Memo/Terraform/aws

AWS †

Best practices for using the Terraform AWS Provider - AWS Prescriptive Guidance
- AWS docのベストプラクティス

記事

↑

S3 ACLのデフォルト無効化とエラー †

2023-04: s3 bucketのACLがデフォルトで無効。パブリックアクセスブロック。
ただし、cloudfrontのログ保存用s3 bucketはACLの有効化が必要

記事:

↑

NLBのIPを取得 †

2023-05: aws_lbから直接取得はできなそう
NLBはEIPを割り当てできる
EIPを割り当ててない場合でも、セキュリティグループに登録するためにEIPが欲しい
[Be able to get IP address of aws_lb · Issue #21854 · hashicorp/terraform](https://github.com/hashicorp/terraform/issues/21854)

↑

aws_ec2_instance_state: ec2の起動/停止 †

aws_instance | Resources | hashicorp/aws | Terraform Registry
- running/stoppedのstateは変えられない。
- stoppedでもplanで差分は出ない

aws_ec2_instance_state | Resources | hashicorp/aws | Terraform Registry

↑

route53: †

記事:

Route53の複数値回答ルーティングポリシーをterraformで書いてみる

Import:

「set_identifier」が設定してある場合、「<zone id>_dev.example.com_CNAME_<identifier>」のように指定する

↑

EBSでgp3を設定 †

【アップデート】TerraformでEC2の汎用SSD「gp3」が利用可能になりました！ | DevelopersIO

1GBあたりのストレージ料金は20%程度安い。

3,000IOPSまで無料かつ、ベースラインとして保証される。

スループットは125MB/秒まで無料かつ、ベースラインとして保証される。

例: 追加料金が発生しないベースラインの設定

    root_block_device {
        volume_size = 10
        volume_type = "gp3"
        iops = 3000
        # 125MB/s
        throughput = 125
        delete_on_termination = true
    }

↑

default_tags: AWSリソースすべてにデフォルトタグを付ける †

Default Tags in the Terraform AWS Provider
- Terraform 0.12 or later
- Terraform AWS Provider v3.38.0 or later
- AWS providerに実装されているので、他providerでは使えない

記事
- Terraformなら簡単に全AWSリソースに共通タグを設定できます | DevelopersIO

↑

AWS Provider Version 4でエラー †

Terraform AWS Provider Version 4 Upgrade Guide | Guides | hashicorp/aws | Terraform Registry
- 一部のリソースで非互換の変更が入り、エラーが出る
- 例: aws_s3_bucketがac, lifecycle_rule等複数リソースに分割された。aclのエラー「Can't configure a value for "acl": its value will be decided automatically」

aws providerのバージョンをv3.x以下に固定する。
- terraform本体のバージョンによって、自動でaws providerが固定されたり、構文が使えなかったりする
- terraform v0.14: aws provider v3.34.0が入る
- terraform v0.13以降
```
terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 3.74"
    }
  }
}
```
- terraform v0.12: aws provider v4が入ってエラーが出る場合
```
provider "aws" {
  profile = "example"
  region  = "ap-northeast-1"
  version = "< 4"
}
```

↑

AWS Provider Version 3でエラー †

Terraform AWS Provider Version 3 Upgrade Guide | Guides | hashicorp/aws | Terraform Registry
- 一部のリソースで非互換の変更が入り、エラーが出る。

aws providerのバージョンをv2.x以下に固定する。
- Specifying Provider Requirements
- terraform-provider-aws v2.70.0が最新そう。v2の最新にしてエラー等を確認する
- versions.tf
```
terraform {
  required_version = ">= 0.12"
  required_providers {
    aws = {
      version = "~> 2.70"
    }
  }
}
```

ソースをAWS Provider Version 3対応に修正する

ソースをv3対応後

versions.tf

terraform {
  required_version = ">= 0.12"
  required_providers {
    aws = {
      version = "~> 3.0"
    }
  }
}

記事
- Terraform で AWS Certificate Manager 無料証明書を発行する（AWS Provider 3.0.0 以降の場合） | Developers.IO

↑

is set of object with XX elements †

型が違う。正しい型に合わせるか、toset()を試してみる。

var.dns_count=1の時にリソースを作りたい。=0の時は作らない。

locals {
- domain_validation_options = var.dns_count > 0 ? aws_acm_certificate.example.domain_validation_options : {}
+ domain_validation_options = var.dns_count > 0 ? aws_acm_certificate.example.domain_validation_options : []
}

↑

既存リソースの参照 †

コード中に直接リソースIDを書くと、汎用性がなくなるので避けたい
dataリソースで、作成済みのリソースを参照できる。
作成済みのリソースでは、dataリソースから参照しやすいtagを付ける

