Memo/Terraform

• Memo/Terraform/aliyun
• Memo/Terraform/aws
• Memo/Terraform/aws/Errors
• Memo/Terraform/dynamic-block
• Memo/Terraform/Error
• Memo/Terraform/for_each
• Memo/Terraform/GoogleCloud
• Memo/Terraform/G_Suite
• Memo/Terraform/heroku
• Memo/Terraform/legacy
• Memo/Terraform/provider
• Memo/Terraform/random

Terraform †

• https://www.terraform.io/
  • CHANGELOG.md
  • HashiCorp製ツール(Vagrant, Packer, Serf等の開発元)
  • AWS, Heroku等の複数のクラウドサービスに対応している

個人的な印象:

• Terraformの不具合の多さを理解しつつ、Terraformの不具合報告/修正等のオープンソース活動を行える余裕がある人向け。
• https://github.com/hashicorp/terraform/issues を見ると分かるが1000 issue以上が作成されており、不具合の修正が間に合っていない印象
• terraform本体と、provider(AWS, Azure, ...)は別。providerが最新のterraformに対応していない場合もあるので、要チェック
• 新規作成・破棄を繰り返す用途向き
• 既存リソースの管理はコードを書いて、リソースID毎にimportコマンドの実行が必要なので大変。import非対応のリソースもある。向いていない
• 状態をステートファイル(terraform.tfstate)に持ち、これを元に差分更新する。
  • 無くすと大変。更新ができなくなる。(既存リソースのimportも一部は出来るが、数が多いと大変)
  • ステートファイルはAWS S3等に置く事はできる。
  • ステートファイルの管理が面倒。リソースの差分がうまく比較できないようで、リソースの更新には不向き。
• ドキュメント・サンプルが不足している。値の説明が書いてあるだけで、具体的にどのような値を入れれば良いのか不明なリソースが沢山ある。
  • ドキュメントに機能追加/変更されたバージョンが書いてないため、いつのバージョンが対応してるのかわからない
  • ドキュメントにはimportが書いて無いが、実はインポートできるリソースもある
• マイナーバージョンが0.0.1変わっても、仕様が大きく変わり、コードの互換性が無くなる事も多い。
  • コードの互換性がない場合もあり、修正にも時間がかかるため、tfenv等で複数バージョンの管理が必要。
  • 0.11と0.12でコードの互換性が無くなった。 0.12upgradeコマンドである程度は修正してくれるが、リソース名はそのままなので手動修正が必要
• 開発方針がdevしかなく、stable等の安定版が無い。

• 構文
  • 同じリソースを作成する方法が複数存在する場合があり混乱する。リソースA + attach + リソースBが変更には強い感じはある。v0.12からfor eachやdynamic blockが追加された事でループ処理ができ、どちらを使えば良いのかさらに混乱するようになった。
    • 例: aws_instance + ebs + attachと分ける方法、aws_instanceだけの方法(ebs拡張が効かない)
    • 例: aws_security_group, aws_security_group_rule。 混在させると1回目のapplyでは成功するように見えるが、2回目のapplyでは片方消える。
  • ループ処理が分かりにくい。v0.11: list内にmapがあると要素が取れなかったりする。
  • if等の制御構造が無い。count=0でリソースを作成しないように、三項演算子で制御は一応できるが分かりにくい。
  • AWS
    • aws_instance count=4で作った後に、count=0,1をterminateする方法が destroy -target 指定するしか無さそう。しかし、planで毎回count=0,1が新規作成扱いになるため辛い。state rm/importでやり直せば可能だが、リソースID毎にimportが必要なため面倒。-> 0.12でfor_eachが追加された
    • 対応しているリソースの新規立ち上げは楽だが、非対応の項目がかなりあるため、自分が必要としている機能をサポートしているか要確認
  • 遭遇したトラブル
    • v0.11.13: EC2セキュリティグループの書き方が複数あり、古い書き方+新しい書き方(aws_security_group_rule)を混在した場合、applyは成功する。2回目のplanでも差分が出て、どちらかが消える。
    • v0.0.1上がるとコードに無いheroku configを消すように仕様変更
    • API GatewayのSSL証明書の登録が成功したように見えるが、実は成功していない。
    • destroy時は削除確認があるが、EC2セキュリティグループの変更で、EC2が作り直される時には警告はない。plan時に予期しない変更が無いか強く確認が必要。さもなければ簡単にリソースが消える
    • セキュリティグループに変更を加えると、EC2を作り直そうとする
    • ELBにリスナー追加しようとすると、リスナー全て消えた
    • SSL証明書のアップロードが成功したように見えて壊れている
    • EC2にEBSを追加しようすると、EC2を作り直そうとする
    • aws_instanceリソースでEBSを追加できる。作成後、aws_instanceリソース内のroot, EBSのサイズ等を変更できない。 awscliでは可能。provider.aws v5 ではaws_instance内のroot volumeサイズは変更可能だった。ebs blockは不可。

• 記事
  • Terraformをしばらく書いて覚えた個人的なTipsについて | Developers.IO
  • Terraformのエッセンスが凝縮された「Pragmatic Terraform on AWS」が素晴らしい ｜ DevelopersIO
  • Terraform職人入門: 日々の運用で学んだ知見を淡々とまとめる - Qiita
  • Terraform Best Practices in 2017 - Qiita
  • 【30分で動かすシリーズ】まだCloudFormationで消耗してるの？TerraformでAWS環境を構築してみる（その１：TerraformでAWS環境を構築する準備） | サーバーワークス エンジニアブログ
  • 【参考訳】Terraform 0.7 · Pocketstudio Technology Log
  • TerraformでGithubのチーム管理を自動化して事故った話 | ツチノコブログ
  • Terraform 0.4 (参考訳) | Pocketstudio.jp log3

---

古いproviderを削除する †

• 例えば provider.template は古く、arm版macOSでは実行できない。また代替として templatefile - Functions - Configuration Language | Terraform | HashiCorp Developer があるため削除できる。

• versions.tfから"hashicorp/template"を削除
• remote stateから削除。localコードだけ削除してもなぜか消えない

  terraform state list | grep template_file
  ...
  
  # delete
  terraform state rm data.template_file.example1
  
  # update .terraform.lock.hcl
  terraform init -reconfigure

---

GitHub actionsでの連携 †

記事:

• Github Actions を利用し、Terraform plan と Apply を自動化する方法について - ForgeVision Engineer Blog

• GitHub Actionsでsetup-terraformを試す | Developers.IO

---

digger: GitHub actions上で動くCI/DI †

• GitHub - diggerhq/digger: Digger is an open source IaC orchestration tool. Digger allows you to run IaC in your existing CI pipeline

記事:

• Digger + GitHub Actionsで作るTerraform/OpenTofuのCI/CD #Terraform - Qiita

---

改善 †

記事:

• コードレビューでよくあったコメント9選 〜Terraform編〜

---

terraformでDB user作成 †

注意点:

• 通常RDSは、private subnetにあるため、localhostからは接続できない。そのため、ssh踏み台(bastion-host)経由でsshポートフォワーディングする。

  ssh -F ssh-config -fNg -L 5432:<RDS ID>.****.ap-northeast-1.rds.amazonaws.com:5432 bastion-host

• postgresqlでSSL有効の場合、以下のエラーが出る。
  • docを参照して「scheme = "awspostgres"」を入れると同じエラーが出たのでコメントアウト。(cyrilgdn/postgresql v1.22.0)

    Error: Error connecting to PostgreSQL server 127.0.0.1 (scheme: awspostgres): tls: failed to verify certificate: x509: cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs

  • /etc/hostsを書き換えてlocalhostへ接続するように

    sudo vim /etc/hosts
    --
    127.0.0.1       <RDS ID>.****.ap-northeast-1.rds.amazonaws.com
    --

記事:

• TerraformでAWS RDSのDBユーザを管理する #PostgreSQL - Qiita

---

Infracos Cloud: terraformコードからコスト見積もり/差分を出してくれるSaaS †

• Infracost Plans & Pricing
  • 有料
  • trialは1000回/月まで無料？

• GitHub - infracost/infracost: Cloud cost estimates for Terraform in pull requests💰📉 Shift FinOps Left!

