はじめに
この記事は Cocone Advent Calendar 2023 16日目の記事です
ココネ株式会社でサービスインフラエンジニアを担当しているyamadaです
主にAWSやGCP,オンプレミスのインフラ設計、構築、運用を行っております
あるサービスで新規システムを導入することになり、システムの一部でMacOSを使用したいとプログラマから要望が出ました
なかなか珍しい要件で過去事例は無かったですが、オンプレミスのMacをシステムに導入するのは物理的なリスクや課題も多いと判断し
EC2のMacインスタンスを採用することになりました
導入経験がなく、ネット上にも情報が少なく苦戦したところが多かったので
今回はEC2 Macインスタンスの構築手順や実際の運用で得られたノウハウ等をまとめたいと思います
対象者
この記事は下記のような方を対象にしています
- サーバー構築・運用経験がある
- AWSでEC2インスタンスを作成したことがある
- LinuxベースのEC2インスタンスをある程度運用したことがある
EC2 Macインスタンス特有の内容を取り上げていますので
LinuxベースのEC2インスタンスでも共通するような手順は割愛していることがあります
AWS EC2 Macインスタンスについて
EC2 MacインスタンスはEC2の作成のみで運用することは出来ません
事前にDedicated Host(専有ホスト)を確保する必要があります
AWSの仮想化基盤技術であるAWS Nitro Systemにより
データセンター上のMac Mini筐体を物理ホストに、MacOSを仮想化してEC2インスタンスとして動作させているようです
また、ストレージはEBSを使用しています
そのため物理ホストに障害が発生したら新たにDedicated Hostを確保しそこにインスタンスを移動できますし
ディスクが不足したらコンソールから簡単に拡張もできます
参考: https://aws.amazon.com/jp/ec2/instance-types/mac/
インスタンスタイプについて
2023年12月現在、Macインスタンスは以下のリージョンで使用することが出来ます
Intel Macインスタンス
mac1.metal (Intel Core i7, 12vCPU, 32GBメモリ)
インド、ストックホルム、ロンドン、アイルランド、ソウル、東京、シンガポール、シドニー、フランクフルト、北バージニア、オハイオ、オレゴン
M1 Macインスタンス
mac2.metal (M1, 12vCPU, 16GBメモリ)
アイルランド、シンガポール、北バージニア、オハイオ、オレゴン
M2 Macインスタンス
mac2-m2.metal (M2, 8vCPU, 24GBメモリ)
北バージニア、オハイオ、オレゴン
M2 Pro Macインスタンス
mac2-m2pro.metal (M2 Pro, 12vCPU, 32GBメモリ)
オハイオ、オレゴン
今回は東京リージョンで運用する必要があったのと
システムの仕様上Intel CPUが必要だったためmac1.metalを選択しました
料金について
EC2 Macインスタンスの稼働時間ではなくDedicated Hostの稼働時間に料金が発生します
使わない間にEC2のみ停止しても料金は発生し続けるので要注意です
(本記事後半にコスト削減のための一時停止・復旧手順を載せています)
リージョンごとに費用が変わるので詳細は割愛します
(参考: https://aws.amazon.com/jp/ec2/dedicated-hosts/pricing/ )
東京リージョンでmac1.metalを使う場合、大体月額780ドルほどかかります(1.083USD/時間)
最近は円安もあるので1ヶ月で10万円ほどですね…
注意点として、Dedicated Hostを確保したら24時間分の割当料金が必ず発生します
また24時間はHostを削除することが出来ません
検証のため数時間だけ利用したい場合でも最低24時間分の料金がかかりますので
計画的に作業を進めたいところです
Macインスタンスの構築について
Dedicated Hostの確保
EC2 → インスタンス → Dedicated Hosts → Dedicated Hostsを割り当て
名前タグ:任意
インスタンスファミリー:mac1
インスタンスタイプ:mac1.metal
アベイラビリティーゾーン:任意
インスタンスの自動配置:なし
ホストの復旧:なし
ホストのメンテナンス:なし(チェックを外す)
数量:1
タグ:任意
状態がPendingからAvailableになったらインスタンスの構築が可能
(補足)Dedicated Hostの復旧、メンテ機能について
LinuxベースのEC2インスタンスをDedicated Hostで稼働させる場合
物理障害に備えてインスタンスの再配置、Hostの復旧、Hostのメンテナンスを自動化出来ますが
Macインスタンスの場合はいずれも構築時点では対象外でした
物理障害が発生したら手作業でインスタンスを別のDedicated Hostに移動させるなどの
対応が必要になってきますのでサービス影響を考慮した設計が必要になります
今回のサービスではAWSのApplication Load BalancerでMacインスタンスを冗長化し
新規システムをマイクロサービスとしてメインシステムから分離することで障害発生時のリスクを減らしました
Macインスタンスを作成
EC2 → インスタンス → インスタンスを起動でEC2インスタンスを作成
名前:任意
Amazon マシンイメージ:macOS ※本記事ではVenture 13.6.1を選択
