O Terraform é um projeto relativamente novo (como a maioria das ferramentas de DevOps, na verdade) que foi iniciado em 2014.

O Terraform é poderoso (se não o mais poderoso que existe atualmente) e uma das ferramentas mais utilizadas que permitem o gerenciamento de infraestrutura como código (IaC). Ele permite que os desenvolvedores realizem uma grande variedade de coisas e não os restringe de fazê-las de forma com que sejam difíceis de integrar ou suportar à longo prazo.

Algumas informações descritas neste livro podem não parecer as melhores práticas. Sei disso, e, para ajudar os leitores a separar as melhores práticas estabelecidas e do que apenas mais uma maneira opinativa, às vezes, dou dicas para fornecer algum contexto e ícones para especificar o nível de maturidade em cada subseção relacionada às melhores práticas.

Este livro começou na ensolarada Madri em 2018 e está disponível gratuitamente aqui - https://www.terraform-best-practices.com/

Alguns anos depois, ele foi atualizado com mais práticas atuais recomendadas disponíveis com o Terraform 1.0. Eventualmente, este livro deve conter a maioria das melhores práticas e recomendações incontestáveis para usuários do Terraform.

Patrocinadores

Please if you want to become a sponsor.

Traduções

Entre em contato se você quer ajudar a traduzir este livro para outros idiomas.

Contribuições

Continuarei atualizando este livro conforme a comunidade amadurece e novas ideias são implementadas e verificadas. Por favor, deixe seu comentário ou crítica construtiva para que o livro esteja sempre em boa qualidade.

Se você tem interesse em determinados tópicos, , ou curta um já aberto que você julga ser importante e deva ter prioridade.

Autores

Este livro é mantido por com a ajuda de diversos colaboradores e tradutores.

Licença

Este trabalho está licenciado sob a Licença Apache 2. Veja LICENSE para maiores detalhes.

Os autores e colaboradores deste conteúdo não podem garantir a validade das informações aqui encontradas. Certifique-se de que entende que as informações aqui contidas estão sendo fornecidas livremente, e que, nenhum acordo ou contrato é criado entre você e quaisquer pessoas associadas a este conteúdo ou projeto. Os autores e colaboradores não assumem e, por meio deste, se isentam de qualquer responsabilidade perante qualquer parte, por qualquer perda, dano ou interrupção causada por erros, ou omissões nas informações contidas, associadas ou vinculadas a este conteúdo, sejam tais erros ou omissões resultantes de negligência, acidente ou qualquer outra causa.

Direito autoral © 2018-2023 Anton Babenko.

A documentação oficial do Terraform descreve todos os aspectos da configuração em detalhes. Leia-o com atenção para entender o restante desta seção.

Recursos

Um recurso é aws_vpc, aws_db_instance, etc. Um recurso pertence a um provedor, aceita argumentos, produz atributos e tem ciclos de vida. Um recurso pode ser criado, recuperado, atualizado e excluído.

Módulo de Recursos

O módulo de recursos é uma coleção de recursos conectados, que juntos, executam a ação comum (por exemplo, o cria VPC, sub-redes, gateway NAT, etc.). Depende da configuração do provedor, que pode ser definida nele, ou em estruturas de nível superior (por exemplo, no módulo de infraestrutura).

Módulo de infraestrutura

Um módulo de infraestrutura é uma coleção de módulos de recursos, que podem ser logicamente não conectados, mas na situação/projeto/configuração atual servem ao mesmo propósito. Ele define a configuração para provedores, passada para os módulos de recursos downstream e para os recursos. Normalmente é limitado a trabalhar em uma entidade por separar lógico (por exemplo, região da AWS, projeto do Google).

Por exemplo, o módulo utiliza módulo de recursos tais como o e para gerenciar infraestrutura necessária para executar o no .

Outro exemplo é o módulo , onde vários módulos do estão sendo utilizados juntos para gerenciar a infraestrutura, assim como utilizar recursos do Docker para criar, enviar e implantar imagens Docker. Tudo em um conjunto.

Composição

Composição é uma coleção de módulos de infraestrutura, que podem abranger várias áreas separadas logicamente (por exemplo, regiões da AWS, várias contas da AWS). A composição é usada para descrever a infraestrutura completa necessária para toda a organização ou projeto.

Uma composição consiste em módulos de infraestrutura, que consistem em módulos de recursos, que implementam recursos individuais.

Fonte de Dados

A fonte de dados executa uma operação somente leitura e é dependente da configuração do provedor, é também usada em um módulo de recursos e em um módulo de infraestrutura.

A fonte de dados terraform_remote_state atua como uma “cola” para módulos e composições de nível superior.

Já uma fonte de dados , permite que um programa externo atue como fonte de dados, expondo informações arbitrários para uso em outro lugar na configuração do Terraform. Aqui está um exemplo do módulo , onde o nome do arquivo é calculado chamando um script Python externo.

A fonte de dados realiza uma solicitação HTTP GET para o URL fornecido e exporta informações sobre a resposta, o que geralmente é útil para obter informações de terminais onde um provedor Terraform nativo não existe.