---

ガイドライン †

• Terraform設計ガイドライン | Future Enterprise Arch Guidelines
• 公式ガイドラインを含んでいて分かりやすい

• Style Guide - Configuration Language | Terraform | HashiCorp Developer
  • Terraform 公式がスタイルガイドを出したので読んで要約した #Terraform - Qiita

---

terraform本体のコードリーディング †

記事:

• Terraformの実装コードを、動かしながら読む | フューチャー技術ブログ

---

mysql user/password等を作成する †

• hashicorp製mysql repoは更新停止している。そのrepoをforkし、機能追加したものが複数ある
  • mysql_user | Resources | petoju/mysql | Terraform | Terraform Registry
  • importに失敗した。(mysql_user, mysql_grant)

• Docs overview | okkez/mysql | Terraform | Terraform Registry
  • MySQL8 以降の新しい機能に一部対応した terraform-provider-mysql を開発しました
  • import成功まで確認した。(mysql_user, mysql_grant)

• RDSは基本VPC内にあるので、localからは直接アクセスできない。そのため、sshポートフォワード等が必要になる
  • RDS内のデータベースやユーザーをterraformで管理する #Terraform - Qiita

---

OpenTofu: OSS版terraform †

• Memo/OpenTofu

---

optional(type): 省略可能な変数定義 †

• terraform v1.3以降でoptional(type)構文が使える

  variable "with_optional_attribute" {
    type = object({
      a = string                # a required attribute
      b = optional(string)      # an optional attribute
      c = optional(number, 127) # an optional attribute with default value
    })
  }

記事:

• Terraform 1.3でoptional()によるobject attributes(variable)へのデフォルト値設定が楽になる！

---

さくらのクラウド(さくらインターネット) †

• Docs overview | sacloud/sakuracloud | Terraform | Terraform Registry

• 最適設計ガイドライン | さくらのクラウド マニュアル
  • "IaCの活用"に記載がある

記事:

• さくらの開発チームにおけるTerraform/Ansibleの活用 | さくらのナレッジ
• さくらのクラウドでTerraformを使ってみる | さくらのナレッジ

---

変数の外部定義と優先度 †

上から順に読み込まれ、同名は上書きされる

Input Variables - Configuration Language | Terraform | HashiCorp Developer

• 環境変数
• terraform.tfvars
• terraform.tfvars.json
• *.auto.tfvars, *.auto.tfvars.json
• -var "var1=val1", -var-file file.tfvars

---

Pluralith: terraformコードから構成図を作図するサービス †

• https://app.pluralith.com/
  • まだアルファ版
  • local実行は無料、IaCでの実行は有料

記事:

• Terraform構成をビジュアライズできるツール Pluralithを使ってAWS構成図を自動作成してみる | DevelopersIO

---

blockを動的に定義し、パラメータ化する †

• 例: heroku_appのorganization blockはデフォルトは省略可で、任意でパラメータを与える。moduleにする時にパラメータにしたい

variable "heroku_app_organization" {
  description = ""
  type = object({
    name = string
  })
  default = {
    name = null
  }
}

resource "heroku_app" "main" {
...

  dynamic "organization" {
    for_each = var.heroku_app_organization.name == null ? [] : [var.heroku_app_organization]
    content {
      name = organization.value.name
    }
  }
}

---

機密情報を暗号化して保存する †

• git repoに機密情報(password, secret, token等)をplain textで保存するのはセキュリティ上リスクが高い
• tfファイルに直接機密情報は書かない
• secrets.tfvars に分けて書く。または、secrets.json, yaml等別ファイルにする
• AWSの場合
  • KMS: secrets.yaml.encrypted 暗号化。secrets.yaml.encryptedはgitにコミットして良い。data.aws_kms_secrets でdecodeして取得
  • secret manager: 機密情報をyaml, jsonにして保存。 data.aws_secretsmanager_secret_version で取得

sensitiveの変更を出力したい時:

• Memo/Terraform#g133d3f5
• terraform planでsensitive属性が原因で非表示になる差分を見る方法

記事:

• A comprehensive guide to managing secrets in your Terraform code | by Yevgeniy Brikman | Gruntwork

• Terraform で秘密情報を扱う – もばらぶエンジニアブログ

---

排他仕様の変数に代入 †

• nullを代入すると、変数は未定義扱いとなった
• try()で変数が未定義の場合、nullを返すように
• 例: aws_kinesis_firehose_delivery_stream で domain_arn, cluster_endpoint は排他

  ...
    elasticsearch_configuration {
      domain_arn = try(each.value.es_cluster_endpoint, null) == null ? each.value.es_domain_arn : null
      cluster_endpoint = try(each.value.es_cluster_endpoint, null)
  ...

---

data.http: httpリクエストを送る †

• http_http | Data Sources | hashicorp/http | Terraform Registry
  • HEAD, GET, POSTメソッド対応

• 例: JSONファイルをpostする。plan時でもpostされる。

  data "http" "example" {
    url    = "https://example.com/api1"
    method = "POST"
    request_headers = {
      Content-Type = "application/json"
    }
  
    request_body = file("/path/to/example.json")
  }
  
  output "http_os_example_result" {
    value = "status_code: ${data.http.example.status_code}, response_body: ${data.http.example.response_body}"
  }

---

tfcmt: plan結果を整形してCI/DIの改善 †

• https://github.com/suzuki-shunsuke/tfcmt

記事:

• tfcmt で Terraform の CI/CD を改善する

---

templatefile(): ファイル中の変数を展開 †

• templatefile - Functions - Configuration Language | Terraform | HashiCorp Developer
  • file() の代わりに使えば、変数を展開できる
  • data.template_file と違い、分けて書く必要がないのでシンプル

• 例:

  resource "elasticsearch_opensearch_ism_policy" "example" {
    policy_id = "example"
    body      = templatefile(
      "${path.module}/files/opensearch/ism-policy-example.json",
      {
        min_index_age = "30d",
        min_size = "50gb",
      }
    )
  }

---

removed block: stateの削除 †

• Removing Resources
  • "terraform state rm <resource id>" 相当
  • terraform v1.7から利用可能

• "destroy = false": state fileからaws_instance.exampleを消すだけ。リソースは残る

  removed {
    from = aws_instance.example
    lifecycle {
      destroy = false
    }
  }

---

moved block: リソース名変更等のリファクタリング †

• Refactoring | Terraform | HashiCorp Developer
  • terraform v1.1から利用可能

• movedを使わない場合: 以前のリソース名の変更

  # ソース変更
  terraform state mv <old resource> <new resource>
  
  # または
  terraofrm state rm <old resource>
  terraofrm import <new resource> <resource name>

記事:

• movedブロックを使ってリファクタリングしてみた | DevelopersIO

rangeでloopさせる †

• terraform v1.3
• resourceを複数作成したい場合、for_eachが使えるがmapか、string型のlistしか受け付けない。formatlistでstring型に変換する。

  for_each = toset(formatlist("%s", range(1, 10)))

---

for: ループ †

• For Expressions - Configuration Language | Terraform by HashiCorp
  • 戻り値の型指定が決まっている。array「[for ...]」、hash「{for ...}」
  • 複数の配列を1行の中で返す等はできない？
  • mapをループする場合「[for key, value ...]」

