在上一部分,我们一同探讨了构建 Terraform 项目的一些策略,以及使用 Terraform 管理 IaC 的部分最佳实践。今天,我们将继续深入研究将 Terraform 代码提升到新水平的具体要点,希望能够为你和你的团队提供有意义的提示和指导。
标记资源
当出现问题或试图找出基础设施的哪一部分导致云费用激增时,强大且一致的标记策略将提供巨大帮助。您还可以在需要时根据标签制定一些访问控制策略。像定义命名规则一样,尽量保持一致并始终相应地标记资源。
Terraform 参数标签应声明为最后一个参数(如果相关,仅depends_on
或生命周期参数应在标签之后定义)。
在进行标记时,可以定义一些适用于提供者管理的所有资源的default_tags
。如果使用的提供程序不支持默认标签,则需要手动将这些标签传递到模块并将它们应用到资源。
引入策略即代码(PaC)
随着业务团队和基础设施规模的扩大,对个人用户的信任通常会降低。这时应该制定一些政策来确保我们的系统继续运行且保持安全。制定政策即代码流程使我们能够定义大规模安全和可接受的规则,并自动验证这些规则。
实施机密管理策略
当开始使用 Terraform 时,机密管理可能不是首要任务,但最终还是要回到定义处理机密的策略。
如所有教程所说,切勿以明文形式存储机密并将其提交到版本控制系统中。可以通过使用 TF_VAR
设置环境变量并使用 sensitive = true
标记敏感变量来传递机密。
或者采用更成熟的解决方案,即设置一个机密存储(例如 Hashicorp Vault 或 AWS Secrets Manager)来处理对机密信息的访问。这样,就可以保护静态机密并强制执行加密。还可以选择更高级的功能,例如密钥轮换和审核日志。不过需要注意的是,这种方法通常会为企业带来使用此托管服务的成本。
测试 Terraform 代码
与所有其他代码一样,IaC 代码应该经过相应测试。运行 terraform plan
是验证更改是否能快速按预期工作的最简单方法。接下来,可以对 Terraform 代码执行一些静态分析而无需应用它。单元测试也是验证系统不同部分是否正常运行的一种选择。
另一步骤是将 Terraform linter
集成到 CI/CD 流水线中,并尝试捕获与云提供商、已弃用的语法、强制实施最佳实践等相关的任何潜在错误。
在正式进行以上步骤前,可以通过启动来设置一些集成测试复制沙箱环境,在此环境中验证一切是否按预期工作,收集结果,然后销毁沙箱,并将其应用到生产中。
启用调试/故障排除
当出现问题时,我们必须快速有效地收集所有必要的信息来解决问题。你会发现在这些情况下设置 Terraform 日志级别以进行调试很有帮助。
TF_LOG=DEBUG
还通过设置 TF_LOG_PATH 环境变量将日志保留在文件中。
尽可能构建模块
如果社区中没有适用于你的用例的模块,可以尝试构建自己的模块。一般会从一些基础的东西开始构建,随着基础设施的成熟,你可能需要回到简单的模块并向其添加更多功能。当在另一个环境中复制代码时,需要做的就是从该模块创建一个对象,并使用新环境的正确参数去进行填充。
使用循环和条件
你的代码应该能够创建资源的多个实例,因此建议对可能从一种环境更改为另一种环境的实例使用 count
或 for_each
。这样将能够灵活地使用相同的代码来适应许多不同的用例,并为参数提供通用性。
使用函数
除了循环和条件之外,Terraform 函数对于在代码中实现通用性也至关重要。它们使您的代码更加动态并确保您的配置是 DRY(Don't repeat yourself)的。函数允许您执行各种操作,例如将表达式转换为不同的数据类型、计算长度以及构建复杂变量。
充分利用动态模块
如果没有动态模块,代码就无法达到 DRY 状态。当此功能可用时,能够实现按照您喜欢的方式构建资源的灵活性。例如,某些云提供商没有用于安全组规则的专用资源,并且这些规则通常嵌入在安全组本身中。利用动态模块,你只需要更改输入即可。但如果没有动态模块,每当添加新规则时则需要相应更改配置。
使用 Terraform WorkSpace
请使用 Terraform Workspace,这样你将能够在不同的环境中重复使用相同的配置。
使用生命周期模块(Lifecycle Block)
有时代码中可能有一些复杂的条件。比如,有一个脚本必须在资源标签上更改 Terraform 之外的某些内容(当然并不建议这样做)。这时可以使用生命周期模块来忽略标签上的更改,确保不会回滚到以前的版本。
如果有些资源,由于某种原因它看似工作正常,但你必须在不停机的情况下重新创建它,那么生命周期模块也可以提供帮助。这时可以使用 create_before_destroy=true
来实现此目的。
使用变量验证
Terraform 在验证变量是否接收正确的输入方面做得非常好,但是如果想要限制某些内容并且没有实施 PaC 该怎么办?这时可以使用变量验证。此验证块存在于变量内部,可以参考 Terraform 官方说明[1]了解更多。
灵活利用辅助工具
Terraform 是最常用和最受喜爱的 IaC 工具之一,其社区也是非常庞大且活跃的。与这个社区一起,有许多辅助工具被创造以帮助用户更好地使用 Terraform。当然为我们的工作流程选择和采用正确的工具并不是件简单的事,通常需要一个实验阶段。这里我们总结出一些有用的工具清单供大家参考:
- tflint – Terraform linter,用于检查计划无法捕获的错误。
- tfenv – Terraform 版本管理器
- checkov – Terraform 静态分析工具
- terratest – 帮助您对 Terraform 进行自动化测试的 Go 库
- pre-commit-terraform – 用于自动化的 pre-commit git hooks
- terraform-docs – 从模块快速生成文档
- atlantis – Terraform 项目协作工作流程
- terraform-cost-estimation – 为您的计划提供成本估算服务
利用 IDE 扩展
如果你在编写 Terraform 代码时使用 Visual Studio Code 或任何其他 IDE,则可以利用其扩展来加快开发过程,并确保代码格式正确。在 vscode 上,您可以使用 Anton Kulikov 构建的 Terraform 扩展。请记住在本地计算机上安装 Terraform 以确保其正常工作。
总 结
我们探索了 Terraform 和 IaC 的许多不同最佳实践,分析了处理和构建 Terraform 项目的各种选项,并了解了采用辅助工具如何让我们的生活更轻松。当然这些并不是必须盲目遵循的秘诀,我们希望通过这篇文章,能够成为提供指导和提示并触发你构建自己的最佳 Terraform 工作流程和项目的指南。
原文链接:
https://spacelift.io/blog/terraform-best-practices
参考链接:
1.https://developer.hashicorp.com/terraform/language/values/var...