Wie erkennt man, ob es sich bei einer Maschine um eine EC2-Instanz handelt?

Ich möchte einige Skripte auf Hosts ausführen, bei denen es sich um EC2-Instanzen handelt, kann aber nicht sicher sein, dass es sich bei dem Host tatsächlich um eine EC2-Instanz handelt.

Ich habe einige Tests gemacht, aber das reicht nicht aus:

• Testen Sie, ob die Binärdatei ec2_userdata verfügbar ist (dies ist jedoch nicht immer der Fall).
• Testverfügbarkeit von " http://169.254.169.254/latest/meta-data " (aber wird dies immer zutreffen? Und was ist diese "magische IP"?)

Tatsächlich gibt es eine sehr einfache Möglichkeit, festzustellen, ob der Host eine EC2-Instanz ist: Überprüfen Sie die umgekehrte Suche Ihrer öffentlichen IP. Die EC2-Umkehrungen sind kaum zu übersehen.

Wenn Sie es nicht geändert haben, sollte der Hostname umgekehrt sein, damit Sie es leichter erkennen können.

Sie können auch die "magische IP" verwenden, von der Sie gesprochen haben, da dies in der Tat die Standardmethode zum Abrufen von EC2-Instanz-Tags ist. Wenn Sie sich jedoch nicht in einem EC2-Netzwerk befinden, müssen Sie auf eine Zeitüberschreitung warten, die in der Regel nicht der Fall ist wünschenswert...

Wenn diese Methoden nicht ausreichen, geben Sie einfach Ihre IP-Adresse ein und überprüfen Sie, ob Sie sich innerhalb von Amazon EC2 befinden und die IP blockieren.

EDIT: Sie können dieses kleine Shell-Bit verwenden:

#!/bin/bash
LOCAL_HOSTNAME=$(hostname -d)
if [[ ${LOCAL_HOSTNAME} =~ .*\.amazonaws\.com ]]
then
        echo "This is an EC2 instance"
else
        echo "This is not an EC2 instance, or a reverse-customized one"
fi

Vorsicht, [[ist ein Bashismus. Sie können auch eine Python- oder Perl-Uniline, YMMV, verwenden.

Die Antwort von Hannes wurde geändert, um Fehlermeldungen zu vermeiden und eine Beispielverwendung in das Skript aufzunehmen:

if [ -f /sys/hypervisor/uuid ] && [ `head -c 3 /sys/hypervisor/uuid` == ec2 ]; then
    echo yes
else
    echo no
fi

Dies funktioniert nicht in Windows-Instanzen. Vorteil gegenüber dem Einrollen ist, dass es sowohl bei EC2 als auch bei Nicht-EC2 nahezu augenblicklich ist.

Zuerst hatte ich das Bedürfnis, eine neue Antwort zu schreiben, weil die vorhandenen Antworten folgende subtile Probleme aufwiesen und nachdem ich eine Frage zu meinem Kommentar zur Antwort von @ qwertzguy erhalten hatte . Hier sind die Probleme mit den aktuellen Antworten:

1. Die akzeptierte Antwort von @MatthieuCerda funktioniert definitiv nicht zuverlässig, zumindest nicht auf VPC-Instanzen, die ich überprüft habe. (Auf meinen Instanzen erhalte ich einen VPC-Namen für hostname -d, der für internes DNS verwendet wird, und nichts mit "amazonaws.com".)
2. Die am höchsten bewertete Antwort von @qwertzguy funktioniert nicht auf neuen m5- oder c5-Instanzen , die diese Datei nicht haben. Amazon versäumt es, diese Verhaltensänderung AFAIK zu dokumentieren, obwohl auf der Dokumentseite zu diesem Thema "... If / sys / hypervisor / uuid exists ..." steht. Ich habe den AWS-Support gefragt, ob diese Änderung beabsichtigt ist, siehe unten †.
3. Die Antwort von @Jer funktioniert nicht unbedingt überall, da die instance-data.ec2.internalDNS-Suche möglicherweise nicht funktioniert. Auf einer Ubuntu EC2 VPC-Instanz, auf der ich gerade getestet habe, sehe ich: $ curl http://instance-data.ec2.internal curl: (6) Could not resolve host: instance-data.ec2.internal Dies würde dazu führen, dass Code, der sich auf diese Methode stützt, fälschlicherweise zu dem Schluss kommt, dass es sich nicht um EC2 handelt!
4. Die von @tamale zu verwendendedmidecode Antwort mag funktionieren, hängt jedoch davon ab, dass Sie a.) dmidecodeAuf Ihrer Instanz verfügbar sind und b.) Über Root- oder sudokennwortlose Funktionen in Ihrem Code verfügen .
5. Die Antwort auf / sys / devices / virtual / dmi / id / bios_version von @spkane ist gefährlich irreführend! Ich habe eine Ubuntu 14.04 m5-Instanz überprüft und eine bios_versionvon 1.0. Diese Datei ist auf dem Amazon- Dokument überhaupt nicht dokumentiert , daher würde ich mich wirklich nicht darauf verlassen.
6. Der erste Teil der Antwort von @ Chris-Montanaro zum Überprüfen einer unzuverlässigen Drittanbieter-URL und zum Verwenden whoisdes Ergebnisses ist auf mehreren Ebenen problematisch. Beachten Sie, dass die in dieser Antwort vorgeschlagene URL derzeit eine 404-Seite ist! Selbst wenn Sie einen 3rd-Party - Service finden taten der Arbeit getan hat, wäre es vergleichsweise seinen sehr langsam ( im Vergleich zu einer Datei lokal Überprüfung) und möglicherweise in geschwindigkeitsbegrenzenden Probleme oder Netzwerkprobleme führen, oder möglicherweise Ihre EC2 - Instanz noch nicht einmal außerhalb des Netzwerkzugriffs.
7. Der zweite Vorschlag in der Antwort von @ Chris-Montanaro , http://169.254.169.254/ zu überprüfen, ist etwas besser, aber ein anderer Kommentator merkt an, dass andere Cloud-Anbieter diese Instanz-Metadaten-URL zur Verfügung stellen. Sie müssen also vorsichtig sein, um Falsches zu vermeiden Positive. Außerdem wird es immer noch viel langsamer als eine lokale Datei sein. Ich habe gesehen, dass diese Überprüfung bei stark belasteten Instanzen besonders langsam ist (mehrere Sekunden bis zur Rückkehr). Sie sollten auch daran denken, ein -moder ein --max-timeArgument an curl zu übergeben, um zu vermeiden, dass es sehr lange hängen bleibt, insbesondere in einer Nicht-EC2-Instanz, in der diese Adresse möglicherweise nirgendwohin führt und hängen bleibt (wie in der Antwort von @ algal ).

Ich sehe auch nicht, dass irgendjemand Amazon als dokumentierten Fallback für die Überprüfung der (möglichen) Datei erwähnt hat /sys/devices/virtual/dmi/id/product_uuid.

Wer hätte gedacht, dass die Entscheidung, ob Sie mit EC2 arbeiten, so kompliziert sein könnte ?! OK, jetzt, da wir (die meisten) Probleme mit den aufgelisteten Ansätzen haben, ist hier ein vorgeschlagenes Bash-Snippet, um zu überprüfen, ob Sie mit EC2 arbeiten. Ich denke, das sollte generell auf fast allen Linux-Instanzen funktionieren, Windows-Instanzen sind eine Übung für den Leser.

#!/bin/bash

# This first, simple check will work for many older instance types.
if [ -f /sys/hypervisor/uuid ]; then
  # File should be readable by non-root users.
  if [ `head -c 3 /sys/hypervisor/uuid` == "ec2" ]; then
    echo yes
  else
    echo no
  fi