Estado Remoto

Módulos de infraestrutura e composições devem manter seu em um local remoto, onde possam ser recuperados por outros de maneira controlável (por exemplo, especificar ACL, versionamento, logging).

Provedor, Aprovisionador, etc

Provedores, provisionadores e alguns outros termos estão muito bem descritos na documentação oficial e não vale a pena repetir aqui. Na minha opinião, eles têm pouco a ver com escrever bons módulos Terraform.

Por que é tão difícil?

Enquanto os recursos individuais são como átomos na infraestrutura, os módulos de recursos são moléculas. Um módulo é a menor unidade com versão e compartilhável. Possui uma lista exata de argumentos, implementa lógica básica para que tal unidade realize a função necessária. Por exemplo, o módulo cria recursos aws_security_group e aws_security_group_rule com base no input. Este módulo de recursos por si só pode ser usado em conjunto com outros módulos para criar o módulo de infraestrutura.

O acesso aos dados entre moléculas (módulos de recursos e módulos de infraestrutura) é realizado utilizando saídas e fontes de dados dos módulos.

O acesso entre composições geralmente é realizado usando fontes de dados de estado remoto. .

Ao colocar os conceitos descritos acima em pseudo-relações, pode-se ficar assim:

Há também um ‘workshop’ para pessoas que desejam praticar algumas das coisas descritas neste guia.

Você pode conferir o material aqui (em inglês) - https://github.com/antonbabenko/terraform-best-practices-workshop

Fonte: https://github.com/antonbabenko/terraform-best-practices/tree/master/examples/medium-terraform

Este exemplo contém código como um exemplo de estruturação de configurações do Terraform para uma infraestrutura de médio porte, que utiliza:

• 2 contas na AWS

• 2 ambientes separados (prod e stage que não compartilham nada entre eles). Cada ambiente está em uma conta separada na AWS.

• Cada ambiente utiliza uma versão diferente do módulo de infraestrutura pronto para uso (alb) originado do

• Cada ambiente utiliza a mesma versão de módulos/rede de um módulo interno, pois é originado de um diretório local.

Fonte: https://github.com/antonbabenko/terraform-best-practices/tree/master/examples/small-terraform

Este exemplo contém código como um exemplo de estruturação de configurações do Terraform para uma infraestrutura de pequeno porte, onde nenhuma dependência externa é utilizada.

https://twitter.com/antonbabenko/lists/terraform-experts - Lista de pessoas que trabalham com o Terraform muito ativamente e podem lhe dizer muito sobre (se você perguntar-lhes).

https://github.com/shuaibiyy/awesome-terraform - Lista com curadoria de recursos no Terraform da HashiCorp.

http://bit.ly/terraform-youtube - O canal do YouTube "Your Weekly Dose of Terraform" de Anton Babenko. Transmissões ao vivo com análises, entrevistas, perguntas e respostas, codificação ao vivo e alguns hacks com o Terraform.

- Boletim semanal Terraform. Várias notícias no mundo Terraform (projetos, anúncios, discussões) por Anton Babenko.

Estruturas de código do Terraform

Quais são as ferramentas que eu deveria estar ciente e considerar utilizar?

• - Ferramenta de orquestração

Documentação

Documentação gerada automaticamente

O é um framework para gerenciar e manter hooks pré-commit multi-idioma. Ele é escrito em Python e é uma ferramente poderosa para fazer algo automaticamente na máquina de um desenvolvedor antes que o código seja enviado para o repositório git. Normalmente, ele é usado para executar linters e formatar código (veja ).

Com as configurações do Terraform, o pre-commit pode ser usado para formatar e validar o código, bem como para atualizar a documentação.

Confirma o repositório para se familiarizar com ele e os repositórios existentes (por exemplo, ) onde ele já é utilizado.

terraform-docs

O é uma ferramente que faz a geração de documentação a partir de módulos Terraform em vários formatos de saída (output). Você pode executá-lo manualmente (sem ganchos — pre-commit hooks — de pré-commit) ou usar o para atualizar a documentação automaticamente.

@todo: Document module versions, release, GH actions

Recursos

3. Blog post by :

Use locals para especificar dependências explícitas entre recursos

Uma maneira útil de dar uma dica ao Terraform de que alguns recursos devem ser excluídos antes mesmo quando não houver dependência direta nas configurações do Terraform.

https://raw.githubusercontent.com/antonbabenko/terraform-best-practices/master/snippets/locals.tf

Terraform 0.12 - Argumentos obrigarórios vs opcionais

1. O argumento obrigatório index_document deve ser definido, se var.website não for um mapa vazio.

2. O argumento opcional error_document pode ser omitido.

As perguntas relacionadas à estrutura de código do Terraform sào de longe as mais frequentes na comunidade. Todos pensaram na melhor estrutura de código para o projeto em algum momento também.

Como devo estruturar minhas configurações do Terraform?

Esta é uma das questões em que existem muitas soluções e é muito difícil dar conselhos dinâmicos, então vamos começar entendendo com o que estamos lidando.

