[AWS] ECS Exec

서버 운영을 하다보면 실제 환경에 들어가서 디스크나 네트워크 상황을 체크해야할 일이 종종 생긴다.

그런 부분에서 AWS ECS는 불편한 부분이 좀 있는 편이었다. 억지로 SSH 구멍을 뚫어서 쓰면 할 수는 있는데, 보안상 별로 좋지도 않고 불편하기 때문이다.

그래서 AWS에서 이런 용도로 만들어둔 것이 AWS Exec이다.
Docker Exec에서 이름을 따온 것 같고, 동작 방식도 거의 비슷하다.

비용

추가 비용은 없다.
ECS Connect 처럼 컨테이너 내부에 작은 전용 에이전트를 내장하는 구조라서, 기존 CPU/MEM 리소스를 약간 점유하는 것이 전부다.

사전 조건

ECS Service에는 ssmmessages 권한이 있어야 한다.
기존 Task Role에

policy를 다음과 같이 정의해서 연결해준다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
      ],
      "Resource": "*"
    }
  ]
}

ECS Exec 활성화

이제는 ECS에 ECS Exec라는 섹션이 있다.

번역이 개떡같이 "경영진"으로 되어있는 것이 흠이다. 기계번역 대충 날리고 검수도 안한 모양이다.
대량 해고를 몇번 한 이후로 찐빠가 여기저기서 점점 늘어나는 것 같다.

아무튼 저걸 활성화하는 것 자체는 간단하다. true/false 플래그라서, ECS 서비스 단위에서 딸깍만 하면 켜진다.

이렇게 켜지면 된 것이다.

ECS Exec 사용하기

ECS Exec은 기본적으로, AWS CLI를 통해 사용할 수 있는 기능이다.
그리고 ecs:ExecuteCommand 권한을 필요로 한다.

사용법은 다음과 같다.

aws ecs execute-command  \
    --region $AWS_REGION \
    --cluster 클러스터명 \
    --task 태스크ID \
    --container 컨테이너명 \
    --command "/bin/bash" \
    --interactive

적절히 집어넣고 실행하면, docker exec 처럼 컨테이너 내부에 진입할 수 있다.
필요한대로 이것저것 들어가서 보면 되는데, 당연히 모든 것이 컨테이너 단위에 종속되므로 조사 수단이 충분하지 않다면 곤란할 수도 있다.
curl 같은 추가 도구들이 필요하다면 컨테이너에 알아서 잘 밀어넣어야 한다.

가장 간편한 접속방법은, 그냥 ECS 태스크에서 저 우상단의 연결 버튼을 누르는 것이다.

그럼 알아서 CloudShell 열고 aws cli 명령어를 자동으로 쳐준다.

기타 제한사항 및 고려사항

• exec 세션의 idle 지속시간은 20분이다. (아무것도 안하고 있으면 20분 뒤에 자동 종료)
• 들어가려는 컨테이너 정의에 "읽기 전용 루트 파일 시스템(readonlyRootFilesystem)"이 켜져있으면 안된다.

참조
https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/ecs-exec.html
https://aws.amazon.com/ko/blogs/korea/containers-new-using-amazon-ecs-exec-access-your-containers-fargate-ec2/