• 例: 複雑な変数から、s3 policyでよくある ["arn:aws:s3:::example1", "arn:aws:s3:::example1/*"] を作る。

  locals {
    var1 = {
      bucket1 = {
        s3_bucket_arn = "arn:aws:s3:::example1"
      }
      bucket2 = {
        s3_bucket_arn = "arn:aws:s3:::example2"
      }
    }
  }
  
  data "aws_iam_policy_document" "s3" {
    statement {
      effect = "Allow"
      actions = [
        "s3:GetObject",
      ]
      resources = concat([for value in local.var1 : value.s3_bucket_arn], [for value in local.var1 : "${value.s3_bucket_arn}/*"])
    }
  }

---

v1.0以降の対応 †

• Upgrading to Terraform v1.0 | Terraform by HashiCorp

• v0.13でapplyしてるtfsateが必要

• 例: v0.11からv1.0へアップデートしたい場合、かなり手間がかかる
  • v0.11 -> v0.12

    rm versions.tf
    echo 'latest:^0.12' > .terraform-version
    rm -rf .terraform
    teraform init
    terraform 0.12upgrade
    teraform plan
    # コードのエラー修正

  • v0.12 -> v0.13

    echo 'latest:^0.13' > .terraform-version
    rm -rf .terraform
    teraform init
    terraform 0.13upgrade
    teraform plan
    # コードのエラー修正
    
    # applyしないとv1.0でエラーが出る
    teraform apply

  • v0.13 -> v1.0

    echo 'latest:^1.0' > .terraform-version
    rm -rf .terraform
    teraform init
    teraform plan
    # コードのエラー修正

---

URLからOIDC fingerprintを取得 †

• data.http URLの結果を取得
• data.tls_certificate TLSのsha1 fingerprintを取得

記事:

• Terraform だけを使って GitHub Actions OIDC ID プロパイダの thumbprint を計算する方法

---

機密情報を出力したい時 †

• How-to output sensitive data with Terraform – HashiCorp Help Center
  • password, token, access key等、標準出力に表示しないほうが良い場合。
  • どの値を隠すべきかの参考に
    • AWS: https://github.com/secretlint/secretlint/tree/master/packages/@secretlint/secretlint-rule-aws

• v0.15から「sensitive = true」を付けないと、apply時にエラーになった。planやapply時は「example_password = <sensitive>」表示になる。

  output example_password {
    value = aws_db_instance.example.password
    sensitive = true
  }

  • 生の値を表示したい場合:

    # json
    terraform output -json
    terraform output example_password 
    
    # raw value
    terraform output -raw example_password

• 常時表示したい場合。
• nonsensitive - Functions - Configuration Language - Terraform by HashiCorp

output example_password {
  value = nonsensitive(aws_db_instance.example.password)
}

記事

• Terraform 0.15の変更点を調べた | DevelopersIO

---

セキュリティチェック †

• 記事
  • Terraform, Dockerfile, KubernetesなどIaCの脆弱な設定をCI/CDで検知する - knqyf263's blog

---

untaint: 失敗したstate fileを解決済みとしてマークする †

• Command: untaint - Terraform by HashiCorp

例:

• RDSは作成に時間がかかり、timeout(create: 40min)する事がある。そうすると、stateファイルが汚染(taint)？状態になり、terraform planで余計な差分(destroy/add)が出る状態になる

解決:

terraform untaint aws_db_instance.main

---

算術演算子 †

• 簡単な計算(+, -, *, /, %, -1)ができる

• Arithmetic Operators

  byte = "${100*1024*1024}" # 100MB

---

plan時に色を付けない †

• plan結果をテキストファイルにしたい場合、デフォルトでは色(制御文字列)がテキストファイルに出て見難い

• -no-color を付ける

  terraform plan -no-color > plan.txt

---

console: 対話型で式を検証 †

• Command: console - Terraform by HashiCorp

• 対話型

  terraform console
  
  > concat(["a", "b"], ["c"])
  [
    "a",
    "b",
    "c",
  ]
  > exit

• stdinから渡す

  echo 'concat(["a", "b"], ["c"])' | terraform console

---

Registry: 公開moduleの使用 †

• Terraform Module Registry
  • HashiCorp Verified Modulesマークが付いたものが参考になる

• 記事
  • Terraform RegistryのModuleを使ってAWSリソースを作成してみた ｜ Developers.IO

---

肥大化した.terraformディレクトリの削除 †

• 「terraform init」すると、依存providerを.terraformディレクトリへダウンロードする。
• aws providerだけでも150MBある。複数のディレクトリでterraform initすると、サイズが膨れ上がる。

  find . -name .terraform -type d | xargs du -sh

• .terraformディレクトリをすべて消す。「terraform init」で復帰するので問題ない

  # 対象ディレクトリ一覧
  find . -name .terraform -type d
  
  # 削除実行
  find . -name .terraform -type d | xargs -i rm -rf {}

---

CodePipelineから実行 †

• 個人的に確認したいポイント
  • stateファイルをs3 backendに置く
  • stateファイルのロック処理 -> DynamoDB table
  • コードの書き方によっては、毎回「force new resource」が発生し、既存リソースを破壊してしまうので、その確認が必要と思う

• 記事
  • CodePipeline で承認プロセスを設けた Terraform workspace の CI/CD パイプライン実装 ｜ Developers.IO
  • CodePipeline で簡単 Terraform CI/CD パイプラインの実装 ｜ Developers.IO

---

public ipの取得 †

• サービスを提供しているサイト
  • https://ifconfig.co/ip
  • http://checkip.amazonaws.com/

• 記事
  • Terraformで自分のパブリックIPを使う方法 ｜ Developers.IO

---

リファクタリング †

• 記事
  • 実録！Terraform セルフリファクタリング ｜ Developers.IO

---

planやapplyの高速化 †

リソースが増えてくると、planやapplyがどんどん遅くなる。

• Command: plan - Terraform by HashiCorp

• 並列度の指定: デフォルト10

  export TF_CLI_ARGS_plan="--parallelism=20"
  export TF_CLI_ARGS_apply="--parallelism=20"

---

listやmapの入れ子 †

v0.11とv0.12では挙動がまったく異なる場合がある。また、関数も入れ子だと動かない場合がある。

• 例: list[ list[ map {} ] ] のケース

  list[
    list[
      map {
      },
      map {
      }
    ]
  ]

• 例: aws_instanceのebs_block_deviceのvolume_idを取得
• v0.12:

  aws_instance.web[count.index].ebs_block_device[*].volume_id[*]

• v0.11:

  [count.index]
  # idが欲しい場合
  id = aws_instance.web.*.id[count.index]
  
  # 一度localへ入れる場合
  locals {
    web_ebs1 = "${flatten(aws_instance.web.*.ebs_block_device)}"
  }
  ...
  ${lookup(local.web_ebs1[count.index], "volume_id")}

• flatten()
  • v0.11: list[list[map{}]] -> list[map{}] 構造になる。

• element()
  • v0.11: list[map{}] 構造はエラー

• slice()
  • v0.11: list[map{}] 構造は成功する

---

Terraform Cloud: †

• https://www.hashicorp.com/products/terraform/

• 記事
  • 5人まで無料！ Terraform Cloudを使ってみた ｜ DevelopersIO
  • Terraform Cloud は AWS の credentials を持たせずに tfstate だけ管理することができる ｜ DevelopersIO

---

graph: リソースの依存関係を画像で出力 †

Cycleエラーの解消などに利用できる。

• 記事
  • TerraformでCycleエラーが起きてるリソースだけを画像で表示して修正する ｜ DevelopersIO

---

count: ループ処理 †

EC2をN台作る等、同じ種類のリソースを複数定義する時に使える。

• count: Multiple Resource Instances By Count

• 「<resource>.count = 2」のように設定する。「count=0」にするとリソースは生成されない。
• 「<resource>.count」 はドキュメントに無くても設定できる。
• 「count.index」でループカウンタとして参照できる。