例: vpcとsubnet

data "aws_vpc" "main" {
  filter {
    name   = "tag:Name"
    values = ["example-dev-main"]
  }
}

data "aws_subnet_ids" "private" {
  vpc_id = data.aws_vpc.main.id

  tags = {
    Tier = "Private"
  }
}

↑

data.aws_instance(s): 既存EC2の参照 †

AWS: aws_instance - Terraform by HashiCorp
- data一つにつき、EC2は1台のみ対応
- public_dns, private_ipも参照可能
- 複数のEC2が一致すると、「Error: Your query returned more than one result. Please try a more specific search criteria.」で失敗する。

aws_instances | Data Sources | hashicorp/aws | Terraform Registry
- data一つにつき、EC2は複数台
- public_ipsで参照できるが、dnsは非対応

data "aws_instances" "web" {
  instance_tags = {
    "Name" = "web-*"
  }

  instance_state_names = ["running", "stopped"]
}

# 参照する場合
# count   = length(data.aws_instances.web.ids)
# data.aws_instances.web.public_ips[count.index]

↑

AWS regionの取得 †

aws_region | Data Sources | hashicorp/aws | Terraform Registry
- module内から現在のaws providerのregionを取得したいなど

// "${data.aws_region.main.name}" として参照できる
data "aws_region" "main" {}

↑

AWS account_id/arn/user_idの取得 †

AWS: aws_caller_identity - Terraform by HashiCorp

// "${data.aws_caller_identity.main.account_id}" として参照できる
data "aws_caller_identity" "main" {}

↑

AMI †

記事
- Terraformで最新のCentOS 7のAMI IDを取得してEC2を構築する｜ Developers.IO
- Terraformで最新のAmazon Linux 2のAMI IDを取得してEC2を構築する｜ Developers.IO

↑

s3 bucketとobjectの生成 †

terraform v1.8
ループで複数オブジェクトを作成できるが、数が増えると遅そう。遅い場合aws-cliの「aws s3 sync」を検討した方が良い。
fileset(local.html_path, "**"): "*"で1階層のみ。"**"で下の階層も含む。
content_type を指定しないと、"application/octet-stream"になり、ダウンロードされる

locals {
  html_path = "./html/"
}

resource "aws_s3_bucket" "example" {
  bucket = "example-bucket"
}

resource "aws_s3_bucket_object" "example" {
  for_each = fileset(local.html_path, "**")
  bucket = aws_s3_bucket.example.bucket
  key = "${each.value}"
  source = "${local.html_path}${each.value}"
  etag = filemd5("${local.html_path}${each.value}")
  content_type = "text/html"
}

↑

root_block_device,ebs_block_deviceで分けて処理をしたい †

Issueで同様の要望が上がっているが、解決はしていない。
- tags support for *_block_device within aws_instance resources · Issue #4017 · terraform-providers/terraform-provider-aws

aws_instance内のvolume_tags だと、root_block_device, ebs_block_device 両方に同じタグが付く
ebs_block_device だけに任意のタグを付けたい場合。
- 新規構築であれば、aws_instance 内に ebs_block_device を書かない。後から変更できなくなる。「aws_ebs_volume」「aws_volume_attachment」と分けて書いた方が良さそう。ただ、その場合「delete_on_termination」が効かないので、手動でEC2をterminateした場合、追加したEBSはそのまま残る。

applyする場合。commandのexit codeが0だと、2回目実行されない。「command = "...; exit 1"」とするか、destroyする。
```
terraform apply -target null_resource.backup_web_ebs1
```

terraform v0.12.9: 「aws_instance.web[0].ebs_block_device[0].volume_id」がエラーになる。

resource "null_resource" "backup_web_ebs1" {
  count         = length(aws_instance.web)
  provisioner "local-exec" {
    command = <<EOD
aws ec2 create-tags \
--tags Key=backup:DailyBackup7Days,Value=${count.index == 0 ? true : false} \
--resources ${element(aws_instance.web[count.index].ebs_block_device[*].volume_id, 0)} \
--profile ${var.aws_profile} \
--region ${var.aws_region}
EOD
  }
}

terraform v0.11.14: 一度変数(locals)を使う必要があった。

locals {
  web_ebs1 = "${flatten(aws_instance.web.*.ebs_block_device)}"
}

resource "null_resource" "backup_web_ebs1" {
  count         = "${length(aws_instance.web.*.id)}"
  provisioner "local-exec" {
    command = <<EOD
aws ec2 create-tags \
--tags Key=backup:DailyBackup7Days,Value=${count.index == 0 ? true : false} \
--resources ${lookup(local.web_ebs1[count.index], "volume_id")} \
--profile ${var.aws_profile} \
--region ${var.aws_region}
EOD
  }
}

↑

aws_instance 内の ebs_block_device の volume_id の参照 †

AWS: aws_instance - Terraform by HashiCorp

ebs_block_device のデータ構造

list[
  list[
    map{},
    map{}
  ]
]

ouput部分を更新する場合。「terraform ouput」では新しくouputを追加したり、値が変わった場合でも変わらないので注意。
```
terraform refresh -target aws_instance.web
```

terraform v0.12.9:

output "ebs_test01" {
  value = "${aws_instance.web[0].ebs_block_device}"
}

# 結果
ebs_test01 = [
 {
   "delete_on_termination" = true
   "device_name" = "/dev/sdf"
   "encrypted" = false
   "iops" = 100
   "kms_key_id" = ""
   "snapshot_id" = ""
   "volume_id" = "vol-0123456789abcdef"
   "volume_size" = 5
   "volume_type" = "gp2"
 },
]

output "ebs_test02" {
  value = "${aws_instance.web[0].ebs_block_device[0].volume_id}"
}

