AWS †

• 記事
  • TerraformでAWS環境の構築する時に良く使う書き方 - Qiita
  • TerraformでAWS Configを有効化する | サーバーワークス エンジニアブログ

---

SNSメッセージをSlackへ通知 †

• builtinnya/aws-sns-slack-terraform: A Terraform module which sends SNS events to Slack with AWS lambda function
  • AWS SNS トピック通知を Slack に流す Terraform モジュールを作った - Lambdar
  • Lambda: python 2.7, requests, slack webhook使用。
  • autoscaling, elasticache, rds, codepipeline に対応。これらのメッセージは整形して表示される。

• localでのテスト。slackへ送信される。

  git clone https://github.com/builtinnya/aws-sns-slack-terraform.git
  cd aws-sns-slack-terraform/
  pip install requests --upgrade
  
  export WEBHOOK_URL="hooks.slack.com/services/XXXXXXXXX/XXXXXXXXX/XXXXXXXXXXXXXXXXXXXXXXXX"
  export CHANNEL_MAP=`echo '{ "production-notices": "#webhook-tests" }' | base64`
  python sns-to-slack/lambda_function.py
  
  # jqでjsonを整形して見たい場合。
  | grep "DEBUG EVENT:" | cut -c 14- | jq .

• LambdaのDEBUGログ等は、CloudWatch logs > ロググループ > /aws/lambda/sns-to-slack のストリームに出力される。
• lambda_function.py の中にテスト用jsonが埋め込まれている。
  • sns_event_template の ['Records'][0]['Sns']['Message'] 部分。「DEBUG EVENT:」はこの部分が出力される。
  • slackへ送信される部分は DEBUG PAYLOAD: としてCloudWatch logsへ記録される

---

• terraform-aws-modules/terraform-aws-notify-slack: Terraform module which creates SNS topic and Lambda function which sends notifications to Slack
  • Lambda: python 3.6, urllib, slack webhook使用

---

Lambda †

• 記事
  • TerraformでLambdaをデプロイするときの小技 - Qiita archive_file を使って、コードをzip化してlambdaへアップロードまで。

---

CloudFront †

• 記事
  • [AWS][Terraform]Cloudfrontを自動化してみた – ADACHIN SERVER LABO
  • 【速報】TerraformがCloudFrontに対応しました ｜ Developers.IO

---

WAF †

• 記事
  • TerraformでAWS WAFに複数（大量）のBlackListIPを登録する – サーバーワークスエンジニアブログ 複数IP登録時には list型が使える
  • Terraform v0.7.8でAWS WAFに対応しました ｜ Developers.IO

---

policy jsonの代わりに aws_iam_policy_document を使う †

terraformのドキュメントの例には「policy = <json>」のように書いてある部分もあるが、毎回差分が出る不具合があるので、aws_iam_policy_documentを使うと良さそう。

• s3の場合、policyを書けるresourceが2つある。どちらか1箇所に書く。基本的に変更単位が最小になる方を使えば良い。
  • aws_s3_bucket.example.policy
  • aws_s3_bucket_policy.example.policy
  • aws_s3_bucket_policy marked as modified on every apply regardless of changes · Issue #12524 · hashicorp/terraform terraform v0.11.8でも起こる

• s3.tf: exampleバケットに対して、Webhosting用のPublic Read、IP制限をする場合

  resource "aws_s3_bucket_policy" "example" {
      bucket = "${aws_s3_bucket.example.id}"
      policy = "${data.aws_iam_policy_document.s3_example_public_read.json}"
  }
  
  data "aws_iam_policy_document" "s3_example_public_read" {
    statement {
      sid = "IPAllow"
      effect = "Allow"
  
      principals {
        type = "*"
        identifiers = ["*"]
      }
  
      actions = [
        "s3:GetObject",
      ]
  
      resources = [
        "arn:aws:s3:::example/*",
      ]
  
      condition {
        test     = "IpAddress"
        variable = "aws:SourceIp"
        values = [
          "192.0.2.0/24",   # TEST-NET-1
          "198.51.100.0/24",# TEST-NET-2
          "203.0.113.0/24", # TEST-NET-3
        ]
      }
    }
  }

