Terraform ist ein relativ neues Projekt (wie die meisten DevOps-Tools), das 2014 gestartet wurde.

Terraform ist leistungsfähig (wenn nicht sogar das leistungsfähigste, das es derzeit gibt) und eines der am häufigsten verwendeten Tools, das die Verwaltung der Infrastruktur als Code ermöglicht. Es erlaubt Entwicklern eine Menge Dinge zu tun und schränkt sie nicht ein, Dinge zu tun, die schwer zu unterstützen oder zu integrieren sind.

Einige der in diesem Buch beschriebenen Informationen mögen nicht als die besten Praktiken erscheinen. Ich weiß das, und um den Lesern zu helfen, zu unterscheiden, was bewährte Praktiken sind und was nur eine andere Art ist, Dinge zu tun, verwende ich manchmal Hinweise, um etwas Kontext zu liefern, und Symbole, um den Reifegrad jedes Unterabschnitts in Bezug auf bewährte Praktiken anzugeben.

Das Buch ist 2018 im sonnigen Madrid entstanden und ist hier kostenlos erhältlich - https://www.terraform-best-practices.com/ .

Ein paar Jahre später wurde es mit mehr aktuellen Best Practices aktualisiert, die mit Terraform 1.0 verfügbar waren. Letztendlich sollte dieses Buch die meisten der unbestrittenen besten Praktiken und Empfehlungen für Terraform-Nutzer enthalten.

Sponsoren

Please if you want to become a sponsor.

Übersetzungen

Kontaktieren Sie mich, wenn Sie bei der Übersetzung dieses Buches in andere Sprachen helfen wollen.

Beiträge

Ich möchte immer Rückmeldungen erhalten und dieses Buch aktualisieren, wenn die Gemeinschaft reift und neue Ideen umgesetzt und überprüft werden.

Wenn Sie an bestimmten Themen interessiert sind, oder bewerten Sie ein Issue mit einem Daumen-hoch, von dem Sie möchten, dass es am meisten behandelt werden soll. Wenn Sie das Gefühl haben, dass Sie Inhalte haben und einen Beitrag leisten wollen, schreiben Sie einen Entwurf und reichen Sie einen Pull Request ein (machen Sie sich zu diesem Zeitpunkt keine Sorgen über einen guten Textstil!)

Autoren

Dieses Buch wird von mit Hilfe verschiedener Mitwirkender und Übersetzer gepflegt.

Lizenzen

Dieses Projekt steht unter der Apache-2-Lizenz. Siehe LICENSE für weitere Details.

Die Autoren und Mitwirkenden an diesem Inhalt können die Gültigkeit der hier gefundenen Informationen nicht garantieren. Bitte vergewissern Sie sich, dass Sie verstehen, dass die hier zur Verfügung gestellten Informationen frei zur Verfügung gestellt werden und dass keine Art von Vereinbarung oder Vertrag zwischen Ihnen und Personen, die mit diesem Inhalt oder Projekt in Verbindung stehen, entsteht. Die Autoren und Mitwirkenden übernehmen keine Haftung für Verluste, Schäden oder Störungen, die durch Fehler oder Auslassungen in den Informationen verursacht werden, die in diesem Inhalt enthalten sind, mit ihm in Verbindung stehen oder mit ihm verlinkt sind, unabhängig davon, ob solche Fehler oder Auslassungen auf Fahrlässigkeit, Unfälle oder andere Ursachen zurückzuführen sind.

Copyright © 2018-2023 Anton Babenko.

Die offizielle Terraform-Dokumentation beschreibt alle Aspekte der Konfiguration im Detail. Lesen Sie sie sorgfältig, um den Rest dieses Abschnitts zu verstehen.

In diesem Abschnitt werden die wichtigsten Konzepte beschrieben, die in diesem Buch verwendet werden.

Ressource

aws_vpc, aws_db_instance und andere sind Beispiele für Ressourcen. Eine Ressource gehört zu einem Provider, akzeptiert Argumente, gibt Attribute aus und hat Lebenszyklen. Eine Ressource kann erstellt, abgerufen, aktualisiert und gelöscht werden.