# 結果: エラー
# Block type "ebs_block_device" is represented by a set of objects, and set
# elements do not have addressable keys. To find elements matching specific
# criteria, use a "for" expression with an "if" clause.

output "ebs_test03" {
  value = "${element(aws_instance.web[0].ebs_block_device[*].volume_id, 0)}"
}

# 結果
ebs_test03 = vol-0123456789abcdef

terraform v0.11.14: 構文解析がおかしい。element()がlist[map{}]構造だとエラーになる。

output "ebs_test01" {
  value = "${aws_instance.web.*.ebs_block_device}"
}

# result
ebs_test01 = [
    [
        map[delete_on_termination:1 device_name:/dev/sdf encrypted:1 iops:100 snapshot_id: volume_id:vol-0123456789abcdef volume_size:5 volume_type:gp2]
    ],
    [
        map[delete_on_termination:1 device_name:/dev/sdf encrypted:1 iops:100 snapshot_id: volume_id:vol-0f50829f1dfbc02ca volume_size:5 volume_type:gp2]
    ]
]

output "ebs_test02" {
  value = "${lookup(aws_instance.web.0.ebs_block_device[0], "volume_id")}"
}

# result
ebs_test02 = vol-0123456789abcdef

output "ebs_test04" {
  value = "${slice(flatten(aws_instance.web.*.ebs_block_device[0]), 0, 1)}"
}

# result
ebs_test04 = [
    {
        delete_on_termination = 1,
        device_name = /dev/sdf,
        encrypted = 1,
        iops = 100,
        snapshot_id = ,
        volume_id = vol-0123456789abcdef,
        volume_size = 5,
        volume_type = gp2
    }
]

↑

ACM †

記事
- TerraformでACM証明書を作成してみた｜ DevelopersIO

↑

EC2を作る時は、リソース毎に分ける †

AWS上のIDが分かれているリソース(EC2, EBS, SecurityGroup)を作る場合、ID毎にリソースを分けて作成する事で保守性が上がる。

aws_instance
- ebs_block_device をこのリソース内で定義できるが、apply後、EBSを追加しようとinstanceごと破棄 -> 再生成しようとするので保守性が悪い。

EBS:
- aws_ebs_volume , aws_volume_attachment に分ける。

↑

SNSメッセージをSlackへ通知 †

builtinnya/aws-sns-slack-terraform: A Terraform module which sends SNS events to Slack with AWS lambda function
- AWS SNS トピック通知を Slack に流す Terraform モジュールを作った - Lambdar
- Lambda: python 2.7, requests, slack webhook使用。
- autoscaling, elasticache, rds, codepipeline に対応。これらのメッセージは整形して表示される。

localでのテスト。slackへ送信される。

git clone https://github.com/builtinnya/aws-sns-slack-terraform.git
cd aws-sns-slack-terraform/
pip install requests --upgrade

export WEBHOOK_URL="hooks.slack.com/services/XXXXXXXXX/XXXXXXXXX/XXXXXXXXXXXXXXXXXXXXXXXX"
export CHANNEL_MAP=`echo '{ "production-notices": "#webhook-tests" }' | base64`
python sns-to-slack/lambda_function.py

# jqでjsonを整形して見たい場合。
| grep "DEBUG EVENT:" | cut -c 14- | jq .

LambdaのDEBUGログ等は、CloudWatch logs > ロググループ > /aws/lambda/sns-to-slack のストリームに出力される。
lambda_function.py の中にテスト用jsonが埋め込まれている。
- sns_event_template の ['Records'][0]['Sns']['Message'] 部分。「DEBUG EVENT:」はこの部分が出力される。
- slackへ送信される部分は DEBUG PAYLOAD: としてCloudWatch logsへ記録される

terraform-aws-modules/terraform-aws-notify-slack: Terraform module which creates SNS topic and Lambda function which sends notifications to Slack
- Lambda: python 3.6, urllib, slack webhook使用

↑

Lambda †

記事
- TerraformでLambda[Python]のデプロイするときのプラクティス｜ Developers.IO
- TerraformでLambdaをデプロイするときの小技 - Qiita archive_file を使って、コードをzip化してlambdaへアップロードまで。

↑

CloudFront †

TerraformでWAFとCloudFrontを連携する際のエラー対応ログ
- WAFv2の場合: web_acl_id = aws_wafv2_web_acl.example.arn
- WAFv1の場合: web_acl_id = aws_waf_web_acl.example.id

記事
- [AWS][Terraform]Cloudfrontを自動化してみた – ADACHIN SERVER LABO
- 【速報】TerraformがCloudFrontに対応しました｜ Developers.IO

↑

WAF †

記事
- TerraformでAWS WAFに複数（大量）のBlackListIPを登録する – サーバーワークスエンジニアブログ複数IP登録時には list型が使える
- Terraform v0.7.8でAWS WAFに対応しました｜ Developers.IO

