名前解決してセッションマネージャが使えるようにVyOSのhost_name.pyを編集しました

2021/07/11 2021/07/17

発生したエラー

セッションマネージャからこんなエラーが出力されました。

----------ERROR------- Setting up data channel with id yamashita-0b68620887be0dea1 failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: failed to make http client call: Post "https://ssmmessages.ap-northeast-1.amazonaws.com/v1/data-channel/yamashita-0b68620887be0dea1": dial tcp: lookup ssmmessages.ap-northeast-1.amazonaws.com on [::1]:53: read udp [::1]:55130->[::1]:53: read: connection refused

----------ERROR------- Setting up data channel with id yamashita-0b68620887be0dea1 failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: failed to make http client call: Post "https://ssmmessages.ap-northeast-1.amazonaws.com/v1/data-channel/yamashita-0b68620887be0dea1": dial tcp: lookup ssmmessages.ap-northeast-1.amazonaws.com on [::1]:53: read udp [::1]:55130->[::1]:53: read: connection refused

原因

EC2 VyOSで/etc/resolv.confを設定しましたで名前解決できるようにしました。
SSMエージェントをインストール時だけでいいと思ってたのですが、よくよく考えるとssm.ap-northeast-1.amazonaws.comに名前解決しないとならないんでした。

調査

cat /etc/resolv.conf

### Autogenerated by host_name.py ###

cat /etc/resolv.conf

### Autogenerated by host_name.py ###

どうやら起動時や再起動時にhost_name.pyというのが動いているようです。

sudo find -name host_name.py
./lib/live/mount/rootfs/1.2.1-2019-06-04-05-21.squashfs/usr/libexec/vyos/conf_mode/host_name.py
./usr/libexec/vyos/conf_mode/host_name.py

sudo find -name host_name.py

./lib/live/mount/rootfs/1.2.1-2019-06-04-05-21.squashfs/usr/libexec/vyos/conf_mode/host_name.py

./usr/libexec/vyos/conf_mode/host_name.py

/usr/libexec/vyos/conf_mode/host_name.py
これですね。

このコード見てたら、resolv.conf.dhclient-new-*ってファイルもあるみたいで、こちらには自動でnameserverが適切に設定されている。
でも、これじゃ名前解決できていない。

$ cat resolv.conf.dhclient-new-eth0 

search ap-northeast-1.compute.internal
nameserver 192.168.0.2

$ cat resolv.conf.dhclient-new-eth0

search ap-northeast-1.compute.internal

nameserver 192.168.0.2

from vyos.config import Config

    conf = Config()

~省略~

    if conf.exists("system name-server"):
        hosts['nameserver'] = conf.return_values("system name-server")

from vyos.config import Config

conf = Config()

~省略~

if conf.exists("system name-server"):

hosts['nameserver'] = conf.return_values("system name-server")

どうもこのあたりが怪しい。
vyos.configを見に行ってみる。
vyos.configが見つからなかった。

個人検証用だし、ってことで強硬策です。

動的にやれそうなことをやってみた

233行目をこうしました。

    #config_text = tmpl.render(config)
    resolv_dhclient = open('resolv.conf.dhclient-new-eth0', 'r')
    config_text = resolv_dhclient.read()

#config_text = tmpl.render(config)

resolv_dhclient = open('resolv.conf.dhclient-new-eth0', 'r')

config_text = resolv_dhclient.read()

resolv.conf.dhclient-new-eth0には設定があるので、それを書いてしまおうと。

手動で実行してみる。
vyos.configがないと、エラー。
ぐぬぬ。
起動時のプロセスでvyos.config作ってるんだろうなあ多分。
だから、単体では動かないと。

思い切って再起動したらSSHも接続できなくなったので、余計悪化した。

静的に対応した

やりたいことは、OS起動時のhost_name.pyでresolv.confに固定でnameserverが設定できて、セッションマネージャが使えたらそれでいいのだ。
ということで、以下の編集をして、再起動してみました。

    #config_text = tmpl.render(config)
    config_text = 'search ap-northeast-1.compute.internal\noptions timeout:2 attempts:5\nnameserver 192.168.0.2'

#config_text = tmpl.render(config)

config_text = 'search ap-northeast-1.compute.internal\noptions timeout:2 attempts:5\nnameserver 192.168.0.2'

OKでした。
セッションマネージャにも接続できました。

動的にやる方法を考えてみた

メタデータにDNSサーバーのIPないかなと思ったのですが、ざっと見た感じ見つけられませんでした。
以下のメタデータでVPCのCIDRはとれるので、プラス2のIPアドレスで動的に設定できそうですが。(06:7b:8e:28:2f:11は環境によって異なります)
http://169.254.169.254/latest/meta-data/network/interfaces/macs/06:7b:8e:28:2f:11/vpc-ipv4-cidr-block

06:7b:8e:28:2f:11はメタデータのmacから取得できる。
ap-northeast-1.compute.internalは、メタデータのplacementから設定できますね。

ふむ。

requestsモジュールをインストールしてrequests.getで取得すればいいか。

今はVPN検証にSSHではなくセッションマネージャを使いたいだけなので、今回はもう東京リージョン、192.168.0.0/xCIDRのVPC限定ということで。
今書いている本の校了が終わって、この需要があるなら実装します。

SSMエージェント再起動も

で、AMIを作って起動したら、セッションマネージャに接続できない。
？？
SSMエージェントが起動した後にnameserverを設定してもどうやら遅いのか。
というわけで、host_name.pyの最後にSSMエージェント再起動を追加しました。

import subprocess
args = ['systemctl', 'restart',  'amazon-ssm-agent']
subprocess.check_output(args)

import subprocess

args = ['systemctl', 'restart', 'amazon-ssm-agent']

subprocess.check_output(args)

これでどうだ。
成功しました。
ひとまずこれでやりたいことはＯＫ。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, EC2, Linux, vyos

: CloudFormationで起動テンプレートのバージョン更新をした際にAuto ScalingのEC2インスタンスを置き換える

やりたいことタイトルのとおり、起動テンプレートのバージョン変更(AMIの置換) …

: Transit GatewayポリシーテーブルでCloud WANのコアネットワークに接続しました

「ポリシーテーブルってなんですか？」のご質問をいただいたので設定してみました。 …

: DynamoDBテーブル項目をS3にエクスポート

DynamoDBテーブルを一時テーブルとして使っていて、毎回使い捨てしてます。 …

: Cloud9環境を共有した際の環境認証

Cloud9を環境を構築したIAMユーザー以外に共有したとき、その環境から実行す …

: Amazon Kinesis Data StreamsにTwitter検索データを送信する

Kinesis Data Streamsの作成ストリーム名とシャード数を決定す …

: AWS GlueでAurora JDBC接続でS3へのジョブを実行

Aurora Serverless v1のMySQLタイプデータベースからS3へ …

: S3 Intelligent-Tieringで高頻度階層(FREQUENT)に戻る「アクセス」にS3 SelectとGlueクローラーが該当するのか確認してみました

ユーザーガイドのS3 Intelligent-Tiering のしくみには、「低 …

: AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する

参考ページクイックスタート: 実行中の EC2 インスタンスに CloudWa …

: AWS Organizationsで組織全体のAWS CloudTrailを有効にしました

Organizationsのサービスメニューから、CloudTrailを選択して …

: Route 53サブドメインホストゾーンを作成したら、元のホストゾーンにNSレコードを作成する自動化

ハンズオン環境でRoute 53のホストゾーンを触ってほしい際に、サブドメインを …

PREV: VyOSにSSMエージェントをインストールしました
NEXT: VyOSでssm-userからvyosユーザーに切り替える