• 記事
  • terraform で入れ子ループ - Qiita
  • Terraformで超サクッとループでリソースを用意する方法 ｜ DevelopersIO

---

csv, json, yaml を読む †

• csvdecode - Functions - Configuration Language | Terraform | HashiCorp Developer

• yamldecode - Functions - Configuration Language - Terraform by HashiCorp
  • v0.12以降で使える
  • jsonとは違い、コメントが書けるので「=jsonencode(yamldecode(file("vars.yaml")))」のようにjsonに変換させる事も可能。
  • vars.yml

    string01: string01
    string02: string02
    list01:
    - "aaa"
    - "bbb"
    dict01:
      key1: val1
      key2: val2

  • example.tf

    output "external_yamldecode" {
      value = yamldecode(file("./vars.yml"))
    }

  • 実行

    terraform init
    terraform plan
    terraform apply
    ...
    Outputs:
    
    external_yamldecode = {
      "dict01" = {
        "key1" = "val1"
        "key2" = "val2"
      }
      "list01" = [
        "aaa",
        "bbb",
      ]
      "string01" = "string01"
      "string02" = "string02"
    }

• jsondecode - Functions - Configuration Language - Terraform by HashiCorp
  • v0.11以降

---

data.external: 外部コマンドの結果を取り込む †

• External Data Source - Terraform by HashiCorp
  • stging型はOKだが、listやdict型は非対応なようだ。v0.11.14, v0.12.6で確認。
  • 暫定対応として、listはスペースやカンマ区切りでjoinして返す等。dictは不明。
  • Feature Request - Allow list/array in 'query' in 'external' data source · Issue #2 · terraform-providers/terraform-provider-external
  • read-from-yaml.py

    #!/usr/bin/env python
    # -*- coding: utf-8 -*-
    #
    # read yaml file to json
    #
    # Requirements:
    #   python 2.7
    #   pip install pyyaml
    
    from __future__ import print_function
    import sys
    import json
    import yaml
    from pprint import pprint
    
    def read_stdin():
        return {x.strip() for x in sys.stdin}
    
    def main():
        """
        main
        """
    
        try:
            stdin_lines = read_stdin()
            for line in stdin_lines:
                if line:
                    jsondata = json.loads(line)
    
            f = open(jsondata["in_file"], "r")
            data = yaml.load(f, Loader=yaml.SafeLoader)
            f.close()
            sys.stdout.write(json.dumps(data))
        except Exception, e:
            import traceback
            traceback.print_exc()
            sys.exit(1)
    
    if __name__ == '__main__':
        main()
    
    # vim: ts=4 sw=4 expandtab

• read-from-yaml.py 単体の実行結果

  echo '{"in_file":"./vars.yml"}' | ./read-from-yaml.py
  {"string02": "string02", "string01": "string01"}

• example.tf

  data "external" "yaml" {
    program = ["python", "${path.module}/read-from-yaml.py"]
    query = {
      in_file = "./vars.yml"
    }
  }
  
  output "external_yaml" {
    value = "${data.external.yaml.result}"
  }
  
  output "external_yamldecode" {
    value = yamldecode(file("./vars.yml"))
  }

• terraform実行

  terraform init
  terraform plan
  terraform apply
  ...
  Outputs:
  
  external_yaml = {
    string01 = string01
    string02 = string02
  }

---

data.remote_state: 他のtfstateのリソースを参照する †

• Terraform: terraform_remote_state - Terraform by HashiCorp
  • outputリソースのvalueを取得できる。

    output "name" {value="..."}

• 参照先

  data.terraform_remote_state.example.outputs.name

• 記事
  • 【Terraform】terraform_remote_stateデータソースの使い方 ｜ DevelopersIO

---

Atlantis: terraformをpull requestベースで駆動する †

• Terraform Pull Request Automation | Atlantis

• 記事
  • TerraformをPull Request上のコマンドで実行！Atlantisを試してみた ｜ DevelopersIO

---

providerのバージョン固定 †

• Providers - Configuration Language - Terraform by HashiCorp

• Releases · terraform-providers/terraform-provider-heroku
  • 2.0.0から互換性がなくなって、heroku_appに書いたconfig_varsが差分として出るようになった。
  • 1.9.0に固定したい場合

    provider "heroku" {
        version = "= 1.9.0"
    ...
    }

---

providerの更新 †

• https://developer.hashicorp.com/terraform/cli/commands/init#upgrade-1
• .terraformに保存されているので、最新に更新したい場合

terraform init -upgrade

# or
rm -rf .terraform
terraform init

---

terraformバージョンの固定 †

terraformはバージョンが0.0.1でも違うとコードの互換性が無くなる事が多い。
そのためバージョンを固定したい場合がある。

• Specifying a Required Terraform Version

• versions.tf: v0.12以上を使うように明示する。このファイル名は「terraform 0.12upgarade」で自動的に作られる

  terraform {
    required_version = ">= 0.12.0"
  }

• v0.11.0以上、0.12.0未満を指定。ただし、v0.12.3で試した所、構文チェックをバージョンチェックよりも先に行うようで、v0.11の構文エラーだけ表示されて、バージョンのエラーは出ない。

  terraform {
    required_version = ">= 0.11.0, < 0.12.0"
  }

---

tfenv: 複数バージョンの切替 †

• tfutils/tfenv: Terraform version manager
• 記事
  • tfenvでTerraformのバージョン管理をする - Qiita

• Memo/Linux/anyenvがtfenvに対応しているので便利。

• CentOS 7.xの場合: Memo/Linux/Bash#a4d5a585 が設定済みである事

  git clone https://github.com/tfutils/tfenv.git ~/.tfenv
  echo '[[ -d ~/.tfenv/bin ]] && export PATH="${PATH}:~/.tfenv/bin"' > ~/.bash.d/tfenv.sh
  chmod +x ~/.bash.d/tfenv.sh
  source ~/.bashrc
  
  # v0.11.xの最新をインストール
  tfenv install latest:^0.11
  
  # カレントディレクトリをv0.11.xにする。 .terraform-version が書き換わる。~/で実行すればデフォルト値になる。
  cd ~/
  tfenv use 0.11.14

• v0.12.xと併用

  # 特定ディレクトリだけ0.12に変更
  tfenv install latest:^0.12
  # カレントディレクトリの .terraform-version が0.12.xへ変わる
  
  # 特定ディレクトリのバージョンを0.12.xへ固定
  echo latest:^0.12 > .terraform-version

terraformはサイズが大きく、バージョンアップも頻繁なので古いバージョンを消したい。

• 最新の0.12だけ残し、古い0.12だけ削除

  tfenv list | grep -o -E '0.12.[0-9]+' | sort -n | head -n -1 | xargs -i bash -c 'tfenv uninstall {}'

---

v0.14 †

• Upgrading to Terraform v0.14 - Terraform by HashiCorp
  • terraform plan時に差分のみ表示されるようになった。v0.14.7: ブロックの中の属性が一つでも変わったら、ブロック全体が差分として表示される。
  • terraform init時に「.terraform.lock.hcl」が作成されるようになった。commitする必要がある

• 記事
  • terraform 0.14.0 terraform.lock.hclはレビュー時に理解必須なので要約してみた - Qiita
  • Terraform 0.14 GA!したので新機能幾つか試してみた | Developers.IO

---

upgrade †

• 0.13まであった「terraform 0.XXupgrade」のコマンドは無い
• 0.12から0.14への直接アップグレードはできない？ 0.13をインストールしてupgradeする必要がありそう。Memo/Terraform#sbbca418

---

v0.13 †

• Upgrading to Terraform v0.13 - Terraform by HashiCorp
  • 「terraform 0.13upgrade」がある。0.12から0.13への構文変換に使える。0.12upgradeは無くなっている

• 記事
  • 祝GA！ Terraform 0.13 新機能を使ってみた | Developers.IO
  • Announcing HashiCorp Terraform 0.13 General Availability

---

エラーの修正 †

• init時のエラー

  terraform init
  This configuration or its associated state refers to the unqualified provider "aws".