↑

policy jsonの代わりに aws_iam_policy_document を使う †

terraformのドキュメントの例には「policy = <json>」のように書いてある部分もあるが、毎回差分が出る不具合があるので、aws_iam_policy_documentを使うと良さそう。

s3の場合、policyを書けるresourceが2つある。どちらか1箇所に書く。基本的に変更単位が最小になる方を使えば良い。
- aws_s3_bucket.example.policy
- aws_s3_bucket_policy.example.policy
- aws_s3_bucket_policy marked as modified on every apply regardless of changes · Issue #12524 · hashicorp/terraform terraform v0.11.8でも起こる

s3.tf: exampleバケットに対して、Webhosting用のPublic Read、IP制限をする場合

resource "aws_s3_bucket_policy" "example" {
    bucket = "${aws_s3_bucket.example.id}"
    policy = "${data.aws_iam_policy_document.s3_example_public_read.json}"
}

data "aws_iam_policy_document" "s3_example_public_read" {
  statement {
    sid = "IPAllow"
    effect = "Allow"

    principals {
      type = "*"
      identifiers = ["*"]
    }

    actions = [
      "s3:GetObject",
    ]

    resources = [
      "arn:aws:s3:::example/*",
    ]

    condition {
      test     = "IpAddress"
      variable = "aws:SourceIp"
      values = [
        "192.0.2.0/24",   # TEST-NET-1
        "198.51.100.0/24",# TEST-NET-2
        "203.0.113.0/24", # TEST-NET-3
      ]
    }
  }
}

記事:

TerraformでIAM Policyを書く方法5つ | DevelopersIO

↑

既存EC2にIAM roleを付けたい †

環境
- Terraform v0.10.7

iam_instance_profileを付けて、terraform applyしても反映されない。

aws cliのassociate-iam-instance-profile だと可能

aws ec2 associate-iam-instance-profile \
--instance-id i-123456 \
--iam-instance-profile "Name=example-role" \
--profile example
}

↑

セキュリティグループのルールはaws_security_group_ruleを使う †

terraform v0.12以降、dynamic block Memo/Terraform#qe9a135b を使う事で、変数に書けるようになった。
- aws_security_group_rule より書く行数が少なく、-target 指定しなくて良いため便利

aws_security_group_rule
- aws_security_groupにもruleは書けるが、plan時に順番が変わって、毎回diffとして表示されてしまう。diffも見難い。
- aws_security_groupとaws_security_group_ruleで、ルールを混在させない。混在すると、aplly後のplanで差分が出て、片方が消える。

記事
- terraform で aws_security_group の更新を安全に行う - Qiita

↑

No valid credential sources found for AWS Provider. †

チェックポイント
- terraformは「~/.aws/credentials」内のkeyしか読まない。このファイル内にクレデンシャルが必要。ansibleは「~/.aws/config」にkeyがあれば読んでくれるので誤解する。
```
cat ~/.aws/credentials
[myprofile]
aws_access_key_id = AK****
aws_secret_access_key = ****
```
- ちょっとしたフォーマットの違い(ダブルクオートの有無、スペースの有無等)で読めていない。一度セクションを消して、awsコマンドで生成する。
```
aws configure --profile myprofile
```

↑

tfファイル内で複数AWSアカウント、複数リージョンを扱う †

Multiple Provider Instances

tfファイルで、異なるリージョンを扱う。デフォルトproviderは必須のようで、存在しないとエラーになる(terraform v0.10.2)

variable "aws_profile" {} # awscli profile name. terraform plan/apply時にプロンプトを出す
provider "aws" {
  profile = "${var.aws_profile}"
  region  = "ap-northeast-1" # tokyo
}

provider "aws" {
  profile = "${var.aws_profile}"
  region  = "us-east-1"
  alias   = "us-east-1"
}

resource "aws_s3_bucket" "tokyo-example" {
  bucket = "tokyo.example.com"
  acl = "private"
}

resource "aws_s3_bucket" "us-east-1-example" {
  provider = "aws.us-east-1"
  bucket = "us-east-1.example.com"
  acl = "private"
}

作成済みリソースを terraform importする場合

terraform import aws_s3_bucket.tokyo-example tokyo.example.com

terraform v0.11等の古いバージョンで、別アカウントのリソースをインポートする場合。v1.0.11では-provider=は不要だった
```
terraform import -provider=aws.us-east-1 aws_s3_bucket.us-east-1-example virginia.example.com
```

↑

VPC Peering †

VPC ピア機能とは - Amazon Virtual Private Cloud
- 同じリージョンのみ対応
- CIDRが重複しない事

データソース
- AWS: aws_vpc_peering_connection - Terraform by HashiCorp リクエスタ側のデータソース

リソース
- AWS: aws_vpc_peering_connection - Terraform by HashiCorp リクエスタ側
- AWS: aws_vpc_peering_connection_accepter - Terraform by HashiCorp アクセプタ側
- allow_remote_vpc_dns_resolution=trueは機能しなかった(Terraform v0.9.11)

異なるAWSアカウント間で、VPC peeringを設定する
- アクセプタ側でVPC > ピア接続 > 選択 > アクション > 許可する
- 手動で許可する場合、terraform applyが必ず失敗する(auto_accept = false でも)。許可した後、もう一度実行が必要

aws.tf

variable "aws_region" { default = "ap-northeast-1" }
// リクエスタ側のAWS account情報. aws configure --profile <name> で設定しておく
variable "main_aws_profile" {}
variable "main_aws_vpc_id" { default = "vpc-aaaaa" }
variable "main_aws_route_table_id" { default = "rtb-11111111" }
variable "main_aws_cidr" { default = "172.31.0.0/16" }
provider "aws" {
  profile = "${var.main_aws_profile}"
  region  = "${var.aws_region}"
}