Ressourcenmodule

Ein Ressourcenmodul ist eine Sammlung zusammenhängender Ressourcen, die gemeinsam eine Aktion durchführen (z. B. erstellt das VPC, Subnetze, NAT-Gateway usw.). Es hängt von der Konfiguration des Providers ab, die darin oder in übergeordneten Strukturen (z. B. im Infrastrukturmodul) definiert werden kann.

Infrastrukturmodule

Ein Infrastrukturmodul ist eine Sammlung von Ressourcenmodulen, die nicht zwingend logisch miteinander verbunden sein müssen, aber in der aktuellen Situation/im aktuellen Projekt/im aktuellen Setup demselben Zweck dienen. Es definiert die Konfiguration für Provider, die an die nachgelagerten Ressourcenmodule und an Ressourcen weitergegeben wird. Normalerweise ist die Arbeit auf eine Einheit pro logischer Begrenzung beschränkt (z. B. AWS Region, Google Project).

Das Modul verwendet beispielsweise Ressourcenmodule wie und , um die für den Betrieb von auf erforderliche Infrastruktur zu verwalten.

Ein weiteres Beispiel ist das Modul, bei dem mehrere Module von zusammen verwendet werden, um die Infrastruktur zu verwalten und Docker-Ressourcen zu nutzen, um Docker-Images zu erstellen, zu pushen und zu verteilen. Alles in einem Modul.

Komposition

Eine Komposition ist eine Sammlung von Infrastrukturmodulen, die sich über mehrere logisch getrennte Bereiche erstrecken kann (z. B. AWS-Regionen, mehrere AWS-Konten). Eine Komposition wird verwendet, um die komplette Infrastruktur zu beschreiben, die für das gesamte Unternehmen oder Projekt erforderlich ist.

Eine Komposition besteht aus Infrastrukturmodulen, die aus Ressourcenmodulen bestehen, die einzelne Ressourcen implementieren.

Datenquellen

Eine Datenquelle führt einen Lese-Vorgang durch und ist abhängig von der Konfiguration des Providers; sie wird in einem Ressourcenmodul und einem Infrastrukturmodul verwendet.

Die Datenquelle terraform_remote_state dient als Bindeglied für übergeordnete Module und Kompositionen.

Die ermöglicht es einem externen Programm, als Datenquelle zu fungieren und beliebige Daten zur Verwendung in der Terraform-Konfiguration freizugeben. Hier ist ein Beispiel aus dem , bei dem der Dateiname durch den Aufruf eines externen Python-Skripts berechnet wird.

Die führt eine HTTP-GET-Anfrage an die angegebene URL durch und exportiert Informationen über die Antwort, was oft nützlich ist, um Informationen von Endpunkten zu erhalten, für die kein eigener Terraform-Provider existiert.

Remote-Status

Infrastrukturmodule und Kompositionen sollten ihren an einem entfernten Ort aufbewahren, wo er von anderen kontrolliert (z.B. mittels ACL, Versionierung und Logging) abgerufen werden kann.

Provider, Provisioner, ...

Provider, Provisioner und einige andere Begriffe sind in der offiziellen Dokumentation sehr gut beschrieben und es macht keinen Sinn, sie hier zu wiederholen. Meiner Meinung nach haben sie wenig mit dem Schreiben guter Terraform-Module zu tun.

Warum so kompliziert?

Während einzelne Ressourcen wie Atome in der Infrastruktur sind, sind Ressourcenmodule Moleküle. Ein Modul ist die kleinste versionierte und gemeinsam nutzbare Einheit. Es hat eine genaue Liste von Argumenten und implementiert die grundlegende Logik für eine solche Einheit, um die erforderliche Funktion auszuführen. Beispielsweise erstellt das Modul aws_security_group und aws_security_group_rule Ressourcen basierend auf der Eingabe. Dieses Ressourcenmodul selbst kann zusammen mit anderen Modulen verwendet werden, um das Infrastrukturmodul zu erstellen.