  • 修正

    terraform state replace-provider 'registry.terraform.io/-/aws' 'registry.terraform.io/hashicorp/aws'

---

upgrade †

• upgrade

  echo latest:^0.13 > .terraform-version
  rm versions.tf
  terraform 0.13upgrade

• versions.tf が自動的に変更された

  terraform {
    required_version = ">= 0.13"
    required_providers {
      aws = {
        source = "hashicorp/aws"
      }
    }
  }

---

v0.12 †

v0.11.x以下とコードの互換性が無くなかった。

• Upgrading to Terraform 0.12 - Terraform by HashiCorp
  • 以下コマンドでソースコードを0.12に対応してくれる。ただし、幾つかのエラーは解決しなかったので、手動で直す。

    terraform 0.12upgrade

  • versions.tf が作成され、version >= 0.12以上に指定される。

• リソース名に"."は使えない。「0-9, A-Z, a-z, _」にする。
  • 0.11: output "public_dns.web_01" {
  • 0.12: output "public_dns_web_01" {

• 「=」を明示的に追加する
  • 0.11: tags { ... }
  • 0.12: tags = { ... }

• リソース名をダブルクオートで括らない
  • 0.11: value = "${aws_lb.example.dns_name}"
  • 0.12: value = aws_lb.example.dns_name

• リスト型を[]の中に入れない
  • 0.11: value = ["${var.example_list}"]
  • 0.12: value = var.example_list

• 複数リソースの参照
  • 0.11: "${aws_instance.example.*.id}"
  • 0.12: aws_instance.example[*].id

• 複数リソースの件数
  • 0.11: "${length(aws_instance.example.*.id)}"
  • 0.12: length(aws_instance.example) or length(aws_instance.example[*].id)

• 複数リソース中の単一リソースの参照。indexでアクセスできない箇所でもlengthが使えるようになった。
  • 0.11: "${aws_instance.example.*.id[0]}"
  • 0.12: aws_instance.example[0].id

• 記事
  • Terraform v0.12で変わるHCLの記述について - Qiita
  • Terraform 0.12がリリースされたのでアップグレードしてみた ｜ DevelopersIO
  • Terraform 0.11→0.12で追加された新機能 ｜ DevelopersIO

---

ベストプラクティス †

• Welcome - Terraform Best Practices
  • ネーミングルール等分かりやすい

• Terraform Recommended Practices - Terraform by HashiCorp
  • ディレクトリ構造の例: Code structure examples Small, Medium, Largeと3パターンあった

• 記事
  • Terraform 運用ベストプラクティス 2019 ~workspace をやめてみた等諸々~ - 長生村本郷Engineers'Blog

• 【Terraform】モジュールに関する個人的ベストプラクティス - Qiita
• 【Terraform】moduleのアンチパターンとそれに対するベストプラクティス5選 - Qiita
• Serverless×Terraformモジュール設計のベストプラクティスの検討~IoTデータ収集基盤の例~ | Developers.IO
• Terraformのベストなプラクティスってなんだろうか | Future Tech Blog - フューチャーアーキテクト

---

module: リソースのモジュール化 †

同一のリソースを名前やアカウント、リージョンだけ作成したい時に、コードを共通化できる。

• Modules | Terraform - HashiCorp Learn
  • main.tfからmodule/側の変数を参照したい場合、module側で"output ID1 {...}"のように定義する。outputで定義すると、stateファイル内にそのID/valueが入り、terraform_remote_state で参照できる。

不便な点:

• module内のリソース名は変わっていなくても、module名を変えただけで、リソースの作り直しが発生する。-> move {}リソースが使えるようになった。
• module内でdepends_onが使えないので、moduleが使うリソースは先にできていないと実行に失敗する。v0.12.xで対応予定？
  • depends_on cannot be used in a module · Issue #10462 · hashicorp/terraform
  • リソース内からmoduleへの依存は書ける。

    aws_elb "example" {
    ...
      depends_on = [
        "module.example"
      ]

• v0.11, v0.12: moduleを呼び出し元でループ処理(count, for_each)出来ない。module内でのループはできる。

moduleを使わない方法:

• Terraformでmoduleを使わずに複数環境を構築する

記事:

• terraform_module_ Beginner - Speaker Deck
• Terraformモジュール構成のベストプラクティス - ENECHANGE Developer Blog
• [Terraform]Module間の値の受け渡しについて | Developers.IO

---

module内で別providerの参照 †

• Passing Providers Explicitly

• module側:
  • providerが一つだけなら、定義不用。複数ある場合、aliasで分ける。
  • modules/tunnel.tf

    provider "aws" {
      alias = "src"
    }

• 呼び出し側:

  provider "aws" {
    alias  = "usw1"
    region = "us-west-1"
  }
  
  module "example" {
    source    = "../modules/tunnel"
    providers = {
      aws.src = "aws.usw1"
    }
  }

---

module内で作成されたリソースの参照 †

• module内でoutputで出力した値が、呼び出し元から参照できる
• Output Value Documentation

• module/server/ec2.tf

  variable "var1" {
    default = "var1"
  }
  
  resource "aws_instance" "server" {
  ...
  }
  
  output "private_ip" {
    value = aws_instance.server.private_ip
  }

• module呼び出し側

  # 変数の参照
  "${module.server.var1}"
  
  # 動的リソースの参照
  "${module.server.private_ip}"

---

便利な関数 †

• Interpolation Syntax - Terraform by HashiCorp

• compact(list): listから空の要素を削除する。

  security_groups = ["${compact(list("sg-xxA", "sg-xxb", ""))}]"

• replace(string, search, replace): stringをsearchで検索して、replaceで置換する。searchには正規表現 も使え、"/search/" のように指定する。
  • 例: "arn:aws:iam::123456789012:role/example_global"のような文字列が欲しい場合。data.aws_iam_role.example.arnが使える場合は、そちらが良い。

    # data.aws_caller_identity.current.arn = arn:aws:iam::123456789012:user/user01
    
    locals {
      role_arn = "${replace(data.aws_caller_identity.current.arn, "/user\\/.+/", "")}role/example_global"
    }

---

VSCode(Visual Studio Code)拡張 †

• Terraform - Visual Studio Marketplace
  • 2023-04: WSL2環境でも、シンタックスハイライトは動作した

• HashiCorp Terraform - Visual Studio Marketplace
  • 2023-04: WSL2環境では、シンタックスハイライトが動作せず

---

無停止での更新・デプロイ/Rolling Update †

戦略:

• 新しいインスタンスを追加して、古いインスタンスは削除。terraform自体、updateが苦手。

• 記事
  • Zero Downtime Updates with HashiCorp Terraform
  • Terraformで始めるRolling deployment - Qiita

---

複雑な変数の定義と参照 †

• terraform v0.11.x ではmapにlistを入れたりできないため、複雑な変数を定義する場合、複数のmapを組み合わせて、lookup()等で参照する方法がある。
• yamlだとこんな感じの変数をterraformで定義したい。

  tables:
    key01:
      attr01: 10
    key02:
      attr01: 20

  • example.tf: terraformでは複数リソースはcountでループするため、indexをわざわざ定義している

    variable "tables" {
      default = {
        "0" = "key01"
        "1" = "key02"
      }
    }
    
    output "tables.count" { value = "${length(var.tables)}" } # 2
    output "tables.key0" { value = "${lookup(var.tables, 0)}" } # key01
    
    
    variable "tables_attr01" {
      default = {
        "key01" = "10"
        "key02" = "20"
      }
    }
    
    output "tables_attr01.key01.val.way1" { value = "${lookup(var.tables_attr01, "key01")}" } # 10
    output "tables_attr01.key01.val.way2" { value = "${lookup(var.tables_attr01, lookup(var.tables, 0))}" } # 10

  • 実行結果

    terraform apply
    ...
    Outputs:
    
    tables.count = 2
    tables.key0 = key01
    tables_attr01.key01.val.way1 = 10
    tables_attr01.key01.val.way2 = 10

---

三項演算子/条件によりリソースの作成を制御する †

• v0.8.11現在、if文は無い。
• 「<resource>.count」 はドキュメントに無くても設定できる。「count=0」にするとリソースは生成されない。

• Interpolation Syntax - Terraform by HashiCorp

  CONDITION ? TRUEVAL : FALSEVAL

• iam_role等のglobalに一つだけあれば良いケースもこれで対応できる。
  • module側で 「create_iam_role = true」等のフラグを用意しておく。

    # moduleを同一アカウントで、複数回使う場合、2回目以降はfalseにしておく。
    variable create_iam_role { default = true }
    
    resource "aws_iam_role" "example_global" {
      count = "${var.create_iam_role ? 1 : 0}"
      name = "example_global"
    ...

