<h1 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
CloudFormation において、 <code>Fn::GetAZs</code> と <code>Fn::Select</code> の組み合わせを使っていると予期せぬエラーに遭遇することがある。
ハンズオンの運営をやっていて、参加者全員が同一のテンプレートを使ったはずなのに、一部の参加者でエラーが発生する事象に見舞われた。
遭遇したテンプレートを一部を抜粋する。マルチ AZ な VPC を構成したい場合にこのようなサブネットの定義の仕方がよく出現する。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml"> # 該当する記述箇所の例
 PublicSub2:
 Type: 'AWS::EC2::Subnet'
 Properties:
 CidrBlock: 10.0.0.0/24
 AvailabilityZone: !Select
 - '1'
 - !GetAZs 
 Ref: 'AWS::Region'
 VpcId: !Ref VPC
</code></pre></div>期待としては、「デプロイ先リージョンのすべての AZ をリストして、 1 番目の AZ にサブネットを作成」となってほしい。が、これは期待通りの動作をしない。この謎について調査した。
<h2 id="%E5%8E%9F%E5%9B%A0">
<a class="header-anchor-link" href="#%E5%8E%9F%E5%9B%A0" aria-hidden="true"></a> 原因</h2>
まずは、 <code>Fn::GetAZs</code> が「デプロイ先リージョンのすべての AZ をリスト」する機能ではないことを把握する必要がある。これについては以下の公式ドキュメントや、同じ罠を踏んだ先人の記事が参考になる。
<ul>
<li><a href="https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-getavailabilityzones.html" target="_blank" rel="nofollow noopener noreferrer">CloudFormation Fn::GetAZs</a></li>
<li><a href="http://blog.medicmedia-engineer.net/2019/10/20/cloudformation%E3%81%AEgetazs%E3%81%A7%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%8C%E6%AD%A2%E3%81%BE%E3%82%89%E3%81%AA%E3%81%84/" target="_blank" rel="nofollow noopener noreferrer">CloudFormationのGetAZsでエラーが止まらない</a></li>
</ul>
公式ドキュメントの、この部分の記述が罠。
<blockquote>
EC2-VPC プラットフォームでは、Fn::GetAZs 関数はデフォルトのサブネットがあるアベイラビリティーゾーンのみを返します。デフォルトのサブネットがあるアベイラビリティーゾーンがない場合は、すべてのアベイラビリティーゾーンを返します。
</blockquote>
つまり、デフォルト VPC が存在するリージョンにおいては、 Fn::GetAZs は最短で長さ1の配列を返す可能性がある。必ずしもすべての AZ を返すとは限らない。このことに留意しておかないと、 <code>Fn::Select</code> で参照したインデックスが配列サイズを超えてしまい、
<blockquote>
Template error: Fn::Select cannot select nonexistent value at index 1
</blockquote>
のようなエラーを吐き出すことになってしまう。
<h2 id="%E5%AF%BE%E5%BF%9C%E6%96%B9%E9%87%9D">
<a class="header-anchor-link" href="#%E5%AF%BE%E5%BF%9C%E6%96%B9%E9%87%9D" aria-hidden="true"></a> 対応方針</h2>
まず、デフォルト VPC が存在しないリージョンでは何もする必要がない（GetAZs がすべての AZ を返すため）。よって、支障がないのであればデフォルト VPC を消してしまうのが一番早い（ただし、自己責任で）。
あるいは、「デフォルトサブネットが存在しない AZ」をなくしてしまう、という方針もある。この対応方針について、コマンドラインを使った諸々の確認手順、そして対応手順を以下で記述する。
<h2 id="%E5%AF%BE%E5%BF%9C%E6%89%8B%E9%A0%86-(%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E3%81%AE%E4%BD%9C%E6%88%90)">
<a class="header-anchor-link" href="#%E5%AF%BE%E5%BF%9C%E6%89%8B%E9%A0%86-(%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E3%81%AE%E4%BD%9C%E6%88%90)" aria-hidden="true"></a> 対応手順 (デフォルトサブネットの作成)</h2>
※ここに記述したコマンドは、 zsh で動作済み。
デフォルトVPCの有無を確認。
<div class="code-block-container"><pre class="language-zsh"><code class="language-zsh">aws ec2 describe-vpcs \
 --filters "Name=isDefault,Values=true" \
 --query 'Vpcs[0].VpcId' \
 --output text
</code></pre></div>上記の結果が null ならば、 <code>GetAZs</code> はすべての AZ を返すため期待通りの動作をする。
VPC-ID が戻った場合はデフォルト VPC が存在するので、ハマる可能性がある。
次に、デフォルトサブネットを確認。
<div class="code-block-container"><pre class="language-zsh"><code class="language-zsh">DEFAULT_VPC_ID=$(aws ec2 describe-vpcs --filters "Name=isDefault,Values=true" --query 'Vpcs[0].VpcId' --output text);