# This check will work on newer m5/c5 instances, but only if you have root!
elif [ -r /sys/devices/virtual/dmi/id/product_uuid ]; then
  # If the file exists AND is readable by us, we can rely on it.
  if [ `head -c 3 /sys/devices/virtual/dmi/id/product_uuid` == "EC2" ]; then
    echo yes
  else
    echo no
  fi

else
  # Fallback check of http://169.254.169.254/. If we wanted to be REALLY
  # authoritative, we could follow Amazon's suggestions for cryptographically
  # verifying their signature, see here:
  #    https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.html
  # but this is almost certainly overkill for this purpose (and the above
  # checks of "EC2" prefixes have a higher false positive potential, anyway).
  if $(curl -s -m 5 http://169.254.169.254/latest/dynamic/instance-identity/document | grep -q availabilityZone) ; then
    echo yes
  else
    echo no
  fi

fi

Offensichtlich könnten Sie dies mit noch mehr Fallback-Checks erweitern und Paranoia über den Umgang mit z. B. einem /sys/hypervisor/uuidzufälligen Fehlalarm von "ec2" einschließen und so weiter. Dies ist jedoch eine ausreichend gute Lösung für Illustrationszwecke und wahrscheinlich für fast alle nicht-pathologischen Anwendungsfälle.

[†] Diese Erklärung zur Änderung für c5 / m5-Instanzen wurde vom AWS-Support zurückgegeben:

Die C5- und M5-Instanzen verwenden einen neuen Hypervisor-Stack, und die zugehörigen Kerneltreiber erstellen keine Dateien in sysfs (das unter / sys eingehängt ist) wie die Xen-Treiber, die von den anderen / älteren Instanztypen verwendet werden . Der beste Weg, um festzustellen, ob das Betriebssystem auf einer EC2-Instanz ausgeführt wird, besteht darin, die verschiedenen Möglichkeiten zu berücksichtigen, die in der von Ihnen verknüpften Dokumentation aufgeführt sind .

Suchen Sie nach den Metadaten anhand des internen Domänennamens von EC2 anstelle der IP-Adresse. Dies führt zu einem schnellen DNS-Fehler, wenn Sie nicht mit EC2 arbeiten, und vermeidet IP-Konflikte oder Routing-Probleme:

curl -s http://instance-data.ec2.internal && echo "EC2 instance!" || echo "Non EC2 instance!"

In einigen Distributionen, sehr einfachen Systemen oder in sehr frühen Installationsphasen ist Curl nicht verfügbar. Verwenden Sie stattdessen wget :

wget -q http://instance-data.ec2.internal && echo "EC2 instance!" || echo "Non EC2 instance!"

Wenn Sie feststellen möchten, ob es sich um eine EC2-Instanz oder eine andere Art von Cloud-Instanz handelt, wie z. B. Google, dmidecodefunktioniert dies sehr gut und es ist kein Netzwerk erforderlich. Ich mag dies im Vergleich zu einigen anderen Ansätzen, da der Metadaten-URL-Pfad für EC2 und GCE unterschiedlich ist.

# From a google compute VM
$ sudo dmidecode -s bios-version
Google

# From an amazon ec2 VM
$ sudo dmidecode -s bios-version
4.2.amazon

Hostnamen ändern sich wahrscheinlich. Führen Sie einen Whois gegen Ihre öffentliche IP-Adresse aus:

if [[ ! -z $(whois $(curl -s shtuff.it/myip/short) | grep -i amazon) ]]; then 
  echo "I'm Amazon"
else 
  echo "I'm not Amazon"
fi

oder klicken Sie auf die AWS-Metadaten-URL

if [[ ! -z $(curl -s http://169.254.169.254/1.0/) ]]; then 
  echo "I'm Amazon"
else 
  echo "I'm not Amazon"
fi

Dies funktioniert auch für Linux-Hosts in ec2 und erfordert kein Netzwerk und damit verbundene Zeitlimits:

grep -q amazon /sys/devices/virtual/dmi/id/bios_version

Dies funktioniert, da Amazon diesen Eintrag folgendermaßen definiert:

$ cat /sys/devices/virtual/dmi/id/bios_version 4.2.amazon

test -f /sys/hypervisor/uuid -a `head -c 3 /sys/hypervisor/uuid` == ec2 && echo yes

aber ich weiß nicht, wie portabel dies über Distributionen hinweg ist.