• "var.something"がTRUEの時に、1台のインスタンスを立てる

  resource "aws_instance" "vpn" {
    count = "${var.something ? 1 : 0}"
  }

• 指定S3 bucketのreadonly用roleを作成。"var.s3_r_bucket_arns" が空の時にはpolicyを作成しない。 aws_iam_role_policy.countはドキュメントに無いが設定できる

  # example: ["arn:aws:iam::1234567890:root", "..."]
  variable account_id_arns {
    default = []
  }
  
  # example: ["arn:aws:s3:::example1, "..."]
  variable s3_r_bucket_arns {
    default = []
  }
  
  variable aws_iam_role_name { default = "assume-role-s3" }
  
  resource "aws_iam_role" "assume-role-s3" {
    name               = "${var.aws_iam_role_name}"
    assume_role_policy = "${data.aws_iam_policy_document.assume-role.json}"
  }
  
  resource "aws_iam_role_policy" "s3-r" {
    name   = "s3-r"
    role   = "${aws_iam_role.assume-role-s3.id}"
    policy = "${data.aws_iam_policy_document.s3-r.json}"
    count  = "${ length(var.allowed_r_s3_bucket_arns) > 0 ? 1 : 0 }"
  }
  
  data "aws_iam_policy_document" "assume-role" {
    # assume role
    statement {
      actions = [
        "sts:AssumeRole",
      ]
  
      effect = "Allow"
  
      principals = {
        type        = "AWS"
        identifiers = "${var.account_id_arns}"
      }
    }
  }
  
  data "aws_iam_policy_document" "s3-r" {
    statement {
      actions = [
        "s3:ListBucket",
      ]
  
      resources = ["${var.s3_r_bucket_arns}"]
    }
  
    statement {
      actions = [
        "s3:GetObject",
      ]
  
      resources = ["${split( ",", "${join("/*,", var.s3_r_bucket_arns)}/*" )}"]
    }
  }

---

fmt: 自動整形 †

• カレントディレクトリの全ファイルを自動整形する

  terraform fmt

---

複数個リソースの参照 †

• terraformのいつのバージョンからか以下のような2つ以上のリソースの場合「.1.」の記述がエラー(not found for variable)になった。

  output "web-0001.public_dns"     { value = "${aws_instance.web.1.public_dns}" }

• outputは'*'で複数リソースをJSONで出力可能:

  output "web.public_dns"     { value = "${aws_instance.web.*.public_dns}" }

• element() 添え字が要素数を超えていた場合、初めからループする。例：AZが3つで、EC2が4台以上ある時、EC2の4台目はAZ1を使って欲しい。

  subnet_id     = element(data.aws_subnet_ids.main_private.ids[*], count.index)

• 添え字が要素数を超えた場合、エラーになる

  aws_instance.web.id[count.index]

---

workspace: stateを分ける †

stateはbackend指定でS3に置けるが、通常default一つしか無い。
dev, stg, prodのように分けてstateを管理できる。
awsのregion毎に分けても良い。

• State: Workspaces - Terraform by HashiCorp

• dev

  terraform workspace new dev
  terraform workspace select dev

• "${terraform.workspace}"で現在のworkspace名の参照が出来る

---

locals: ローカル変数 †

• Configuring Local Values - Terraform by HashiCorp

• NG: variableのdefaultで別変数を参照すると「default may not contain interpolations」エラーになる

  variable "cidr_whitelist" {
    type = "list"
    default = [
      { "value" = "${var.cidr_office}" type = "IPV4" },
    ]

• OK: locals は別変数の参照が可能

  locals {
    cidr_whitelist = [
      { "value" = "${var.cidr_office}" type = "IPV4" },
    ]
  }

• localsを複数定義すれば、前参照もできる。

  locals {
    owner    = "taro.yamada"
    site_id  = "example-dev"
  }
  
  locals {
    common_tags = {
      owner    = local.owner
      site_id  = local.site_id
    }
  }
  
  aws_instance web {
  ...
    tags = merge(local.common_tags, {
          Name  = "${local.prefix}-web-01"
          role  = "web"
    })
  }

---

terraform-landscape: planの結果を見やすく †

• GitHub - coinbase/terraform-landscape: Improve Terraform's plan output to be easier to read and understand
  • plan結果の色づけ、JSONを差分表示
  • terraform v0.11 まで対応。v0.12はterraform側のdiffが大きく変わり、非対応

• 記事
  • terraform-landscapeでterraform planのdiffをクッソ見やすく整形する - Qiita

---

配列の要素の末尾に文字列を追加 †

配列の要素の末尾に文字列を結合したい場合がある。

• 元変数: ["arn:aws:s3:::example1","arn:aws:s3:::example2"]
• 求める出力: ["arn:aws:s3:::example1/*","arn:aws:s3:::example2/*"]

• 記事
  • [terraform] [小ネタ] 配列の各要素の末尾に文字列を追加した配列を返す - Qiita

• Terraform v0.11.7
• 例：Amazon S3: 特定の S3 バケットへの読み取りと書き込みアクセスを許可する のポリシーを生成したい場合

data "aws_iam_policy_document" "s3-r" {
  statement {
    actions = [
      "s3:ListBucket",
    ]

    resources = ["${var.s3_r_bucket_arns}"]
  }

  statement {
    actions = [
      "s3:GetObject",
    ]

    resources = ["${split( ",", "${join("/*,", var.s3_r_bucket_arns)}/*" )}"]
  }
}

• 例: web-01〜NNのPublic IP(IPv4)を、他のセキュリティグループに登録したい。セキュリティグループはCIDR形式(0.0.0.0/0)が必要
  • terraform v0.11.14

    data "aws_instances" "web" {
      instance_tags = {
        "Name" = "web-*"
      }
    
      instance_state_names = ["running", "stopped"]
    }
    
    # 参照する場合
    "${split( ",", "${join("/32,", data.aws_instances.web.public_ips)}/32")}",

---

Terratest: インフラ自動テストツール †

Terraformで起動、チェック実行、破棄までを自動化

• 記事
  • 構成ファイルの通りにインフラは立ち上がったのか？ インフラ自動テストツール「Terratest」がオープンソースで公開 − Publickey

---

タイムアウトの延長 †

リソースの作成/削除等で、timeoutする場合がある。

• Timeouts
• aws_db_instanceの場合

  resource "aws_db_instance" "timeout_example" {
    name              = "mydb"
    # ...
    timeouts {
      create = "60m"
      delete = "2h"
    }
  }

---

alicloud(aliyun alibaba) †

中国のalicloud用プロバイダー

• Provider: alicloud - Terraform by HashiCorp

• 記事
  • Alibaba Cloud 日本リージョンがTerraformに対応したので試した - Qiita

---

ヒアドキュメントでJSON等を綺麗に書く †

• Expressions - Configuration Language - Terraform by HashiCorp

  "heredoc"