// "${data.aws_caller_identity.main.account_id}" として参照可能
data "aws_caller_identity" "main" {
}

// アクセプタ側のAWS account情報
variable "peer_aws_account_id" { default = "2222222222" }
variable "peer_vpc_id" { default = "vpc-bbbbb" }
variable "peer_vpc_cidr" { default = "10.5.0.0/16" }

iam.tf

output "aws_iam_role.vpc_peering.arn"     { value = "${aws_iam_role.vpc_peering.arn}" }
resource "aws_iam_role" "vpc_peering" {
    name               = "main-vpcpeering"
    assume_role_policy = "${data.aws_iam_policy_document.sts-assumerole.json}"
}

# AWS console上だとIAM > ロール > ロール名 > 信頼関係タブの部分
data "aws_iam_policy_document" "sts-assumerole" {
  statement {
    actions = [
      "sts:AssumeRole",
    ]
    effect = "Allow"
    principals = {
      type = "AWS"
      identifiers = [
        "arn:aws:iam::${var.peer_aws_account_id}:root",
      ]
    }
  }
}

# AWS console上だとIAM > ロール > ロール名 > アクセス許可タブ > インラインポリシーの部分
resource "aws_iam_role_policy" "vpc_peering" {
    name   = "main-vpcpeering"
    role   = "${aws_iam_role.vpc_peering.id}"
    policy = "${data.template_file.vpc_peering.rendered}"
}

data "template_file" "vpc_peering" {
  template = "${file("./policy/vpc-peering-connection.tpl")}"

  vars {
    aws_region          = "${var.aws_region}"
    main_aws_account_id = "${data.aws_caller_identity.main.account_id}"
    main_aws_vpc_id     = "${var.main_aws_vpc_id}"
    peer_aws_account_id = "${var.peer_aws_account_id}"
    peer_aws_vpc_id     = "${var.peer_vpc_id}"
  }
}

./policy/vpc-peering-connection.tpl

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:AcceptVpcPeeringConnection",
         "Resource":"arn:aws:ec2:${aws_region}:${main_aws_account_id}:vpc-peering-connection/*",
         "Condition":{
            "ArnEquals":{
               "ec2:RequesterVpc":"arn:aws:ec2:${aws_region}:${peer_aws_account_id}:vpc/${peer_aws_vpc_id}"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":"ec2:AcceptVpcPeeringConnection",
         "Resource":"arn:aws:ec2:${aws_region}:${main_aws_account_id}:vpc/${main_aws_vpc_id}"
      }
   ]
}

vpc_peering.tf

// Requester's side of the connection.
// https://www.terraform.io/docs/providers/aws/r/vpc_peering.html
resource "aws_vpc_peering_connection" "main" {
  vpc_id        = "${var.main_aws_vpc_id}"
  peer_vpc_id   = "${var.peer_vpc_id}"
  peer_owner_id = "${var.peer_aws_account_id}"
  auto_accept   = false

  tags {
    Name = "VPC Peering between main and peer"
    Side = "Requester"
  }
}

resource "aws_route" "main" {
  route_table_id            = "${var.main_aws_route_table_id}"
  destination_cidr_block    = "${var.peer_vpc_cidr}"
  vpc_peering_connection_id = "${aws_vpc_peering_connection.main.id}"
}

アクセプタ側のAWSアカウントも自分で管理している時

variable "peer_aws_route_table_id" { default = "rtb-22222" }
// Accepter's credentials.

provider "aws" {
  alias = "peer"
  profile = "peer" // aws configure --profile <name> で設定しておく
  region = "ap-northeast-1"
}

// Accepter's side of the connection.
// https://www.terraform.io/docs/providers/aws/r/vpc_peering_accepter.html
resource "aws_vpc_peering_connection_accepter" "peer" {
  provider                  = "aws.peer"
  vpc_peering_connection_id = "${aws_vpc_peering_connection.main.id}"
  auto_accept               = true

  tags {
    Name = "VPC Peering between main and peer"
    Side = "Accepter"
  }
}

resource "aws_route" "peer" {
  provider                  = "aws.peer"
  route_table_id            = "${var.peer_aws_route_table_id}"
  destination_cidr_block    = "${var.main_aws_cidr}"
  vpc_peering_connection_id = "${aws_vpc_peering_connection_accepter.peer.id}"
}

↑

EC2起動時にuser_dataを渡す †

ec2.tf

resource "aws_instance" "web01" {
...
  user_data = "${file("cloud-config.yaml")}"
...
}

↑

セキュリティグループを後から変更しようとするとEC2を作り直してしまう †

VPCの場合、security_groups ではなく vpc_security_group_ids を使う

↑

aws_nat_gateway †

AWS: aws_nat_gateway - Terraform by HashiCorp

subnet毎にnat-gatewayを作成

terraform v0.10.0

variable aws_subnets {
  type = "list"
  default = [
    "subnet-aaaa",  # AZ: ap-northeast-1a
    "subnet-cccc",  # AZ: ap-northeast-1c
  ]
}

resource "aws_nat_gateway" "gw" {
  allocation_id = "${aws_eip.gw.*.id[count.index]}"
  subnet_id     = "${var.aws_subnets[count.index]}"
  count         = "${length(var.aws_subnets)}"
}

resource "aws_eip" "gw" {
  vpc   = true
  count = "${length(var.aws_subnets)}"
}