インスタンスタイプ:mac1.metal
キーペア名:任意
サブネット:private-a or private-c
パブリックIP:無効
既存のセキュリティグループを選択する:任意
ストレージ:任意
高度な詳細で以下の項目を設定
※サブネットとパブリックIPについては運用されているVPCの構成にあわせて設定してください
普段運用されているEC2インスタンスと同じように作成いただければ問題ないと思います
弊社ではオフィスとVPC間にSiteToSiteVPNを構築しているため
プライベートサブネットにインスタンスを構築しパブリックIP無効にしています
インスタンス作成後、Dedicated Hostの画面に移動し確保したDedicated Hostをチェック
「実行中のインスタンス」で作成したインスタンスが紐づいていることを確認する
OS設定
リモートデスクトップ出来るようにインスタンスにSSH接続して初期設定します
# ssh接続できるか確認 (初期状態ではec2-userでログイン)
$ ssh ec2-user@{割り当てられたIPアドレス}
# 後でリモートデスクトップ出来るようにパスワードを設定しておく
$ sudo passwd ec2-user
# Apple Remote Desktopエージェントを起動
$ sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart \
-activate -configure -access -on \
-restart -agent -privs -all
リモートデスクトップ接続
弊社ではオフィスとAWS VPC間にSiteToSiteVPNを構築しているため
プライベートIPアドレスでリモートデスクトップ接続可能ですが
通常はローカルポートフォワードの対応が必要になります
(Macインスタンスではなく使っているPC端末上で実行してください)
$ ssh -L 5900:localhost:5900 -i 秘密鍵 ec2-user@パブリックIP
ローカル環境がMacの場合はFinder → 移動 → サーバーに接続
windowsの場合は任意のvncクライアントソフトを使用
URI: vnc://localhost:5900
ユーザー:ec2-user
パスワード:先程設定したパスワード
実際の運用ではec2-userはリスクが高いので使用せず
リモートデスクトップ接続後に管理用のユーザーを作成してec2-userは削除しました
(ユーザー追加手順は通常のMacと同じなので割愛します)
Macインスタンスの運用について
Macを動かすだけなら以上の手順で完了ですが
サービス運用するうえで以下のやり方は把握しておきたかったので調査・導入してみました
- ディスクサイズの変更
- サーバーのメトリクス監視
- サーバーを使わない間のコスト削減手法
ディスクサイズの変更
AWS側の手順
インスタンスの詳細からストレージを確認しボリュームIDをチェック
対象のボリュームに移動しアクション → ボリュームの変更
任意のサイズに変更する
ボリュームのステータスがoptimizingになったらMac側で拡張作業ができるようになります
Macインスタンスが起動している場合、再起動かけないと反映されません
EC2のマネジメントコンソール画面上から再起動を実施
(Linuxと違い20~30分以上待つ可能性がある)
再起動後、Macにsshログインしパーティション拡張コマンドを実行します
Mac側の手順
ディスク状況の確認
$ sudo diskutil list physical external
Password:
/dev/disk1 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *536.9 GB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_APFS Container disk2 214.5 GB disk1s2
disk1が500GBになったがパーティションに反映されておらず200GBのまま
repairDiskを実行
$ sudo diskutil repairDisk disk1
$ sudo diskutil list physical external
/dev/disk1 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *536.9 GB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_APFS Container disk2 214.5 GB disk1s2
(free space) 322.1 GB -
322GBのフリースペースが作られた
パーティションの再作成
$ sudo diskutil apfs resizeContainer disk1s2 0
$ sudo diskutil list physical external
/dev/disk1 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *536.9 GB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_APFS Container disk2 536.7 GB disk1s2
パーティションが拡張されました
Linuxとは使用するコマンドが異なるので少しハマった点でした
サーバーのメトリクス監視