Schnelle Antwort:

if [[ -f /sys/devices/virtual/dmi/id/product_uuid ]] && \
    grep -q "^EC2" /sys/devices/virtual/dmi/id/product_uuid
then
    echo "IS EC2"
else
    echo "NOT EC2"
fi

Ich habe über ein Jahr lang eine der hier veröffentlichten Antworten verwendet - aber sie funktioniert nicht auf den neuen Instanztypen 'c5' (ich arbeite derzeit an einem Upgrade von 'c4').

Ich mag diese Lösung, weil es so scheint, als würde sie in Zukunft am wenigsten scheitern.

Bei den älteren und den neueren Instanztypen ist diese Datei vorhanden und beginnt mit 'EC2'. Ich habe geprüft, ob Ubuntu auf VirtualBox läuft (was ich auch unterstützen muss) und es enthält den String 'VirtualBox'.

Wie bereits in einem früheren Poster erwähnt (aber leicht zu übersehen), gibt es eine Amazon-Dokumentation, in der meine Antwort enthalten ist.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/identify_ec2_instances.html

Vielleicht kannst du "facter" benutzen:

"Facter ist eine plattformübergreifende Bibliothek zum Abrufen einfacher Betriebssystemdaten wie Betriebssystem, Linux-Distribution oder MAC-Adresse."

http://www.puppetlabs.com/puppet/related-projects/facter/

Wenn wir uns zum Beispiel die ec2-Tatsache ansehen (facter-1.6.12 / lib / facter / ec2.rb):

require 'facter/util/ec2'
require 'open-uri'

def metadata(id = "")
  open("http://169.254.169.254/2008-02-01/meta-data/#{id||=''}").read.
    split("\n").each do |o|
    key = "#{id}#{o.gsub(/\=.*$/, '/')}"
    if key[-1..-1] != '/'
      value = open("http://169.254.169.254/2008-02-01/meta-data/#{key}").read.
        split("\n")
      symbol = "ec2_#{key.gsub(/\-|\//, '_')}".to_sym
      Facter.add(symbol) { setcode { value.join(',') } }
    else
      metadata(key)
    end
  end
end

def userdata()
  begin
    value = open("http://169.254.169.254/2008-02-01/user-data/").read.split
    Facter.add(:ec2_userdata) { setcode { value } }
  rescue OpenURI::HTTPError
  end
end

if (Facter::Util::EC2.has_euca_mac? || Facter::Util::EC2.has_openstack_mac? ||
    Facter::Util::EC2.has_ec2_arp?) && Facter::Util::EC2.can_connect?

  metadata
  userdata
else
  Facter.debug "Not an EC2 host"
end

Wenn Sie Curl installiert haben, gibt dieser Befehl 0 zurück, wenn Sie innerhalb von EC2 ausgeführt werden, und einen Wert ungleich Null, wenn Sie nicht:

curl --max-time 3 http://169.254.169.254/latest/meta-data/ami-id 2>/dev/null 1>/dev/null`

Es wird versucht, die EC2-Metadaten abzurufen, in denen die AMI-ID deklariert ist. Wenn dies nach 3 Sekunden nicht gelingt, wird davon ausgegangen, dass EC2 nicht ausgeführt wird.

Ein bisschen zu spät zu dieser Party, aber ich bin auf diesen Beitrag gestoßen und habe dann diese AWS-Dokumentation gefunden:

Um eine endgültige und kryptografisch überprüfte Methode zur Identifizierung einer EC2-Instanz zu erhalten, überprüfen Sie das Instanzidentitätsdokument einschließlich seiner Signatur. Diese Dokumente sind auf jeder EC2-Instanz unter der lokalen, nicht routbaren Adresse http://169.254.169.254/latest/dynamic/instance-identity/ verfügbar.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/identify_ec2_instances.html

Dies erfordert natürlich den Netzwerk-Overhead, obwohl Sie das Curl-Timeout wie folgt einstellen können:

curl -s --connect-timeout 5 http://169.254.169.254/latest/dynamic/instance-identity/

Das setzt das Timeout auf 5s.