• terraformでは引用が「"」のみで、JSON等を書こうとすると、「\"」のエスケープが必要で見難い
• JSON Formatter & Validator JSONの検証と整形

• ヒアドキュメント「var = <<EOT 〜 EOT」が使える
• 「<<-」だと、インデントを他の変数と同じに合わせる

• 例:

  resource "aws_iam_policy" "policy" {
      name = "test_policy"
      path = "/"
      description = "My test policy"
      policy = <<EOT
  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": [
          "ec2:Describe*"
        ],
        "Effect": "Allow",
        "Resource": "*"
      }
    ]
  }
  EOT
  }

• ヒアドキュメント内で他リソース"${aws_s3_bucket.example.arn}"等の展開はできる。ただし、terraform v0.11 planでは値は表示されなかったが、apply後は正常だった。
• iam_policyは AWS: aws_iam_policy_document - Terraform by HashiCorp を使うとJSONが出力できるのでお勧め。

---

変数にmap(連想配列)を使う †

• type = "map" は省略できる
• aws.tf

  # https://aws.amazon.com/marketplace/fulfillment?productId=b7ee8a69-ee97-4a49-9e68-afaee216db2e&ref=cns_srchrow&versionTitle=1708
  # "${lookup(var.aws_ami_ids, "ap-northeast-1_centos7_2017-10-12")}"
  variable "aws_ami_ids" {
    default = {
      "us-east-1_centos7_2017-10-12"      = "ami-db48ada1"
      "us-west-2_centos7_2017-10-12"      = "ami-e535c59d"
      "ap-southeast-1_centos7_2017-10-12" = "ami-1fbad07c"
      "ap-northeast-1_centos7_2017-10-12" = "ami-e4599a82"
      "eu-central-1_centos7_2017-10-12"   = "ami-2540f74a"
      "eu-west-1_centos7_2017-10-12"      = "ami-5f76b626"
    }
  }
  
  variable "aws_region" { default = "ap-northeast-1" }
  locals {
    aws_ami_id_centos7 = "${lookup(var.aws_ami_ids, "${var.aws_region}_centos7_2017-10-12")}"
  }
  
  output "aws_ami_ids" { value = "${var.aws_ami_ids}" }
  output "aws_ami_id_centos7" { value = "${local.aws_ami_id_centos7}" }

• 実行結果

  terraform apply
  ...
  aws_ami_id_centos7 = ami-e4599a82
  aws_ami_ids = {
    ap-northeast-1_centos7_2017-10-12 = ami-e4599a82
    ap-southeast-1_centos7_2017-10-12 = ami-1fbad07c
    eu-central-1_centos7_2017-10-12 = ami-2540f74a
    eu-west-1_centos7_2017-10-12 = ami-5f76b626
    us-east-1_centos7_2017-10-12 = ami-db48ada1
    us-west-2_centos7_2017-10-12 = ami-e535c59d

---

import block: import対象リソースをコードに書けるように †

• Import - Configuration Language | Terraform | HashiCorp Developer
• terraform v1.5から
• importコマンドでtfsateにimportするより手間がかからず、コードの変更としてgit等に記録されるのでわかりやすいかも。

---

import: 既存のリソースからtfstateを作成する †

• import blockの方が手軽かも

• Command: import - Terraform by HashiCorp
  • 既存リソースからtfstateファイルを生成する。
  • importが実装されていないリソースも多い。
  • リソースIDを一つ一つ指定しなければいけないので面倒。
  • v0.9.4: route53をimportしようとするとcrashした。

• インポートするリソースを間違った場合、stateから削除してから、再インポート
  • Command: state - Terraform by HashiCorp

terraform state list
terraform state rm <terraform address>
terraform import <terraform address> <resource id>

• 記事
  • terraformingとAWS CLIとTerraform importを使って、tfファイルを修正するところまでのメモ ｜ DevelopersIO
  • 既存のAWS環境を後からTerraformでコード化する ｜ DevelopersIO

---

-generate-config-out: 既存のリソースからHCLコードを生成 †

• Import - Generating Configuration | Terraform | HashiCorp Developer
  • terraform v1.5.0以上
• import後に「terraform plan -generate-config-out="generated_resources.tf"」でtfファイルが生成される。

---

変数 †

• Input Variables - Terraform by HashiCorp

• 機密情報をtfファイルに書かないようにしたい場合。「-var "key=value"」が複数使える。ただし、パスワードをこの方法にしてしまうと、apply時に毎回同じパスワードを入力するハメになるのでお勧めしない。

  cat var.tf
  --
  variable api_key {}
  --
  api_key=***
  terraform plan -var "api_key=$api_key"

• 別ファイルにしたい場合: 「-var-file=~/.secret.tfvars」

  api_key = "****"

• パスワード等、ランダム文字列で良い場合は生成できる。

• v0.11: listをマージしたい場合、 そのまま書ける

  security_groups = ["sg-xxxx1", "${var.list_sg}"]

---

バージョン変更によるアップグレード方法 †

• Upgrading to Terraform 0.9 - Terraform by HashiCorp
• Upgrading to Terraform 0.7 - Terraform by HashiCorp

---

lifecycle: 指定リソースの差分を無視する †

EBSを追加したり、SGを追加しようとするとEC2を作り直してしまう場合がある。

• Configuring Resources - Terraform by HashiCorp
  • create_before_destroy: 既存リソースが有った場合、削除してから作成する
  • prevent_destroy: リソース保護。削除する時にエラーになる
  • ignore_changes: 差分があっても無視する

• 後から追加したroot_block_deviceの差分を無視したい。

  lifecycle {
    ignore_changes = ["root_block_device"]
  }

---

デバッグ †

• Debugging - Terraform by HashiCorp

• デバッグログを出す

  TF_LOG=DEBUG terraform plan

---

output: 出力だけを見る †

• Command: output - Terraform by HashiCorp

public dns, IP等、後で参照したい情報を出力するのに便利。
refreshまたはapplyした後でしか表示されない。(tfstateファイルの中身を表示しているのでは)

terraform output

# json
terraform output -json

• 例: 必要な項目だけをjqでtsv出力

  terraform output -json example_domain_validation_options | jq -r ".[] | [.resource_record_name, .resource_record_type, .resource_record_value] | @tsv"
  
  _1234567890abcdef1234567890abcdef.example.com    CNAME   _1234567890abcdef1234567890abcde.abcdefghij.acm-validations.aws.

---

outputで複数リソースの値を出力 †

Output Variablesでは1つの値しか出力できないようだ。

• いつのバージョンからかJSONで出力できるようになっていた

  output "web.private_ip" { value = "${aws_instance.web.*.private_ip}" }
  
  Outputs:
  web.private_ip = [
      i-1111,
      i-2222
  ]

• 複数EC2のprivate ipをカンマ区切りで出力

  output "web.private_ip" { value = "${join(",",aws_instance.web.*.private_ip)}" }

---

backend: S3等にtfstateファイルを置く †

• Backend Type: s3 | Terraform | HashiCorp Developer
  • terraform 1.10からs3 backend上でのファイルでのロックが可能になった。今までのdynamodbは不要になった。
  • Terraform S3 Backend でステートロックのための DynamoDB が不要になる use_lockfile = true - kakakakakku blog

• 記事
  • Backend の S3 や DynamoDB 自体を terraform で管理するセットアップ方法 - Qiita

• v0.9から backendへ変更: Backend Type: s3 - Terraform by HashiCorp

• terraform.tf:
  • このファイル内で変数は使えなかった。「configuration cannot contain interpolations」エラー

    terraform {
      backend "s3" {
        profile = "myprofile"
    #    shared_credentials_file = "~/.aws/config" # v0.9.3 で試しても失敗
        region  = "ap-northeast-1"
        bucket  = "mybucket"
        key     = "web/terraform.tfstate" # path/file で1バケットに複数のtfstateを置ける
        use_lockfile = false # v1.10以降。CIや複数人使用時にロックしたい場合
      }
    }

