Як дізнатися, чи машина є екземпляром EC2

Я хотів би запустити кілька сценаріїв на хостах, які є екземплярами EC2, але я не знаю, як бути впевненим, що хост справді є екземпляром EC2.

Я зробив кілька тестів, але цього недостатньо:

• Перевірте наявність бінарних ec2_userdata (але це не завжди буде правдою)
• Перевірка наявності " http://169.254.169.254/latest/meta-data " (але чи завжди це буде правдою? І що це за "магічний IP"?)

Насправді, існує дуже простий спосіб визначити, що хост - екземпляр EC2: перевірити зворотний пошук вашого загальнодоступного IP-адреси. Реверси EC2 досить важко пропустити.

Крім того, якщо ви не змінили його, ім'я хоста повинно бути вашим зворотним боком, що спростить його виявлення.

Ви також можете використовувати "чарівний IP", про який ви говорили, оскільки це дійсно стандартний спосіб отримати теги інстанції EC2, однак, якщо ви не в мережі EC2, вам доведеться почекати тайм-ауту, який, як правило, не бажано ...

Якщо цих методів недостатньо, просто зробіть сукупність ваших IP-адрес і перевірте, чи перебуваєте ви в блоці та IP-адресі Amazon EC2.

EDIT: Ви можете використовувати цей невеликий біт оболонки:

#!/bin/bash
LOCAL_HOSTNAME=$(hostname -d)
if [[ ${LOCAL_HOSTNAME} =~ .*\.amazonaws\.com ]]
then
        echo "This is an EC2 instance"
else
        echo "This is not an EC2 instance, or a reverse-customized one"
fi

Але обережно, [[це башизм. Ви також можете використовувати Uniline Python або Perl, YMMV.

Змінив відповідь Ханнеса, щоб уникнути повідомлень про помилки та включити приклад використання в сценарій:

if [ -f /sys/hypervisor/uuid ] && [ `head -c 3 /sys/hypervisor/uuid` == ec2 ]; then
    echo yes
else
    echo no
fi

Це не працює в екземплярах Windows. Перевага перед завиткою полягає в тому, що він близький до миттєвого як на EC2, так і не на EC2.

По-перше, я відчув необхідність розмістити нову відповідь через наступні тонкі проблеми з існуючими відповідями, і після отримання запитання про мій коментар до відповіді @ qwertzguy . Ось проблеми з поточними відповідями:

1. Загальноприйнятий відповідь від @MatthieuCerda безумовно не працює надійно, принаймні не на будь - яких VPC випадках я звіряюся. (У моїх випадках я отримую ім'я VPC hostname -d, яке використовується для внутрішнього DNS, не що-небудь із "amazonaws.com" в ньому.)
2. Відповідь з найбільш високим голосом від @qwertzguy не працює на нових екземплярах m5 чи c5 , у яких цього файлу немає. Amazon нехтує документацією, щоб така поведінка змінила AFAIK, хоча на сторінці документа з цього приводу написано "... Якщо існує / sys / hypervisor / uuid ...". Я запитав підтримку AWS, чи була ця зміна навмисною, див. Нижче †.
3. Відповідь від @Jer не обов'язково буде працювати скрізь , тому що instance-data.ec2.internalDNS пошук не може працювати. На екземплярі VPC Ubuntu EC2, який я щойно перевіряв, я бачу: $ curl http://instance-data.ec2.internal curl: (6) Could not resolve host: instance-data.ec2.internal що призведе до того, що код, покладаючись на цей метод, помилково зробить висновок, що він не на EC2!
4. Відповідь використовуватиdmidecode від @tamale може працювати, але покладається на вас.) , Хто має dmidecodeдоступні на вашому екземплярі і б.) , Що мають корінь або sudoбезпарольний здатність з вашого коду.
5. Відповідь для перевірки / системи / пристрої / віртуальний / DMI / ID / bios_version з @spkane загрозливо в оману! Я перевірив один Ubuntu 14.04 екземпляр m5, і отримав bios_versionз 1.0. Цей файл взагалі не задокументований на документі Amazon , тому я б дуже не покладався на нього.
6. Перша частина відповіді від @ Chris-Montanaro на перевірку ненадійної сторонньої URL-адреси та використання whoisрезультату є проблематичною на кількох рівнях. Зверніть увагу, що URL-адреса, запропонована у цій відповіді, зараз - сторінка 404! Навіть якщо ви знайшли сторонню службу, яка працювала, вона була б порівняно дуже повільною (порівняно з перевіркою файлу локально) і, можливо, зіткнулася з обмеженнями швидкості або мережевими проблемами, або, можливо, ваш екземпляр EC2 навіть не має зовнішній доступ до мережі.
7. Друга пропозиція у відповіді від @ Chris-Montanaro перевірити http://169.254.169.254/ трохи краще, але інший коментатор зазначає, що інші постачальники хмари роблять доступною URL-адресу метаданих цього примірника, тому вам слід бути обережними, щоб уникнути помилкових позитивні. Крім того, він все ще буде набагато повільніше, ніж локальний файл, я бачив, що ця перевірка є особливо повільною (кілька секунд, щоб повернутися) на сильно завантажених екземплярах. Крім того, вам слід пам’ятати про те, щоб передати аргумент -mабо --max-timeаргумент для згортання, щоб уникнути його зависання дуже довго, особливо на екземплярі, який не стосується EC2, коли ця адреса може призвести нікуди і зависати (як у відповіді @ algal ).

Крім того, я не бачу, щоб хтось згадав про задокументовану відмову Amazon щодо перевірки (можливого) файлу /sys/devices/virtual/dmi/id/product_uuid.

Хто знав, що визначити, чи ти працюєш на EC2, може бути таким складним ?! Гаразд, тепер, коли у нас є (більшість) проблем із переліченими підходами, ось запропонований фрагмент bash, щоб перевірити, чи працюєте ви на EC2. Я думаю, що це має працювати в основному майже на будь-яких екземплярах Linux, екземпляри Windows - це вправа для читача.

#!/bin/bash

# This first, simple check will work for many older instance types.
if [ -f /sys/hypervisor/uuid ]; then
  # File should be readable by non-root users.
  if [ `head -c 3 /sys/hypervisor/uuid` == "ec2" ]; then
    echo yes
  else
    echo no
  fi

# This check will work on newer m5/c5 instances, but only if you have root!
elif [ -r /sys/devices/virtual/dmi/id/product_uuid ]; then
  # If the file exists AND is readable by us, we can rely on it.
  if [ `head -c 3 /sys/devices/virtual/dmi/id/product_uuid` == "EC2" ]; then
    echo yes
  else
    echo no
  fi

else
  # Fallback check of http://169.254.169.254/. If we wanted to be REALLY
  # authoritative, we could follow Amazon's suggestions for cryptographically
  # verifying their signature, see here:
  #    https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.html
  # but this is almost certainly overkill for this purpose (and the above
  # checks of "EC2" prefixes have a higher false positive potential, anyway).
  if $(curl -s -m 5 http://169.254.169.254/latest/dynamic/instance-identity/document | grep -q availabilityZone) ; then
    echo yes
  else
    echo no
  fi

fi

Очевидно, ви можете розширити це за допомогою ще більше резервних перевірок і включити параноїю щодо обробки, наприклад, помилкового позитиву від /sys/hypervisor/uuidвипадкового початку, починаючи з "ec2" випадково тощо. Але це досить хороше рішення для ілюстративних цілей і, мабуть, майже всіх непатологічних випадків використання.

[†] Повернення цього пояснення з підтримки AWS щодо зміни для екземплярів c5 / m5:

Екземпляри C5 і M5 використовують новий стек гіпервізорів, і пов'язані з ним драйвери ядра не створюють файли в sysfs (який встановлений на / sys), як це роблять драйвери Xen, використовувані іншими / старішими типами екземплярів . Найкращий спосіб виявити, чи працює операційна система на екземплярі EC2, - це врахувати різні можливості, перелічені в документації, яку ви зв'язали .

Шукайте метадані за внутрішнім доменним іменем EC2 замість IP, що поверне швидкий збій DNS, якщо ви не користуєтесь EC2, і уникне конфліктів IP або проблем маршрутизації:

curl -s http://instance-data.ec2.internal && echo "EC2 instance!" || echo "Non EC2 instance!"

У деяких дистрибутивах дуже базові системи або дуже рано на етапі встановлення керма недоступні. Використання wget замість:

wget -q http://instance-data.ec2.internal && echo "EC2 instance!" || echo "Non EC2 instance!"

Якщо мета полягає в тому, щоб визначити, чи це екземпляр EC2 АБО іншого типу хмарного екземпляра, наприклад google, тоді він dmidecodeпрацює дуже добре, і мережа не потрібна. Мені подобається це порівняно з деякими іншими підходами, оскільки шлях URL-адрес метаданих різний для EC2 та GCE.