↑

複数リソースの指定 †

Interpolation Syntax - Terraform by HashiCorp
- ${aws_instance.web.*.id} のように指定できる

EC2の数がsubnet数を超えても、AZが正しく振られるようにする

variable "ec2_subnets" { default = ["subnet-xxxx","subnet-xxxx","subnet-xxxx"] }

resource "aws_instance" "web" {
...
  count     = 4
  subnet_id = "${var.ec2_subnets[count.index % length(var.ec2_subnets)]}"
}

変数と配列を指定 v0.10.2

variable "cidr_common" { default = "192.168.2.1/32" }
variable "cidr_example" { default = ["192.168.1.0/24", "10.5.1.0/24"] }

resource "aws_security_group" "common" {
...
  cidr_blocks = [
    "${var.cidr_common}",
    "${var.cidr_example}"
  ]

EC2インスタンスにEIPを付ける v0.10.2

variable "instance_count_web"       { default = 1 }

# aws_elbは複数リソースがそのまま指定できる
resource "aws_elb" "frontend" {
    instances = ["${aws_instance.web.*.id}"]
}

# aws_eipは一つのリソースしか指定できないので変換して渡す
resource "aws_eip" "web" {
    count = "${var.instance_count_web}"
    instance = "${element(aws_instance.web.*.id, count.index)}"
    vpc = true
}

Resource '～' not found for variable '～.1.id': 「.0.id」はアクセスできるが、「.1.id」がエラーになった。terraformの不具合か分からないが、以下の様に明示的に指定できる
```
"${element(aws_instance.web.*.id, 1)}"
```

↑

RDS †

AWS: aws_db_instance - Terraform by HashiCorp

↑

EC2-Classic上に作る場合の注意 †

classic network上にRDSを作る場合にsubnetのエラーが出る。v0.12.30 で確認

Error: Error creating DB Instance: InvalidVPCNetworkStateFault: Cannot create the DB Instance because db subnet group has not been specified which is required for a private DBInstance creation.

解決:

「publicly_accessible = true」が必要

↑

連絡先

TreeView

Memo (701)
- 2FA-MFA
- ACDSee
- ASP
- ASP.NET
- Adobe
- Affiliate
- Aipo
- Akelos (3)
  - sample (2)
    - ajax
    - pref
- Algorithm (1)
  - image
- Aliyun (1)
  - cli
- AmazonWebServices (85)
  - ACM
  - APIGateway
  - Alexa
  - Athena (2)
    - CloudTrail
    - Example
  - Backup
  - Batch
  - Bedrock
  - Billing
  - CDK
  - Chatbot
  - CloudFormation
  - CloudFront
  - CloudSearch
  - CloudTrail
  - CloudWatch
  - CodeBuild
  - CodeCommit
  - CodeDeploy
  - CodePipeline
  - Configservice
  - Connect
  - DataPipeline
  - Detective
  - DirectConnect
  - DirectoryService
  - DocumentDB
  - DynamoDB
  - EC2 (5)
    - AMI
    - DLM
    - EBS
    - ec2-metadata-mock
    - mock-ec2-metadata
  - EC2-classic
  - ECR
  - EKS
  - ELB
  - EMR
  - ElastiCache
  - ElasticBeanstalk
  - Fargate
  - FireLens
  - Glacier
  - Glue
  - GuardDuty
  - Health
  - IAM
  - IPv6
  - IoT
  - KinesisDataFirehose
  - Lambda
  - OpenSearch(Elasticsearch)
  - Organizations
  - QuickSight
  - R53
  - RDS (1)
    - Aurora
  - Route53
  - S3
  - SDB
  - SDK (1)
    - Python
  - SES
  - SNS
  - SSO
  - SecretsManager
  - SystemsManager
  - VPC
  - VPN
  - WAF
  - awscli (12)
    - CloudWatch
    - DynamoDB
    - EC2
    - RDS
    - S3
    - backup
    - ce
    - elb
    - error
    - parallel
    - route53
    - v2
- Amazon_Dash_Button
- Amazon_Fire_TV_Stick
- Amazon_Fire_Tablet
- Android (15)
  - AIR
  - ASUS_EeePad_Transformer
  - ASUS_Nexus7
  - ASUS_ZenFone_Max_Pro_M1
  - GALAXY_Tab
  - HTC_Butterfly_s
  - HTC_Desire
  - HTC_Desire_HD
  - HTC_Desire_Z
  - HTC_HT-03A
  - Lenovo_Legion_Y700_2023
  - SHARP_AQUOS_sense4_lite
  - adk
  - app
  - sdk
- Ansible (20)
  - AWS
  - AWX
  - Error
  - Facts
  - Filters
  - Galaxy
  - Install
  - Jinja2
  - Lookups
  - Loops
  - Tower
  - Troubleshooting
  - Validation
  - Variables
  - Vault
  - Windows
  - ldap
  - local_action
  - module_development
  - set_fact
- AppleTV
- Arduino
- ArtificialIntelligence (1)
  - MachineLearning
- Atlassian
- AugmentedReality
- BBS
- Backlog
- Bazaar
- Becky
- Blog
- Blynk
- Browser
- C
- C++
- CDN
- CSS
- ChaosEngineering
- CircleCI
- CloudComputing
- Cloudflare
- ComputerSecurity
- Consul
- Creative
- DNS
- DTM
- Database (1)
  - ツリー(階層)構造の設計
- Datadog
- Docker (4)
  - Dockerfile
  - Kubernetes
  - k3s
  - nomad
- Doxygen
- Dropbox
- DuckDB
- E-book (4)
  - BOOKSCAN
  - Calibre
  - NOOK
  - edit
- EC-CUBE
- EOL
- Electron
- English
- EstimateTechnique
- Evernote
- Excel
- F-PLUG
- F-Secure_PSB
- FFmpeg
- Fabric
- Filer
- Flash (1)
  - Lite
- Flex
- Fonts
- FreeWLAN
- GIS
- Gainer
- Game
- GameDev
- Geolocation
- GlusterFS
- Google (10)
  - AdSense
  - Apps_Script
  - Docs
  - Drive
  - Gemini
  - Gmail
  - NotebookLM
  - SpreadSheet
  - Workspace
  - reCAPTCHA
- GoogleCloudPlatform
- Google_Chromecast
- Gradle
- Grafana (9)
  - API
  - Athena
  - CloudWatch
  - GoogleBigQuery
  - Loki
  - Troubleshooting
  - Zabbix
  - docker
  - plugins
- GraphQL
- Graphics
- Graphviz
- HTML (1)
  - 5
- Heroku (2)
  - Papertrail
  - herokucli
- IPTV
- IPv6
- ImageProcessing
- InfoPath (1)
  - JScript
- IntelliJ_IDEA
- IoT
- JAWBONE_UP
- Java (8)
  - Eclipse (1)
    - Cray
  - Eclipse3.1でiアプリ開発
  - Maven
  - Tomcat
  - log4j
  - 携帯 (1)
    - サンプル
- JavaScript (1)
  - jq
- Jenkins
- JupyterNotebook
- LVGL
- LXC
- LibreOffice
- LifeHacks
- Linux (139)
  - AlmaLinux (2)
    - 10
    - 9
  - AntiVirus
  - Apache
  - Archiver
  - Bash
  - BitTorrent
  - CVS
  - CentOS (5)
    - 5
    - 6
    - 7
    - 8
    - Stream
  - CentOS4
  - Chrony
  - ClamAV
  - Disk
  - Dragonfly
  - Duplicity
  - Fedora core 1
  - Fedora core 5 (2)
    - VMware server
    - samba3.0
  - Firecracker
  - Fluent-Bit
  - Fluentd(td-agent) (1)
    - Errors
  - Heartbeat
  - HyperEstraier
  - InitScript
  - LVM
  - LVS
  - Linuxbrew
  - LiteSpeed
  - Mailman
  - Makefile
  - Memcached
  - Monit
  - Monitoring
  - Munin
  - Namazu
  - OSS-license
  - OpenLDAP (1)
    - WebUI
  - OpenResty
  - Pacemaker
  - Redhat Enterprise Linux ES3
  - Redhat Enterprise Linux ES4
  - SC420 (6)
    - MySQL5.0
    - PostgreSQL8.0
    - Subversion
    - eAccelerator0.9.3
    - php5.0
    - 外部公開(DMZ)
  - SELinux
  - SSL
  - ShellScript
  - Vyatta
  - WebCamera
  - Zabbix (14)
    - 1.8jp
    - 2.0
    - 2.2
    - 2.4
    - 3.0
    - 4.0
    - 5.0
    - 6.0
    - 7.0
    - API
    - AWS
    - Error
    - Template
    - docker
  - ag
  - anyenv
  - audit
  - cloud-init
  - comm
  - command
  - curl
  - datetime
  - denyhosts
  - diff
  - dnf
  - dnsmasq
  - fail2ban
  - find
  - firewalld
  - fzf
  - grep
  - haproxy
  - iptables
  - jailkit
  - jc
  - less
  - lftp
  - logrotate
  - lsof
  - mail
  - mdadm
  - nftables
  - nginx
  - ntp
  - parallel
  - pdsh
  - peco
  - postfix
  - pure-ftpd
  - rclone
  - rdiff-backup
  - redis
  - resolv.conf
  - rootsh
  - rpm
  - rsync
  - samba
  - servicelist
  - socat
  - source-highlight
  - ss
  - ssh
  - sudo
  - symlink
  - syslog
  - systemd
  - taRgrey
  - tcpflow
  - tmux
  - vim
  - vsftpd
  - webdruid
  - wget
  - xargs
  - yum
  - zphoto
- Lua
- MSOffice
- MacOS X (2)
  - Homebrew
  - app
- MariaDB
- Markdown
- MessagePack
- MicrosoftVisualStudio
- MongoDB
- Movie
- Mp3tag
- MySQL (5)
  - 5.5
  - 5.7
  - 8.0
  - Error
  - docker
- NETGEAR_ReadyNAS
- NLP
- NetworkNotepad
- NoSQL
- Node.js
- Notion
- OCR
- ODROID
- OSRM
- OSSEC
- OpenOfficeOrg
- OpenTofu
- OpenVPN
- OpenWrt (7)
  - Buffalo_WSR-2533DHP
  - ELECOM_WRC-X3200GST3
  - Package (4)
    - adblock
    - ddns
    - luci
    - openvpn
- Opera
- Oracle
- PC
- PC98
- PDF
- PHP (35)
  - Bug
  - CakePHP
  - Composer
  - Excelファイル生成
  - Google
  - PEAR (11)
    - Auth
    - Cache_Lite
    - DB
    - DB_DataObject
    - File_Archive
    - HTML_QuickForm
    - MDB2
    - QuickForm
    - SQLite
    - Services_Amazon
    - session_pgsql
  - PECL (1)
    - oauth
  - PHP Accelerator
  - SOAP
  - Smarty
  - XML_RPC
  - Xdebug
  - eAccelerator (1)
    - CentOS5.2
  - log4php
  - phpでSSL通信
  - qdmail
  - rss
  - simpletest
  - wkhtmltox
  - xhprof
  - フレームワーク
  - ベンチマーク
- PSP
- PT2 (2)
  - CentOS
  - Ubuntu
- Packer
- Parquet
- PayPal
- Perl (1)
  - OneLiner
- PhantomJS
- Photoshop
- PlantUML
- Poderosa
- Podman
- PostgreSQL (3)
  - constraint
  - pgpool
  - pgpool-II
- PowerPoint
- Programming
- Prometheus
- Puppet (5)
  - Geppetto
  - hiera
  - v3.x
  - v5.x
  - v8
- Python (7)
  - AWS
  - Error
  - Poetry
  - install
  - luigi
  - pip
  - test
- QRCode
- RADIUS
- REST_API
- RFID
- RabbitMQ
- Rackspace
- Raspberry_Pi (3)
  - ANAVI_Infrared_pHAT
  - DNSB-35137
  - co2
- RecordingServer
- Redash
- Redmine
- RegularExpression
- Rlogin
- Ruby (1)
  - Rails
- Rundeck
- Rust
- SQL
- SQLite
- SSO
- SakuraEditor
- SendGrid
- Server
- Skype
- Slack
- SoftEther (1)
  - Raspberry_Pi
- Solaris
- Stashboard
- Subversion (6)
  - Install
  - trac (4)
- SwitchBot
- Taskfile
- Tauri
- Terraform (12)
  - Error
  - G_Suite
  - GoogleCloud
  - aliyun
  - aws (1)
    - Errors
  - dynamic-block
  - for_each
  - heroku
  - legacy
  - provider
  - random
- ThinkPad
- Trac
- Traefik
- TrendMicroDeepSecurity
- Twitter
- TypeScript
- USB-IO
- Ubuntu (1)
  - Error
- Unity
- VMware
- VOCALOID
- Vagrant (4)
  - Errors
  - Windows
  - box
  - macOS
- VictoriaMetrics
- VirtualBox
- Visio
- VisualStudioCode (1)
  - AWS
- VxWorks
- WebBrowser (5)
  - Chrome
  - Chromium
  - Firefox (1)
    - PreBar
  - Vivaldi
- Wiki (4)
  - BlockingSpam
  - dev
  - docker
  - 広告
- Windows (28)
  - .NET_Framework
  - 10 (12)
    - WSL (11)
      - 2
      - CentOS
      - Docker
      - Install
      - Ubuntu
      - ssh-agent-wsl
      - wsl-ssh-agent
      - wsl-terminal
      - wsl2-ssh-agent
      - wslgit
      - wsltty
  - 11
  - 7
  - 8
  - ATOK
  - BatchFile
  - EventLog
  - Firewall
  - PackageManagement
  - PowerShell
  - VirtualPC
  - WSA
  - WindowsTerminal
  - winget
  - エラー
- WindowsMobile (3)
  - Link
  - Software
  - ssh
- Wireshark
- Word
- WordPress
- XBMC (2)
  - CentOS
  - Ubuntu
- Xamarin
- YAMAHA-RTX
- antivirus
- backup (1)
  - AcronisTrueImage
- company
- containerd
- csvtsv
- dd-wrt (7)
  - Buffalo_WHR-G301N
  - Buffalo_WXR-1900DHP
  - Buffalo_WZR-1166DHP
  - Buffalo_WZR-1750DHP
  - Buffalo_WZR-D1800H
  - Buffalo_WZR-HP-AG300H
  - Buffalo_WZR-HP-G300NH
- draw.io
- facebook
- favorite
- git (5)
  - Bitbucket
  - GitHub (3)
    - Actions (2)
      - AWS
      - act
- golang
- iPhone (2)
  - app
  - sdk
- iPod
- jQuery
- keepass
- localstack
- mbed
- mise
- mobile
- pandoc
- printer
- programmer
- serverspec
- soracom
- spam
- telework
- twilio
- web
- wkhtmltopdf
- yaml (1)
  - yq
- ユーザビリティ
- 個人情報保護法
- 航空機用語
- 就職
- 設計開発
- 素材集
- 相続
- 用語
- FrontPage
  - - instag.inc.php