• 実行: terraform v0.9.3

  aws --profile myprofile configure
  
  # ~/.aws/credentials に該当キーが出来ているのが重要。
  
  terraform init
  
  terraform plan

---

-target: 指定したリソースだけplan/apply †

• 「-target=resource 」オプションがある。複数指定したい場合は「-target=resource1 -target=resource2」とする

  terraform plan -target=aws_instance.web[0]

• Command: plan - Terraform by HashiCorp

• tfファイルから「-target <resource.name>」形式で抽出

  cat example.tf| perl -ane 'if(/resource\s+"([^\"]+)"\s+"([^\"]+)"/){print "-target $1.$2 \\\n";}'

---

変数で配列が扱えない †

• 記事
  • Terraformで複数台のEC2インスタンスを構築する場合のTIPS ｜ Developers.IO

• 変数に配列が使用できない。(v0.6.6で確認) v0.7以降で使用可能

• [v0.7以降]

  # example.tf
  variable "security_groups" {                                                                                                                                                                                                              
    default = ["sg-xx", "sg-x,sg-xxx"]
  }
  
  resource "aws_instance" "web" {
    ...
    security_groups = "${var.security_groups}"
  }

• Store arrays in variables Issue #57 hashicorp/terraform GitHubで要望は上がっているようだ。
• [v0.7未満] 擬似的に配列を設定する

  # example.tf
  variable "security_groups" {                                                                                                                                                                                                              
    default = "sg-xx,sg-x,sg-xxx"
  }
  
  resource "aws_instance" "web" {
    ...
    security_groups = "${split(",", var.security_groups)}"
  }

---

terraformer: 既存のインフラのインポート。GoogleCloudPlatform製 †

• GoogleCloudPlatform/terraformer: CLI tool to generate terraform files from existing infrastructure (reverse Terraform). Infrastructure to Code

• 記事
  • 既存の環境からterraformのファイルを出力するterraformerを使ってみた ｜ DevelopersIO

---

Terraforming: 既存のインフラのインポート †

※terraform v0.7.0からimport機能が実装されたため、Terraformingは不要かもしれない。

terraform.tfstate や tf形式のソースを生成する [#f45434d2]

• https://github.com/dtan4/terraforming
  • Terraformすべてのリソースには対応していない

• 記事
  • Terraforming で既存のインフラを Terraform 管理下におく - Qiita

• CentOS6.xの場合。ruby 2.1.0以上なので、rbenvやrvmで新しいrubyを使えるようにする

  rvm use 2.1.5
  ruby --version
  ruby 2.1.5p273 (2014-11-13 revision 48405) [x86_64-linux]
  
  rvmsudo gem install terraforming aws-sdk
  ln -s ~/.aws/config ~/.aws/credentials
  
  # なぜか --profileオプションが動作せず
  export AWS_ACCESS_KEY_ID=****
  export AWS_SECRET_ACCESS_KEY=****
  export AWS_REGION=ap-northeast-1
  terraforming ec2 > terraforming.ec2.tf
  terraforming ec2 --tfstate >terraforming.terraform.tfstate

---

複数バージョンの切り替え †

• tfenvが複数バージョンの切り替えが楽

• バージョンによって動作しない機能があり、古いバージョンに切り替えたい時がある。
  • 0.7.1: terraformコマンドが1ファイルになった
  • 0.6.0: CentOS6.x ReleaseMediaが起動しないのが直った？
  • 0.5.3: AWS EC2でCentOS6.x ReleaseMediaが起動しない
  • 0.3.7: 1回目は成功するが、2回目は、AWS EC2セキュリティグループが壊れる

• 記事
  • tfenvでTerraformのバージョン管理をする - Qiita tfenvというツールもある

• CentOS6.x 64bitの場合

  TERRAFORM_VER=0.8.5
  sudo mkdir -p /opt/terraform.${TERRAFORM_VER}
  sudo wget -O /opt/terraform.${TERRAFORM_VER}/terraform_${TERRAFORM_VER}_linux_amd64.zip https://releases.hashicorp.com/terraform/${TERRAFORM_VER}/terraform_${TERRAFORM_VER}_linux_amd64.zip
  sudo unzip -d /opt/terraform.${TERRAFORM_VER}/ /opt/terraform.${TERRAFORM_VER}/terraform_${TERRAFORM_VER}_linux_amd64.zip
  
  # v0.7.x以上の場合
  sudo alternatives --install /usr/local/bin/terraform terraform /opt/terraform.${TERRAFORM_VER}/terraform 70
  
  # v0.6.x以下の場合
  echo alternatives --install /usr/local/bin/terraform terraform /opt/terraform.${TERRAFORM_VER}/terraform 60 \\ > /tmp/install-terraform.sh
  find /opt/terraform.${TERRAFORM_VER}/ -name 'terraform-*' -type f -printf ' --slave /usr/local/bin/%f %f %p \\\n' >> /tmp/install-terraform.sh
  sudo bash /tmp/install-terraform.sh

• バージョンの切り替え

  alternatives --display terraform
  sudo alternatives --set terraform /opt/terraform.${TERRAFORM_VER}/terraform
  
  # 削除
  sudo alternatives --set terraform /opt/terraform.${TERRAFORM_VER}/terraform

---

不具合 †

• https://github.com/hashicorp/terraform/issues
  • 1つのpolicyに1つのIAMしか関連付けが出来ない。例えばJPリージョンのIAM:s3-jp-rwにAmazonS3FullAccessを割り当てる。同様にUSリージョンにIAM:s3-us-rw を作ろうとすると、IAM:s3-jp-rwのpolicyがデタッチされる
    • または、以下の様にusersを配列にする。ただし、jpとusでディレクトリを分けている場合、相互に修正する必要があり面倒

      resource "aws_iam_policy_attachment" "s3-rw" {
          name = "s3-jp-rw"
          users = ["s3-jp-rw","s3-us-rw"]
          policy_arn = "arn:aws:iam::aws:policy/AmazonS3FullAccess"
      }

    • aws_iam_policy_attachment only one per policy · Issue #4165 · hashicorp/terraform · GitHub
    • provider/aws : IAM policy attachment/detach bug ? · Issue #6045 · hashicorp/terraform · GitHub

• v0.6.16: v0.6.15と同様にawsリソースを作り直す不具合有り
• v0.6.15: awsリソースを全部作り直そうとする不具合がある。destroy, apply, refresh, planで確認
• v0.6.14: heroku_app SSL証明書更新でクラッシュした
• v0.4.2: awsのroot_block_deviceでvolume_size等を変更しようとすると「logicalType cannot be modified on root device」のエラーが出る。v0.3.7へダウングレードした。
• v0.4.2: aws_instance の *_block_device が毎回違うように表示される
• v0.4.2: aws_security_group の 自己参照、他セキュリティグループIDの指定がうまくいかない
• v0.4.2: --target=リソース名で、ハイフン(-)に対応していない。 例：--target=aws_route53_record.web-01 はNG、web_01ならOK

---

インストール †

• tfenvが複数バージョンの切り替えが楽

• Download Terraform - Terraform by HashiCorp

• CentOS6.x /usr/local/binにインストールする

  wget -O terraform_0.3.7_linux_amd64.zip https://dl.bintray.com/mitchellh/terraform/terraform_0.3.7_linux_amd64.zip
  sudo unzip terraform_0.3.7_linux_amd64.zip -d /usr/local/bin/
  
  terraform version
  Terraform v0.3.7

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

---

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件

---