vous d'utiliser le préfixe file:// pour spécifier le fichier.

aws ec2 modify-instance-attribute --instance-id i-1234567890abcdef0 --attribute userData --value file://my_script_base64.txt

Exemple : Effacer les données utilisateur d'une instance arrêtée

Pour supprimer les données utilisateur existantes, utilisez la commande modify-instance-attribute comme suit :

aws ec2 modify-instance-attribute --instance-id i-1234567890abcdef0 --user-data Value=

Exemple : Affichage des données utilisateur

Pour extraire les données utilisateur pour une instance, utilisez la commande describe-instance-attribute. Avec describe-instance-attribute, l'AWS CLI n'effectue pas le décodage en base64 des données utilisateur pour vous.

aws ec2 describe-instance-attribute --instance-id i-1234567890abcdef0 --attribute userData

Voici un exemple de sortie avec les données utilisateur base64 encodées.

{ "UserData": { "Value": "IyEvYmluL2Jhc2gKeXVtIHVwZGF0ZSAteQpzZXJ2aWNlIGh0dHBkIHN0YXJ0CmNoa2NvbmZpZyBodHRwZCBvbg==" }, "InstanceId": "i-1234567890abcdef0" }
  • Sur un ordinateur Linux, utilisez l'option --query pour obtenir les données utilisateur encodées et la commande base64 pour les décoder.

    aws ec2 describe-instance-attribute --instance-id i-1234567890abcdef0 --attribute userData --output text --query "UserData.Value" | base64 --decode
  • Sur un ordinateur Windows, utilisez l'option --query pour obtenir les données utilisateur codées et la commande certutil pour les décoder. Notez que la sortie encodée est stockée dans un fichier et que la sortie décodée est stockée dans un autre fichier.

    aws ec2 describe-instance-attribute --instance-id i-1234567890abcdef0 --attribute userData --output text --query "UserData.Value" >my_output.txt certutil -decode my_output.txt my_output_decoded.txt type my_output_decoded.txt

Voici un exemple de sortie.

#!/bin/bash yum update -y service httpd start chkconfig httpd on