Multi-account 구조에서 AWS 리소스(EC2, RDS) 자동 시작-중지 스케줄러 구성하기 : Instance Scheduler on AWS

EventBridge 또는 Lambda 함수 구성을 통해 스케줄러를 구성하는 방법 외에 AWS에서 제공하는 두 가지 솔루션이 있다.

1. AWS System Manager > Quick Setup > Resource Scheduler
2. Instance Scheduler on AWS

 

0. 스케줄러 솔루션 종류

① Resource Scheduler

AWS Systems Manager > Quick Setup를 이용하여 EC2 인스턴스를 자동으로 시작하고 중지하는 Resource Scheduler를 구성할 수 있다.

• 대상 : only EC2 인스턴스
• 효과 : EC2 사용 시간 감소로 인한 EC2 사용 요금 감소
• 사용 방법
  • 정의한 일정에 따라 여러 AWS region 및 계정에서 EC2를 자동으로 중지 및 시작 가능.
  • Quick Setup 구성은 사용자가 지정한 태그의 키-값을 사용하여 스케줄러 설정.
• 비용 : Quick Setup 설정으로 인한 Resource Scheduler 구성 비용은 발생하지 않는다.

② Instance Scheduler on AWS

그림 Ref: Instance Scheduler on AWS

위 솔루션을 AWS CloudFormation 템플릿을 이용하여 배포할 수 있다.

• 대상 : EC2, RDS 인스턴스
• 효과 : EC2 , RDS 사용 시간 감소로 인한 리소스 비용 감소
• 사용 방법
  • 정의한 간격으로 CloudWatch 이벤트를 설정하여 정기적으로 Lambda 함수를 호출한다.
  • AWS 리전 및 계정을 정의하고 스케줄러 일정을 EC2 및 RDS 인스턴스에 연결하는 데 사용할 사용자 지정 태그를 정의한다.
  • Lambda 함수는 실행될 때마다 DynamoDB에 저장된 일정, 태그 키-값 등을 검색한다.
• 비용 : Lambda 함수 실행 비용 및 DynamoDB, CloudWatch 비용이 부과된다. 상세한 내용은 이 곳을 참고.

 

---

 

두 가지 방법 중 RDS도 함께 스케줄러를 적용할 수 있는 AWS Instance Scheduler on AWS를 이용해보자.

인스턴스가 여러 계정에 분산되어 있고 중앙 계정에서 스케줄링을 관리하고 싶은 경우 아주 유용하다.

 

☄️ To-Be Architecture

 

---

 

1. CloudFormation Stack 배포

1-1. aws-instance-scheduler 배포

[ Primary Account - A ]에서 aws-instance-scheduler.template를 이용하여 CloudFormation Stack을 생성하자. 해당 템플릿은 이 곳에서 다운로드 가능하다.

CloudFormation에서 각 파라미터의 의미는 다음 링크 참조 : AWS Docs: Step 1: Launch the instance scheduler hub stack

🔷 Instance Scheduler tag name

자동 stop-start 액션을 수신할 인스턴스를 식별하는 태그 키를 의미하며 사용자 지정 시작 중지 매개 변수도 허용한다. Instance Scheduler tag name의 기본값은 “Schedule”이다. 스택 생성 후 EC2 또는 RDS 인스턴스에 태깅할 때 대소문자 구분에 유의하자. 태그의 키로 schedule을 입력 시 스케줄러가 동작하지 않는다.

🔷 This Account

stack을 생성하는 계정에 스케줄러를 적용할 인스턴스가 있다면 yes를 선택한다. No 선택 시,반드시 cross-account role을 구성해야만 한다. (1-2에서 구성)

🔷 Frequency

Lambda 함수가 실행되는 주기로, 선택한 값에 따라 스케줄링하는 EventBridge Rule이 생성된다. 스케줄을 관리할 인스턴스가 많을수록 frequency를 작은 값으로 가져가는 것이 좋다고 한다.