---

既存EC2にIAM roleを付けたい †

• 環境
  • Terraform v0.10.7

• iam_instance_profileを付けて、terraform applyしても反映されない。
• aws cliのassociate-iam-instance-profile だと可能

  aws ec2 associate-iam-instance-profile \
  --instance-id i-123456 \
  --iam-instance-profile "Name=example-role" \
  --profile example
  }

---

セキュリティグループルールはaws_security_group_ruleを使う †

ルールの追加は「aws_security_group_rule」推奨。 aws_security_groupに書くとplan時に順番が変わって、diffとして表示されてしまう。

• AWS: aws_security_group_rule - Terraform by HashiCorp

• 記事
  • terraform で aws_security_group の更新を安全に行う - Qiita

---

No valid credential sources found for AWS Provider. †

• チェックポイント
  • terraformは「~/.aws/credentials」内のkeyしか読まない。このファイル内にクレデンシャルが必要。ansibleは「~/.aws/config」にkeyがあれば読んでくれるので誤解する。

    cat ~/.aws/credentials
    [myprofile]
    aws_access_key_id = AK****
    aws_secret_access_key = ****

  • ちょっとしたフォーマットの違い(ダブルクオートの有無、スペースの有無等)で読めていない。一度セクションを消して、awsコマンドで生成する。

    aws configure --profile myprofile

---

tfファイル内で複数AWSアカウント、複数リージョンを扱う †

• Multiple Provider Instances

• tfファイルで、異なるリージョンを扱う。デフォルトproviderは必須のようで、存在しないとエラーになる(terraform v0.10.2)

  variable "aws_profile" {} # awscli profile name. terraform plan/apply時にプロンプトを出す
  provider "aws" {
    profile = "${var.aws_profile}"
    region  = "ap-northeast-1" # tokyo
  }
  
  provider "aws" {
    profile = "${var.aws_profile}"
    region  = "us-east-1"
    alias   = "us-east-1"
  }
  
  resource "aws_s3_bucket" "tokyo-example" {
    bucket = "tokyo.example.com"
    acl = "private"
  }
  
  resource "aws_s3_bucket" "us-east-1-example" {
    provider = "aws.us-east-1"
    bucket = "us-east-1.example.com"
    acl = "private"
  }

• 作成済みリソースを terraform importする場合

  terraform import aws_s3_bucket.tokyo-example tokyo.example.com
  terraform import -provider=aws.us-east-1 aws_s3_bucket.us-east-1-example virginia.example.com

---

VPC Peering †

• VPC ピア機能とは - Amazon Virtual Private Cloud
  • 同じリージョンのみ対応
  • CIDRが重複しない事

• データソース
  • AWS: aws_vpc_peering_connection - Terraform by HashiCorp リクエスタ側のデータソース

• リソース
  • AWS: aws_vpc_peering_connection - Terraform by HashiCorp リクエスタ側
  • AWS: aws_vpc_peering_connection_accepter - Terraform by HashiCorp アクセプタ側
  • allow_remote_vpc_dns_resolution=trueは機能しなかった(Terraform v0.9.11)

• 異なるAWSアカウント間で、VPC peeringを設定する
  • アクセプタ側でVPC > ピア接続 > 選択 > アクション > 許可する
  • 手動で許可する場合、terraform applyが必ず失敗する(auto_accept = false でも)。許可した後、もう一度実行が必要

• aws.tf

  variable "aws_region" { default = "ap-northeast-1" }
  // リクエスタ側のAWS account情報. aws configure --profile <name> で設定しておく
  variable "main_aws_profile" {}
  variable "main_aws_vpc_id" { default = "vpc-aaaaa" }
  variable "main_aws_route_table_id" { default = "rtb-11111111" }
  variable "main_aws_cidr" { default = "172.31.0.0/16" }
  provider "aws" {
    profile = "${var.main_aws_profile}"
    region  = "${var.aws_region}"
  }
  