Der übergreifende Zugriff auf die Daten einzelner Moleküle (Ressourcenmodule und Infrastrukturmodule) erfolgt über die Ausgaben und Datenquellen der Module.

Der Zugriff zwischen Kompositionen erfolgt häufig über Remote state Datenquellen. Für die gibt es mehrere Möglichkeiten.

Wenn man die oben beschriebenen Konzepte in Pseudo-Beziehungen zueinander setzt, kann das so aussehen:

Dokumentation

Automatisch erstellte Dokumentation

ist ein Framework für die Verwaltung und Pflege von Pre-Commit-Hooks für mehrere Programmiersprachen. Es ist in Python geschrieben und ist ein leistungsfähiges Werkzeug, um auf dem Rechner eines Entwicklers automatisch etwas zu tun, bevor der Code in ein Git-Repository übertragen wird. Normalerweise wird es verwendet, um Linter auszuführen und Code zu formatieren (siehe ).

Mit Terraform-Konfigurationen kann pre-commit verwendet werden, um Code zu formatieren und zu validieren, sowie um die Dokumentation zu aktualisieren.

Schauen Sie sich das an, um sich damit vertraut zu machen, sowie bestehende Repositories (z.B. ), in denen dies bereits verwendet wird.

terraform-docs

ist ein Werkzeug, das die Dokumentation von Terraform-Modulen in verschiedenen Ausgabeformaten erzeugt. Sie können es manuell ausführen (ohne pre-commit hooks), oder verwenden, um die Dokumentation automatisch zu aktualisieren.

@todo: Document module versions, release, GH actions

Ressourcen

3. Blog post von :

Es gibt auch einen Workshop für alle, die einige der in diesem Leitfaden beschriebenen Dinge üben wollen.

Der Inhalt ist hier zu finden - https://github.com/antonbabenko/terraform-best-practices-workshop

Welche Werkzeuge sollte ich kennen und nutzen?

• Terragrunt - Orchestrierungswerkzeug

• - Code linter

• - Terraform Versionsverwaltung

• - Pull Request Automatisierung

• - Sammlung von Git-Hooks für Terraform, die mit dem verwendet werden können

• - Cloud-Kostenschätzungen für Terraform in Pull Requests. Funktioniert auch mit Terragrunt, Atlantis und pre-commit-terraform.

Was sind Lösungen für die bei Modulen?

Die Versionen der Ressourcen- und Infrastrukturmodule sollten angegeben werden. Provider sollten außerhalb von Modulen konfiguriert werden, aber nur in der Komposition. Die Versionen von Providern und Terraform können auch fixiert werden.

Es gibt kein Master-Tool für die Verwaltung von Abhängigkeiten, aber es gibt einige Tipps, um die Abhängigkeitshölle weniger problematisch zu machen. Zum Beispiel kann verwendet werden, um die Aktualisierung von Abhängigkeiten zu automatisieren. Dependabot erstellt Pull Requests, um Ihre Abhängigkeiten sicher und aktuell zu halten. Dependabot unterstützt Terraform-Konfigurationen.

Quellcode: https://github.com/antonbabenko/terraform-best-practices/tree/master/examples/medium-terraform

Dieses Beispiel enthält Code als Beispiel für die Strukturierung von Terraform-Konfigurationen für eine mittelgroße Infrastruktur, dazu werden verwendet:

• 2 AWS-Konten

• 2 separate Umgebungen (prod und stage, die sich nichts teilen). Jede Umgebung befindet sich in einem separaten AWS-Konto.

• Jede Umgebung verwendet eine andere Version des Standard-Infrastrukturmoduls (alb), das aus der stammt.

• Jede Umgebung verwendet die gleiche Version eines internen Moduls modules/network, da es aus einem lokalen Verzeichnis stammt.

https://twitter.com/antonbabenko/lists/terraform-experts - Liste von Leuten, die sehr aktiv mit Terraform arbeiten und Ihnen eine Menge erzählen können (wenn Sie sie fragen).

https://github.com/shuaibiyy/awesome-terraform - Kuratierte Liste von Ressourcen zu HashiCopr Terraform.

http://bit.ly/terraform-youtube - "Your Weekly Dose of Terraform" YouTube Kanal von Anton Babenko. Live-Streams mit Reviews, Interviews, Fragen und Antworten, Live-Coding und ein wenig Hacking mit Terraform.