🔷 Provide a unique namespace value

해당 솔루션 다중 배포에서 구분하기 위한 unique identifier를 입력한다. ex) dev, prod, main 등

🔷 Provide Organization Id OR List of Remote Account Ids (⇒ skip!)

교차 계정 스케줄링에 이 솔루션을 사용하려면 aws-instance-scheduler-remote.template로 스택을 배포한 후에 remote account id를 업데이트하여야 한다. remote account의 스택은 cross-account role ARN을 생성하고, primary account의 스택에서 remote account id 업데이트하면 솔루션이 remote account의 인스턴스에 대해 시작 및 중지 작업을 수행할 수 있다. 이 부분은 우선 skip하면 된다.

🔷 started tags/stopped tags

인스턴스 스케줄러가 시작/중지 작업을 수행할 때 인스턴스 스케줄러가 인스턴스에 적용할 태그를 설정하여 인스턴스 상태가 인스턴스 스케줄러에 의해 변경되었는지 쉽게 식별할 수 있다. 이 옵션은 선택 사항이지만 서버의 잠재적인 문제 해결/진단에 유용하다.

 

아래 그림에 해당하는 체크박스에 동의를 해야만 스택 생성이 가능하다. 해당 CloudFormation 스택 생성으로 인해 IAM 리소스가 생성된다는 내용이다.

실제로, DynamoDB 테이블 및 Lambda 함수, IAM을 포함하여 여러 리소스가 생성된다.

 

1-2. aws-instance-scheduler-remote 배포

[ Secondary Account - B] 스케줄링을 적용할 인스턴스가 존재하는 B Account로 이동하자.

아래 링크를 통해 remote 템플릿을 다운로드한다.

https://s3.amazonaws.com/solutions-reference/aws-instance-scheduler/latest/aws-instance-scheduler-remote.template

🔷 Provide the same unique namespace value defined in the hub stack.

1-1 스택 생성 시 namespace value에 입력했던 값을 입력한다. ex) dev / prod / main

🔷 Instance Scheduler Hub Account ID

1-1의 스택을 생성한 account ID를 입력한다.

remote 스택 생성 시 생성되는 IAM role의 trust relationship은 다음과 같다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com",
                "AWS": "arn:aws:iam::{primary-account-id}:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

해당 IAM Role에는 Primary Account의 Lambda 함수가 Secondary Account의 RDS와 EC2에 태깅, 중지, 시작 등을 할 수 있는 IAM Policy가 Attach되어 있었다.

1-3. 1-1의 스택 업데이트

1-1에서 생성한 스택 > update > use current stack을 통해 remote account id를 추가하자. 다른 값은 수정할 필요 없이 [ Provide Organization Id OR List of Remote Account Ids ] 에 1-2의 remote account id를 추가하여 스택을 업데이트하자.

DynamoDB > ConfigTable > config 아이템을 확인하자. DynamoDB 콘솔에서 확인하는 경우 테이블 선택 후 [ explore items ] 버튼을 통해 아이템을 상세히 확인할 수 있다.

config에는 [ remote_account_ids ] 속성이 있어야 하고 1-2의 remote account id가 그 값으로 있어야 한다. 그렇지 않은 경우 1-2 account에서는 인스턴스 스케줄러가 동작하지 않는다.

---

2. Custom Schedule 생성

스케줄을 생성하려면 AWS Cloudformation으로 스택 배포 후 3가지 방법을 이용하여 스케줄링 규칙을 생성할 수 있다.

① Amazon DynamoDB 콘솔 : DynamoDB에서 일정을 생성하기 위해 콘솔에서 구성 테이블(ConfigTable)에서 일정 중 하나를 수정한다.
② 스케줄러 CLI : 스케줄러 CLI에서 일정을 만들려면 해당 명령을 사용한다. ⇒ Scheduler CLI
③ AWS CloudFormation 사용자 지정 리소스 : 사용자 정의 리소스를 사용하여 예약을 생성하려면 솔루션의 사용자 정의 리소스에 해당 필드를 추가한다. 단, 사용자 지정 리소스를 사용하여 예약을 생성하는 경우 DynamoDB 콘솔 또는 스케줄러 CLI를 사용하여 해당 예약을 삭제하거나 수정할 수 없다. 이렇게 하면 스택에 저장된 매개 변수와 테이블의 값 사이에 충돌이 발생한다

3가지 방법 중 가장 직관적으로 수행할 수 있었던 scheduler CLI를 통해 DynamoDB 테이블에 period와 schedule 값을 생성하였다. DynamoDB 테이블이 존재하는 Primary Account에 접속한 상태에서 scheduler-cli 명령어를 수행하였다.

 

🔷 원하는 조건 : 월요일-금요일만 가동되고 주말에는 중지 상태. 주중에는 아침 6시부터 저녁 10시까지만 가동 상태.

 

2-1. Scheduler CLI 패키지 다운로드 ( 참고 )

2-2. period 생성

scheduler-cli create-period \
--name mon-fri-6am-10pm \
--stack { 1-1에서 생성한 CloudFormation Stack 이름 } \
--region ap-northeast-2 \
--begintime 06:00 --endtime 22:00 \
--weekdays mon-fri

2-2. schedule 생성

scheduler-cli create-schedule \
--name mon-fri-6am-10pm \
--stack { 1-1에서 생성한 CloudFormation Stack 이름 } \
--region ap-northeast-2 \
--periods mon-fri-6am-10pm \
--timezone Asia/Seoul

schedule에 period는 리스트로 넣을 수 있다. 즉, 하나의 스케줄에 여러개의 period 할당이 가능하다.

DynamoDB > ConfigTable을 확인해보면, 하기 그림과 같이 schedule과 period가 생성되어 있음을 확인할 수 있다. 초기에 생성되어 있는 schedule과 period는 필요 없다면 삭제해도 무방하다.

위 schdeuler-cli를 이용한 명령어를 통해 생성된 schedule은 아래와 같은 attribute로 구성되어 있다.

Ref. AWS Docs: Schedule definitions

enforced, retain_running 및 stop_new_instances는 실행시간 외에 수동 중지/시작과 관련된 attribute이니 참고하자.

💡 태깅 전략 참고 💡 
AWS Whitepaper: Best Practices for Tagging AWS Resources

 

---

3. 스케줄러를 적용할 인스턴스에 태깅

1-1에서 입력한 TagName에 해당하는 값을 Tag Key, 2-2에서 생성한 schedule 이름을 Tag Value로 하여 스케줄렁를 적용할 인스턴스에 태깅을 하자. 여러 인스턴스에 일괄로 적용할 시에는 Tag Editor를 이용하는 것도 유용하다.

⚠️ 백업 시간 고려 ⚠️
단, RDS 자동 백업이 실행되려면 데이터베이스가 available 상태여야 한다. 데이터베이스가 available 외의 상태인 경우, 예컨대 storage_full 상태인 경우 자동 백업이 실행되지 않는다.
Ref. AWS Docs: RDS 백업 작업

 

3의 태깅까지 잘 완료했다면 정해진 시간에 인스턴스가 시작되고 중지됨을 확인할 수 있다.

RDS와 EC2에 스케줄러 적용 성공~~! 😇

 

🧑‍🔧 Troubleshooting

트러블 슈팅 시, main account의 CloudWatch > Log group에서 {1-1의 스택 이름}-logs를 확인하자.

Ref. Instance Scheduler on AWS > Troubleshooting

 

 

---

🔗 참고 링크

1. AWS Docs: Resource Scheduler
2. AWS Docs: Automate starting and stopping AWS instances
3. AWS Docs: Step 2 (Optional): Launch the remote stack in secondary accounts
4. 기술 블로그: How to Implement AWS Instance Scheduler in an AWS Organization for Cross-Account Cost Savings
5. 기술 블로그: 효율적인 비용 관리를 위한 AWS Instance Scheduler 설정
6. AWS Docs: Scheduler CLI