メトリクス監視にはCloudWatchを採用しました
(zabbixも使えたのですがOSバージョンの問題で弊社では導入が難しかったため)
EC2 MacインスタンスにIAMロールを割り当てる
CloudWatchAgentAdminPolicyをアタッチしたIAMロールを作成して
Macインスタンスに付与します
IAM → ロール → ロールを作成
EC2 → インスタンスからMacインスタンスをチェック → アクション → セキュリティ → IAMロールを変更
CloudWatchAgentのインストール
MacインスタンスにSSH接続してCloudWatchエージェントのインストールを実施します
# Macの場合はS3経由でpkgファイルをダウンロード
$ cd ~/Desktop
$ curl -O https://s3.amazonaws.com/amazoncloudwatch-agent/darwin/amd64/latest/amazon-cloudwatch-agent.pkg
$ sudo installer -pkg ./amazon-cloudwatch-agent.pkg -target /
# amazon-cloudwatch-agent-config-wizardでエージェントの初期設定を行う
$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-config-wizard
ウィザードの選択肢は基本デフォルトで進めてOKですが、システム設計に合わせて適宜選択してください
→ AWS system managerのパラメータストアに以下の名前で設定が保存される
AmazonCloudWatch-darwin
# brewでcollectdをインストール
$ brew install collectd
# インストール時にpermissionエラーが出たら下記実行して改めてインストール
$ sudo chown -R "$USER":admin /usr/local
$ sudo chmod -R g+w /usr/local
$ brew install collectd
# もしcollectdが/usr/share/配下ではなく/usr/local/share/配下にインストールされた場合は
AWSパラメータストアに移動し、AmazonCloudWatch-darwinのJsonファイルにcollectdのパスを追記する
---------
.....
"metrics_collected": {
"collectd": {
"metrics_aggregation_interval": 60,
"collectd_typesdb":["/usr/local/share/collectd/types.db"]
}
.....
---------
# cloudwatch agentを起動する
$ sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m ec2 -s -c ssm:AmazonCloudWatch-darwin
CloudWatch → すべてのメトリクス → CWagent
ディスク使用率とメモリ使用率のグラフが生成されていればOK
※CPU使用率はAgent不要でEC2のメトリクスから取得可能です
公式ドキュメントだとcollectdが/usr/share/にインストールされる前提で書かれていたのですが
実際には/usr/local/share/にインストールされたためエージェントが起動できず苦戦しました…
サーバーを使わない間のコスト削減手法
リリース後に暫くの間システムを停止して機能改修することになったのですが
再リリースまでサーバー環境は残しつつコストを抑える必要がありました
Macインスタンスを停止し、Dedicated Hostをリリースすることで
EC2の情報(ストレージ、IPアドレス、セキュリティ設定等)は保持しつつ
従量課金を最小限に抑えることにしました
Macインスタンスを停止
マネジメントコンソール上から対象のインスタンスを停止する
Dedicated Hsotの開放
インスタンスを停止後、最大で200分待つ必要がある
アクション → ホストをリリース
状態がReleasedになっていればOK (しばらく待つとリストから消える)
Macインスタンス停止後の復旧手順
Dedicated Hostの確保
構築時と同じ手順でDedicated Hostを新規に確保し、確保したDedicated Hostを指定して
EC2インスタンスを起動する流れになります
(Dedicated Host確保の手順は本記事の構築手順を参考にしてください)
Macインスタンスを起動
対象のMacインスタンスにチェックを入れて
アクション → インスタンスの設定 → インスタンスの配置の変更
ターゲットの専有ホストを新たに確保したDedicated HostのIDに変更
あとはいつも通り起動し、Dedicated Hostsの画面で実行中のインスタンスに紐づいていることを確認する
ストレージ、IPアドレス、セキュリティ設定等に変化がないことを確認できればOK
まとめ
AWS EC2 Macインスタンスの構築と運用についてまとめました
実際に使ってみた感触としてはシステム領域を自由に触れなかったり
Mac独自のコマンドを理解する必要がありますしLinuxと比較すると動作が重たかったりと
運用で苦戦する場面は多かったですが、ノウハウを蓄積できて良い経験になったと感じました
今回まとめた情報をご活用いただいて、EC2 Macインスタンスを導入するきっかけになれば幸いです