aws ec2 describe-subnets \
 --filters "Name=vpc-id,Values=${DEFAULT_VPC_ID}" \
 "Name=default-for-az,Values=true" \
 --query "Subnets[*].{AvailabilityZone: AvailabilityZone,AvailabilityZoneId: AvailabilityZoneId, DefaultForAz: DefaultForAz}"
</code></pre></div>上記のコマンドを叩いた実行例は以下↓
<div class="code-block-container"><pre class="language-json"><code class="language-json">[
 {
 "AvailabilityZone": "ap-northeast-1a",
 "AvailabilityZoneId": "apne1-az4",
 "DefaultForAz": true
 },
 {
 "AvailabilityZone": "ap-northeast-1c",
 "AvailabilityZoneId": "apne1-az1",
 "DefaultForAz": true
 }
]
</code></pre></div>ここで出てきた AZ のリストが <code>Fn::GetAZs</code> で取得できるサブネットのリストとなる。しかし、ここから漏れた AZ は <code>Fn::GetAZs</code> では取得できない。
該当する VPC に存在するすべての AZ を列挙し、デフォルトサブネットが存在する AZ のリストと突合する。
<div class="code-block-container"><pre class="language-zsh"><code class="language-zsh"># VPC に存在するすべての AZ を列挙
aws ec2 describe-availability-zones --query "AvailabilityZones[*].ZoneName" --output text
</code></pre></div><div class="code-block-container"><pre class="language-zsh"><code class="language-zsh"># unique count を利用して、デフォルトサブネットが存在しない AZ を調べる
echo \
 $(aws ec2 describe-subnets --filters "Name=vpc-id,Values=${DEFAULT_VPC_ID}" "Name=default-for-az,Values=true" --query "Subnets[*].AvailabilityZone" --output text) \
 $(aws ec2 describe-availability-zones --query "AvailabilityZones[*].ZoneName" --output text) \
 | tr " " "\n" | sort | uniq -c
</code></pre></div>上記コマンドの実行結果例は以下
<div class="code-block-container"><pre class="language-zsh"><code class="language-zsh"> 2 ap-northeast-1a
 2 ap-northeast-1c
 1 ap-northeast-1d
</code></pre></div>カウントが 1 になっている AZ (ここでは ap-northeast-1d) には、デフォルトサブネットが存在していない。
<div class="code-block-container"><pre class="language-zsh"><code class="language-zsh">aws ec2 create-default-subnet --availability-zone ap-northeast-1d
</code></pre></div>以上の作業を実施することで、 <code>Fn::GetAZs</code> ですべての AZ を取得できるようになる。
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
今回の原因である「 <code>GetAZs</code> が少々直感に反した挙動をすること」自体は、すでに多くの先人が踏み抜いたトラブルのようで記事も出回っている。この記事では aws cli を使って調査方法を含めた対処手順をカバーしたつもりなので、私と同じようにハンズオン（等の多数向けのコンテンツ作成）を実施する立場の人は参考にしてもらえると嬉しい。一部のコマンドが zsh の文法を使っているが、それ以外は特にプラットフォームに依存せず実行できるはずだ。
（余談）こういう話があるなら、デフォルト VPC を残しておくことの方が有害にすら見える。以前は「消してもいいけど自己責任ですよ」くらいの温度感だったはず...。

CloudFormation  Fn::GetAZs を使ったテンプレートが人によって失敗したりしなかったりする件

対応手順 (デフォルトサブネットの作成)

Discussion