- Terraform Weekly Newsletter. Verschiedene Neuigkeiten aus der Terraform-Welt (Projekte, Ankündigungen, Diskussionen) von Anton Babenko.

Fragen, die sich auf die Terraform-Code-Struktur beziehen, sind mit Abstand die häufigsten in der Community. Jeder hat sich irgendwann einmal Gedanken über die beste Codestruktur für das Projekt gemacht.

Wie sollte ich meine Terraform-Konfigurationen strukturieren?

Dies ist eine der Fragen, für die es viele Lösungen gibt, und es ist sehr schwer, allgemeingültige Ratschläge zu erteilen, also sollten wir zunächst einmal verstehen, womit wir es zu tun haben.

Quellcode:

Dieses Beispiel enthält Code als Beispiel für die Strukturierung von Terraform-Konfigurationen für eine groß angelegte Infrastruktur, dazu werden verwendet:

• 2 AWS-Konten

• 2 Regionen

Verwenden Sie locals, um explizite Abhängigkeiten zwischen Ressourcen zu spezifizieren

Hilfreiche Möglichkeit, Terraform einen Hinweis zu geben, dass einige Ressourcen vorher gelöscht werden sollten, auch wenn es keine direkte Abhängigkeit in Terraform-Konfigurationen gibt.

Quellcode:

Dieses Beispiel enthält Code als Beispiel für die Strukturierung von Terraform-Konfigurationen für eine kleine Infrastruktur, in der keine externen Abhängigkeiten verwendet werden.

Terraform-Code Strukturen

Terragrunt-Code Strukturen

Allgemeine Konventionen

1. Verwenden Sie überall _ (Unterstrich) anstelle von - (Bindestrich) (Ressourcennamen, Datenquellennamen, Variablennamen, Ausgaben usw.).

2. Verwenden Sie vorzugsweise Kleinbuchstaben und Zahlen (auch wenn UTF-8 unterstützt wird).

Argumente für Ressourcen und Datenquellen

1. Wiederholen Sie den Ressourcentyp nicht im Ressourcennamen (weder teilweise noch vollständig):

   resource "aws_route_table" "public" {}

Code-Beispiele für resource

Verwendung von count / for_each

Platzierung von tags

Bedingungen in count

Variablen

1. Erfinden Sie das Rad in Ressourcenmodulen nicht neu: Verwenden Sie den Namen, die Beschreibung und den Standardwert für Variablen, wie sie im Abschnitt "Argumentreferenz" für die Ressource, mit der Sie arbeiten, definiert sind.

2. Die Unterstützung für die Validierung von Variablen ist ziemlich begrenzt (z.B. kann nicht auf andere Variablen zugegriffen werden oder Lookups durchgeführt werden). Planen Sie entsprechend, denn in vielen Fällen ist diese Funktion nutzlos.

3. Verwenden Sie die Pluralform in einem Variablennamen, wenn der Typ list(...)

Ausgaben

Machen Sie Ausgaben konsistent und verständlich außerhalb des Moduls (wenn ein Benutzer ein Modul verwendet, sollte es offensichtlich sein, welchen Typ und welches Attribut der Wert hat, den es zurückgibt).

1. Der Name der Ausgabe sollte die darin enthaltene Eigenschaft beschreiben und weniger frei formuliert sein, als Sie es normalerweise wünschen würden.

2. Eine gute Struktur für den Namen der Ausgabe sieht aus wie {name}_{type}_{attribute} , wobei:

   1. {name}

Code-Beispiele für output

Höchstens eine ID einer Security-Gruppe ausgeben:

Wenn mehrere Ressourcen desselben Typs vorhanden sind, sollte this im Namen der Ausgabe weggelassen werden:

Pluralname verwenden, wenn der Rückgabewert eine Liste ist: