Ansible 설치 및 Ansible로 AWS EC2 생성하기

기존의 물리적 서버, 스토리지, 네트워크 등을 전부 클러스터로 묶고 추상화하여, 애플리케이션 배포 요구사항에 맞게 가상화된 인프라를 코드로 생성, 관리, 폐기하는 일련의 과정을 '코드형 인프라스트럭처 (IaC; Infrastructrure as Code)'라고 한다. 이번 포스트에서는 해당 과정의 일부인 자동화를 Ansible를, AWS EC2 인스턴스를 생성하는 간단한 예제를 통하여 다루어보고자 한다.

 

이 포스트에서는 유저의 Windows PC가 관리 노드가 되며, 유저의 PC ==> WSL (Windows Subsystem for Linux) Ubuntu 22.04 LTS + Ansible로 직접 AWS에 접근하여 EC2 인스턴스를 생성할 것이다.

 

환경 구성

Ansible을 위한 경로 생성

이제 EC2 생성을 위한 playbook과, 그리고 위에서 발급받은 access key를 담을 경로를 유저의 PC에 생성할 것이다. WSL Ubuntu의 셸에 아래 명령어를 입력하여 홈 디렉터리로 이동한다.

cd ~

이제 홈에다가 `ansible_aws_tutorial` 폴더를 생성, 그리고 하위 폴더로 `group_vars/all`도 생성한다. 생성한 뒤에는 `ansible_aws_tutorial`로 들어가서 이따가 사용할 `playbook.yml`을 미리 만들어놓는다.

mkdir -p ansible_aws_tutorial/group_vars/all/
cd ansible_aws_tutorial
touch playbook.yml

AWS 접근 키 생성

가장 먼저 해야 할 것은 Ansible에서 AWS로 접근할 수 있도록 토큰을 생성하는 것이다. 이는 AWS의 IAM 서비스에서 할 수 있다. 여기서는 AWS의 root account가 아닌 IAM으로 권한을 부여받은 별도의 유저가 있는 것으로 전제하고 접근 키 생성 방법을 설명하겠다.

아래와 같이, IAM을 검색하여 해당 페이지로 들어간다.

 

IAM Dashboard로 가서, 아래와 같이, 접근 키를 발급받고자 하는 유저를 선택한다.

 

아래와 같이, 해당 유저의 Security credentials 탭으로 가서 Create access keys를 클릭한다.

 

Access key 생성 과정에서, 아래와 같은 설문을 받게 된다. 맨 마지막 'Other' 이외의 모든 선택지가 'Alternatives recommended'라는 경고가 뜬다. 하지만 유저의 PC에 설치된 Ansible로 AWS에 접근하는 것은 'Other'에 해당되므로 이를 클릭하자. 다만, 이를 통해 발급받은 access key는 외부에 유출되지 않도록 극히 주의하여야 한다. 이러한 키들을 GitHub 저장소 등에 아무렇게나 노출시킬 경우, 지나가던 크롤링 봇이 이 키를 수집하여, 며칠만 지나도 유저의 Billing dashboard에 천문학적인 금액이 찍히게 만들지도 모르기 때문이다.

 

생성되면, 아래와 같이 access key와 secret access key를 복사할 수 있게 된다.

EC2 인스턴스들에 접근을 위한 키쌍 (Key Pair) 생성

Ansible은 기본적으로 'agentless'로, 타깃 서버에다가 별도의 agent를 두는 대신 SSH 접속을 이용하는 방식이다. 내 PC에서 SSH로 EC2 인스턴스에 접근하기 위한 키쌍을 생성해야 한다. 아래 명령어를 셸에 입력하여 `my_ec2_key`라는 공개키 및 비밀키를 생성할 수 있다. Passphrase는 필요한 경우에는 입력하겠지만 여기서는 생략한다.

ssh-keygen -t rsa -b 4096 -f my_ec2_key

생성 후, 아래와 같이 `ls -al`을 입력하면 실제로 만들어진 것을 확인할 수 있다.

Ansible 설치

이제 유저의 PC에 Ansible을 설치한다. 아래 명령어를 셸에 입력하여 업데이트하고 Ansible을 설치한다.

sudo apt update;sleep 1;sudo apt upgrade -y;sleep 1
sudo apt install software-properties-common
sudo add-apt-repository --yes --update ppa:ansible/ansible
sudo apt install ansible

이후 셸에 `ansible --version`을 실행하여 아래와 같이 버전을 확인한다.

AWS Access Key 저장

AWS Access Key를 암호화함과 동시에 playbook에 마치 이미 존재하는 변수처럼 사용하기 위해서는 `ansible-vault`을 사용해야 한다. 이때, `ansible-vault`는 기본적으로 암호화를 위한 패스워드, 또는 패스키 파일을 필요로 한다.

이 포스트에서는 패스워드로 암호화하는 방식으로 진행한다.  아래 명령어를 입력하여 현재 폴더의 하위에 위치한 `group_vars/all`에 `pass.yml`을 새로 생성한다.

ansible-vault create ./group_vars/all/pass.yml

이때, 아래와 같이, 그 유명한(...) `vim` 에디터가 등장할 것이다. 가급적 `vim` 튜토리얼을 한번 보고 진행하기를 바란다.

또는 아래처럼 에디터를 `nano`로 직접 지정하여 열 수도 있다.

env EDITOR=nano ansible-vault create group_vars/all/pass.yml

아무튼 에디터가 열렸다면 아래와 같이 AWS 키를 넣고 저장한다.

ec2_access_key: AK****************7                                      
ec2_secret_key: KeJ/sg**************************HT8

이제 이 `pass.yml`에는 해당 키쌍 (key pair)이 암호화된 채로 저장된다. 실제로 `nano group_vars/all/pass.yml`을 통해 `pass.yml`을 그냥 열 경우 그 원본을 볼 수 없다.

 

이렇게 모든 환경 구성이 끝났다. 다음은 Ansible의 playbook을 작성하고 이를 실행해보겠다.

Ansible 구성 및 실행

Ansible Playbook YAML 작성

아까 작성했던 `playbook.yml`파일을 열기 위해, 셸에 `nano playbook.yml`을 입력한다. 그리고 아래와 같이 작성하여 저장한다.

아래 region, AMI 이미지 고유 ID, 서브넷 고유 ID, 보안그룹 고유 ID, EC2에 사용할 키쌍 파일 경로 등은 본인 상황에 맞도록 수정한다. 이때 AMI 이미지 고유 ID는 EC2 서비스의 좌측 메뉴에 있는 'AMI Catalog'를 보면 확인할 수 있다 (아니면 Amazon Linux 2023 AMI ami-081a36454cdf357cb, 또는 Ubuntu Server 22.04 LTS (HVM) ami-0382ac14e5f06eb95, 또는 본인이 미리 저장해놨던 AMI)

# AWS playbook
---

- hosts: localhost
  connection: local
  gather_facts: False

  vars:
    key_name: my_ec2_key             # Key used for SSH
    region: ap-northeast-2       # Region may affect response and pricing
    image: ami-<이미지 고유 ID> # look in ec2 > ami (filter owner alias: amazon) or amis of manually launched instances
    id: "example testing"
    instance_type: t2.micro       # Choose instance type, check AWS for pricing
    vpc_subnet_id: subnet-<서브넷 고유 ID>
    sec_group: "sg-<보안그룹 고유 ID>"

  tasks:
    - name: Provisioning EC2 instances
      block:
      - name: Amazon EC2 | Create Key Pair      # Create key pair for ssh
        ec2_key:
          name: "{{ key_name }}"
          region: "{{ region }}"
          aws_access_key: "{{ec2_access_key}}"  # From vault as defined
          aws_secret_key: "{{ec2_secret_key}}"  # From vault as defined
          key_material: "{{ item }}"
        with_file: ~/ansible_aws_tutorial/my_ec2_key.pub

      - name: Start an instance with a public IP address
        ec2_instance:
          name: "public-compute-instance"
          key_name: "{{ key_name }}"
          vpc_subnet_id: "{{ vpc_subnet_id }}"
          instance_type: "{{ instance_type }}"
          security_group: "{{ sec_group }}"
          aws_access_key: "{{ ec2_access_key }}"
          aws_secret_key: "{{ ec2_secret_key }}"
          region: "{{ region }}"
          network:
            assign_public_ip: true
          image_id: "{{ image }}"
          tags:
            Environment: Testing

      # Always require the 'create_ec2' tag to provision EC2 instance
      tags: ['never', 'create_ec2'] 

    - name: Facts
      block: # this block prints out instance data

      - name: Get instances facts
        ec2_instance_info:
          aws_access_key: "{{ ec2_access_key }}"
          aws_secret_key: "{{ ec2_secret_key }}"
          region: "{{ region }}"
        register: result

      - name: Instances ID
        debug:
          msg: "ID: {{ item.instance_id }} - State: {{ item.state.name }} - Public DNS: {{ item.public_dns_name }}"
        loop: "{{ result.instances }}"
        
      - name: Gather information about all subnets
        ec2_vpc_subnet_info:
          aws_access_key: "{{ ec2_access_key }}"
          aws_secret_key: "{{ ec2_secret_key }}"
          region: "{{ region }}"
        register: subnets

      - name: Print the subnet information
        debug:
          msg: "{{ subnets }}"

        
      tags: always

Ansible 실행

이제 모든 준비가 끝났으며 실행만 하면 된다. 셸에서 아래를 입력하여 실행한다.

ansible-playbook playbook.yml --tags create_ec2  --ask-vault-pass

이때 Ansible가 패스워드를 요구할 것이다. Vault에 저장해둔 패스워드를 입력하면 된다.

만약, 패스워드가 아니라 패스키 파일을 따로 뒀다면, 아래와 같이 입력하면 된다.

ansible-playbook playbook.yml --tags create_ec2 --vault-password-file vault파일.pass

Ansible 실행 결과

만약 성공할 경우 터미널에는 아래와 같이 나온다.

만약 실패할 경우 터미널에는 아래와 같이 나온다.

 

AWS 콘솔에서 결과 확인

성공했을 경우 아래와 같이 AWS 콘솔에 새로운 EC2 인스턴스가 만들어졌음을 확인할 수 있다.

만들어진 자원 삭제하기

일단 가장 먼저 AWS access key 삭제 ==> (해당되는 경우) 서브넷 삭제 ==> VPC 삭제 ==> (해당되는 경우) 직접 생성한 AMI 삭제 ==> EC2 인스턴스 삭제