  // "${data.aws_caller_identity.main.account_id}" として参照可能
  data "aws_caller_identity" "main" {
  }
  
  // アクセプタ側のAWS account情報
  variable "peer_aws_account_id" { default = "2222222222" }
  variable "peer_vpc_id" { default = "vpc-bbbbb" }
  variable "peer_vpc_cidr" { default = "10.5.0.0/16" }

• iam.tf

  output "aws_iam_role.vpc_peering.arn"     { value = "${aws_iam_role.vpc_peering.arn}" }
  resource "aws_iam_role" "vpc_peering" {
      name               = "main-vpcpeering"
      assume_role_policy = "${data.aws_iam_policy_document.sts-assumerole.json}"
  }
  
  # AWS console上だとIAM > ロール > ロール名 > 信頼関係タブの部分
  data "aws_iam_policy_document" "sts-assumerole" {
    statement {
      actions = [
        "sts:AssumeRole",
      ]
      effect = "Allow"
      principals = {
        type = "AWS"
        identifiers = [
          "arn:aws:iam::${var.peer_aws_account_id}:root",
        ]
      }
    }
  }
  
  # AWS console上だとIAM > ロール > ロール名 > アクセス許可タブ > インラインポリシーの部分
  resource "aws_iam_role_policy" "vpc_peering" {
      name   = "main-vpcpeering"
      role   = "${aws_iam_role.vpc_peering.id}"
      policy = "${data.template_file.vpc_peering.rendered}"
  }
  
  data "template_file" "vpc_peering" {
    template = "${file("./policy/vpc-peering-connection.tpl")}"
  
    vars {
      aws_region          = "${var.aws_region}"
      main_aws_account_id = "${data.aws_caller_identity.main.account_id}"
      main_aws_vpc_id     = "${var.main_aws_vpc_id}"
      peer_aws_account_id = "${var.peer_aws_account_id}"
      peer_aws_vpc_id     = "${var.peer_vpc_id}"
    }
  }

• ./policy/vpc-peering-connection.tpl

  {
     "Version":"2012-10-17",
     "Statement":[
        {
           "Effect":"Allow",
           "Action":"ec2:AcceptVpcPeeringConnection",
           "Resource":"arn:aws:ec2:${aws_region}:${main_aws_account_id}:vpc-peering-connection/*",
           "Condition":{
              "ArnEquals":{
                 "ec2:RequesterVpc":"arn:aws:ec2:${aws_region}:${peer_aws_account_id}:vpc/${peer_aws_vpc_id}"
              }
           }
        },
        {
           "Effect":"Allow",
           "Action":"ec2:AcceptVpcPeeringConnection",
           "Resource":"arn:aws:ec2:${aws_region}:${main_aws_account_id}:vpc/${main_aws_vpc_id}"
        }
     ]
  }

• vpc_peering.tf

  // Requester's side of the connection.
  // https://www.terraform.io/docs/providers/aws/r/vpc_peering.html
  resource "aws_vpc_peering_connection" "main" {
    vpc_id        = "${var.main_aws_vpc_id}"
    peer_vpc_id   = "${var.peer_vpc_id}"
    peer_owner_id = "${var.peer_aws_account_id}"
    auto_accept   = false
  
    tags {
      Name = "VPC Peering between main and peer"
      Side = "Requester"
    }
  }
  
  resource "aws_route" "main" {
    route_table_id            = "${var.main_aws_route_table_id}"
    destination_cidr_block    = "${var.peer_vpc_cidr}"
    vpc_peering_connection_id = "${aws_vpc_peering_connection.main.id}"
  }

• アクセプタ側のAWSアカウントも自分で管理している時

  variable "peer_aws_route_table_id" { default = "rtb-22222" }
  // Accepter's credentials.
  
  provider "aws" {
    alias = "peer"
    profile = "peer" // aws configure --profile <name> で設定しておく
    region = "ap-northeast-1"
  }
  
  // Accepter's side of the connection.
  // https://www.terraform.io/docs/providers/aws/r/vpc_peering_accepter.html
  resource "aws_vpc_peering_connection_accepter" "peer" {
    provider                  = "aws.peer"
    vpc_peering_connection_id = "${aws_vpc_peering_connection.main.id}"
    auto_accept               = true
  
    tags {
      Name = "VPC Peering between main and peer"
      Side = "Accepter"
    }
  }
  
  resource "aws_route" "peer" {
    provider                  = "aws.peer"
    route_table_id            = "${var.peer_aws_route_table_id}"
    destination_cidr_block    = "${var.main_aws_cidr}"
    vpc_peering_connection_id = "${aws_vpc_peering_connection_accepter.peer.id}"
  }

---

AWS account_id/arn/user_idの取得 †

• AWS: aws_caller_identity - Terraform by HashiCorp

// "${data.aws_caller_identity.main.account_id}" として参照できる
data "aws_caller_identity" "main" {}

---

EC2起動時にuser_dataを渡す †

• ec2.tf

  resource "aws_instance" "web01" {
  ...
    user_data = "${file("cloud-config.yaml")}"
  ...
  }

---

セキュリティグループを後から変更しようとするとEC2を作り直してしまう †

• VPCの場合、security_groups ではなく vpc_security_group_ids を使う

---

aws_nat_gateway †

• AWS: aws_nat_gateway - Terraform by HashiCorp

• subnet毎にnat-gatewayを作成
• terraform v0.10.0

  variable aws_subnets {
    type = "list"
    default = [
      "subnet-aaaa",  # AZ: ap-northeast-1a
      "subnet-cccc",  # AZ: ap-northeast-1c
    ]
  }
  
  resource "aws_nat_gateway" "gw" {
    allocation_id = "${aws_eip.gw.*.id[count.index]}"
    subnet_id     = "${var.aws_subnets[count.index]}"
    count         = "${length(var.aws_subnets)}"
  }
  
  resource "aws_eip" "gw" {
    vpc   = true
    count = "${length(var.aws_subnets)}"
  }

---

複数リソースの指定 †

• Interpolation Syntax - Terraform by HashiCorp
  • ${aws_instance.web.*.id} のように指定できる

• EC2の数がsubnet数を超えても、AZが正しく振られるようにする

variable "ec2_subnets" { default = ["subnet-xxxx","subnet-xxxx","subnet-xxxx"] }

resource "aws_instance" "web" {
...
  count     = 4
  subnet_id = "${var.ec2_subnets[count.index % length(var.ec2_subnets)]}"
}

• 変数と配列を指定 v0.10.2

  variable "cidr_common" { default = "192.168.2.1/32" }
  variable "cidr_example" { default = ["192.168.1.0/24", "10.5.1.0/24"] }
  
  resource "aws_security_group" "common" {
  ...
    cidr_blocks = [
      "${var.cidr_common}",
      "${var.cidr_example}"
    ]

• EC2インスタンスにEIPを付ける v0.10.2

  variable "instance_count_web"       { default = 1 }
  
  # aws_elbは複数リソースがそのまま指定できる
  resource "aws_elb" "frontend" {
      instances = ["${aws_instance.web.*.id}"]
  }
  
  # aws_eipは一つのリソースしか指定できないので変換して渡す
  resource "aws_eip" "web" {
      count = "${var.instance_count_web}"
      instance = "${element(aws_instance.web.*.id, count.index)}"
      vpc = true
  }

• Resource '〜' not found for variable '〜.1.id': 「.0.id」はアクセスできるが、「.1.id」がエラーになった。terraformの不具合か分からないが、以下の様に明示的に指定できる

  "${element(aws_instance.web.*.id, 1)}"

---

RDS †

AWS: aws_db_instance - Terraform by HashiCorp

• classic network上にRDSを作る場合にsubnetのエラーが出る。v0.8.6で確認
  • 「publicly_accessible = true」が必要