古い AWS アカウントの呪い(?)
私の AWS アカウントでは Tokyo リージョン(ap-northeast-1) の Availability Zone の a が使用できません。使用できるのは b と c だけです。これはアカウントを作成した時期(2011年)に関係しているようです。比較的新しい時期にアカウントを作成した人は Availability Zone の a が利用可能なようです。
この初期勢にまつわるアカウント呪い(?)によって、公開されている CFn や CDK のサンプルで「他の人のアカウント(新しめ)では動く」のに「自分のアカウント(古め)では動かない(古めのアカウント)」ことが稀によくあります。
解決方法として AWS CDK のドキュメント Control over availability zones を参照したところ、コンストラクタが使用可能な Availability Zone の getter を設定してこのアカウントの呪いを教えてあげる必要があることが判明しました。
$ basename $PWD aws-cdk-examples $ git diff diff --git a/typescript/ec2-instance/lib/ec2-cdk-stack.ts b/typescript/ec2-instance/lib/ec2-cdk-stack.ts index 4cfdec0..bc5b5f9 100644 --- a/typescript/ec2-instance/lib/ec2-cdk-stack.ts +++ b/typescript/ec2-instance/lib/ec2-cdk-stack.ts @@ -45,13 +45,13 @@ export class Ec2CdkStack extends cdk.Stack { // Use Latest Amazon Linux Image - CPU Type ARM64 const ami = new ec2.AmazonLinuxImage({ generation: ec2.AmazonLinuxGeneration.AMAZON_LINUX_2, - cpuType: ec2.AmazonLinuxCpuType.ARM_64 + cpuType: ec2.AmazonLinuxCpuType.X86_64 }); // Create the instance using the Security Group, AMI, and KeyPair defined in the VPC created const ec2Instance = new ec2.Instance(this, 'Instance', { vpc, - instanceType: ec2.InstanceType.of(ec2.InstanceClass.T4G, ec2.InstanceSize.MICRO), + instanceType: ec2.InstanceType.of(ec2.InstanceClass.T3, ec2.InstanceSize.NANO), machineImage: ami, securityGroup: securityGroup, // keyName: key.keyPairName, @@ -77,4 +77,9 @@ export class Ec2CdkStack extends cdk.Stack { new cdk.CfnOutput(this, 'Download Key Command', { value: 'aws secretsmanager get-secret-value --secret-id ec2-ssh-key/cdk-keypair/private --query SecretString --output text > cdk-key.pem && chmod 400 cdk-key.pem' }) new cdk.CfnOutput(this, 'ssh command', { value: 'ssh -i cdk-key.pem -o IdentitiesOnly=yes ec2-user@' + ec2Instance.instancePublicIp }) } + + get availabilityZones(): string[] { + return ['ap-northeast-1b', 'ap-northeast-1c']; + } + }
Getting started with Amazon EKS の地雷処理 もそうですが、Availability Zone 関係は地雷が多い印象です。
AWS CDK の印象
編集 > 実行のサイクルが自動化される watch 機能 や try&error のサイクルを早める --hotswap オプション があります。API の動作確認と実装作業を並行して進められ 各リソースのテスト も可能です。
Imperative approach な IaC の急先鋒として
個人的に Declarative approach(what) な CloudFormation
と Imperative approach(how) な CDK
を比べると後者は YAML から解放され、「書いていても鬱にならない」 IaC だなと思いました(高度に抽象化されていてやりたいことの書き方が見つからないなど短所もありますが...)