# From a google compute VM
$ sudo dmidecode -s bios-version
Google

# From an amazon ec2 VM
$ sudo dmidecode -s bios-version
4.2.amazon

Імена хостів, ймовірно, зміняться, запустіть whois проти вашого загальнодоступного IP-адреси:

if [[ ! -z $(whois $(curl -s shtuff.it/myip/short) | grep -i amazon) ]]; then 
  echo "I'm Amazon"
else 
  echo "I'm not Amazon"
fi

або натисніть URL-адресу метаданих AWS

if [[ ! -z $(curl -s http://169.254.169.254/1.0/) ]]; then 
  echo "I'm Amazon"
else 
  echo "I'm not Amazon"
fi

Це також добре працює для хостів Linux у ec2 і не потребує мережі та будь-яких пов’язаних із цим часу:

grep -q amazon /sys/devices/virtual/dmi/id/bios_version

Це працює, тому що Amazon визначає цей запис так:

$ cat /sys/devices/virtual/dmi/id/bios_version 4.2.amazon

test -f /sys/hypervisor/uuid -a `head -c 3 /sys/hypervisor/uuid` == ec2 && echo yes

але я не знаю, наскільки це портативно в різних дистрибутивах.

Швидка відповідь:

if [[ -f /sys/devices/virtual/dmi/id/product_uuid ]] && \
    grep -q "^EC2" /sys/devices/virtual/dmi/id/product_uuid
then
    echo "IS EC2"
else
    echo "NOT EC2"
fi

Я використовував один з відповідей, розміщених тут більше року, але він не працює на нових типах екземплярів c5 (я зараз працюю над оновленням до 'c4').

Мені подобається це рішення, тому що воно здається, що найменш вірогідне порушення в майбутньому.

На старих типах екземплярів і на нових версіях цей файл присутній і починається з "EC2". Я перевірив Ubuntu, що працює на VirtualBox (що мені також потрібно підтримувати), і він містить рядок "VirtualBox".

Як зазначалося в попередньому плакаті (але це було легко пропустити) - є документація Amazon про способи цього зробити, - яка включає мою відповідь.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/identify_ec2_instance.html

Можливо, ви можете використовувати "facter":

"Facter - це міжплатформна бібліотека для отримання простих фактів операційної системи, таких як операційна система, розподіл Linux або MAC-адреса."

http://www.puppetlabs.com/puppet/related-projects/facter/

Наприклад, якщо ми подивимось на факт ec2 (facter-1.6.12 / lib / facter / ec2.rb):

require 'facter/util/ec2'
require 'open-uri'

def metadata(id = "")
  open("http://169.254.169.254/2008-02-01/meta-data/#{id||=''}").read.
    split("\n").each do |o|
    key = "#{id}#{o.gsub(/\=.*$/, '/')}"
    if key[-1..-1] != '/'
      value = open("http://169.254.169.254/2008-02-01/meta-data/#{key}").read.
        split("\n")
      symbol = "ec2_#{key.gsub(/\-|\//, '_')}".to_sym
      Facter.add(symbol) { setcode { value.join(',') } }
    else
      metadata(key)
    end
  end
end

def userdata()
  begin
    value = open("http://169.254.169.254/2008-02-01/user-data/").read.split
    Facter.add(:ec2_userdata) { setcode { value } }
  rescue OpenURI::HTTPError
  end
end

if (Facter::Util::EC2.has_euca_mac? || Facter::Util::EC2.has_openstack_mac? ||
    Facter::Util::EC2.has_ec2_arp?) && Facter::Util::EC2.can_connect?

  metadata
  userdata
else
  Facter.debug "Not an EC2 host"
end

Якщо у вас встановлений curl, ця команда поверне 0, якщо ви працюєте в межах EC2 і не-нульовий, якщо ви не:

curl --max-time 3 http://169.254.169.254/latest/meta-data/ami-id 2>/dev/null 1>/dev/null`

Він намагається витягнути метадані EC2, декларуючи AMI-ID. Якщо це не вдасться через 3 секунди, воно передбачає, що воно не працює в EC2.

Трохи запізнюючись на цю вечірку, проте я натрапив на цю посаду і потім знайшов цю документацію AWS:

Для остаточного та криптографічно підтвердженого способу ідентифікації екземпляра EC2 перевірте документ, що посвідчує особу, включаючи його підпис. Ці документи доступні в кожному екземплярі EC2 за місцевою адресою, що не пересилається, http://169.254.169.254/latest/dynamic/instance-identity/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/identify_ec2_instance.html

Звичайно, для цього потрібні мережеві накладні витрати, хоча ви можете встановити час очікування вигину так:

curl -s --connect-timeout 5 http://169.254.169.254/latest/dynamic/instance-identity/

Це встановлює час очікування на 5s.