• Qual é a complexidade do seu projeto?

  • Número de recursos relacionados.

  • Número de provedores Terraform (veja a nota abaixo sobre “provedores lógicos”).

• Com que frequência sua infraestrutura muda?

  • A partir de uma vez por mês/semana/dia.

  • Continuamente (toda vez que houver um novo commit).

• Iniciadores de mudança de código? Você permite que o servidor CI atualize o repositório quando um novo artefato é criado?

  • Somente desenvolvedores podem realizar o push para o repositório de infraestrutura.

  • Todos podem propor uma mudança em qualquer coisa abrindo um PR (incluindo tarefas automatizadas em execução no servidor CI).

• Qual plataforma de implementação ou serviço de implementação você utiliza?

  • AWS CodeDeploy, Kubernetes, ou OpenShift exigem uma abordagem um pouco diferente.

• Como os ambientes são agrupados?

  • Por ambiente, região, projeto...

Introdução à estruturação de configurações do Terraform

Colocar todo o código em um único main.tf é uma boa ideia quando você está começando ou escrevendo um código de exemplo. Em todos os outros casos, será melhor ter vários arquivos divididos logicamente assim:

• main.tf - chame módulos, locais e fontes de dados para criar todos os recursos.

• variables.tf - contém declarações de variáveis utilizadas em main.tf.

terraform.tfvars não deve ser utilizado em nenhum lugar exceto na .

Como pensar sobre a estrutura de configurações do Terraform?

Recomendações comuns para estruturar código

• É mais fácil e rápido trabalhar com um número menor de recursos

  • terraform plan e terraform apply fazem chamada API na nuvem para verificar o status dos recursos.

Neste livro, os projetos de exemplo são agrupados por complexidade - de infraestruturas pequenas a muito grandes. Essa separação não é rígida, portanto, verifique também outras estruturas.

Orquestração de módulos e composições de infraestrutura

Ter uma infraestrutura pequena significa haver um pequeno número de dependências e poucos recursos. À medida que o projeto cresce, torna-se óbvia a necessidade de encadear a execução das configurações do Terraform, conectar diferentes módulos de infraestrutura e passar valores em uma composição.

Existem pelo menos 5 grupos distintos de soluções de orquestração que os desenvolvedores usam:

1. Somente o Terraform. Muito simples, os desenvolvedores precisam conhecer apenas o Terraform para realizar o trabalho.

2. Terragrunt. Ferramenta de orquestração pura que pode ser usada para orquestrar toda a infraestrutura, bem como lidar com dependências. O Terragrunt opera com módulos e composições de infraestrutura nativamente, reduzindo assim a duplicação de código.

3. Roteiros internos (in-house scripts). Muitas vezes isso acontece como um ponto de partida para a orquestração e antes de descobrir o Terragrunt.

Com isso em mente, este livro analisa às duas primeiras dessas estruturas de projeto, apenas Terraform e Terragrunt.

Veja exemplos de estruturas de código para o e/ou no próximo capítulo.

Convenções gerais

1. Utilize _ (subtraço) ao invés do - (traço) em todo o lugar (nomes de recursos, nomes de fontes de dados, nomes de variáveis, outputs, etc.).

2. Prefira usar letras minúsculas e números (mesmo que o UTF-8 seja suportado).

Argumentos de recursos e fontes de dados

1. Não repita a categoria de recurso no nome do recurso (não parcialmente, nem completamente):

   resource "aws_route_table" "public" {}

Exemplos de código de resource

Uso do count / for_each

Colocação das tags

Condições com o count

Variáveis

1. Não reinvente a roda em módulos de recursos: use name, description, e valor default para variáveis conforme definido na seção “Referência de argumento” para o recurso com o qual você está trabalhando.

2. O suporte para validação em variáveis é bastante limitado (por exemplo, não pode acessar outras variáveis ou fazer pesquisas). Planeje de acordo porque em muitos casos esse recurso é inútil.

Outputs

Torne os outputs consistentes e compreensíveis fora de seu escopo (quando um usuário está usando um módulo, deve ser óbvio que tipo e atributo do valor ele retorna).

1. O nome do output deve descrever a propriedade que ela contém e ser menos livre do que você normalmente desejaria.

2. Uma boa estrutura para o nome do output parece com {name}_{type}_{attribute}, onde:

   1. {name}

Exemplos de código do output

Retorne no máximo um ID do security-group:

Quando há vários recursos do mesmo tipo, this deve ser omisso no nome do output:

Use o nome no plural se o valor de retorno for uma lista

Fonte: https://github.com/antonbabenko/terraform-best-practices/tree/master/examples/large-terraform

Este exemplo contém código como um exemplo de estruturação de configurações do Terraform para uma infraestrutura de médio porte, que utiliza:

• 2 contas na AWS

• 2 regiões (ap-southeast-2 e us-west-1, por exemplo)

• 2 ambientes separados (prod e stage que não compartilham nada entre eles). Cada ambiente está em uma conta separada na AWS.

• Cada ambiente utiliza uma versão diferente do módulo de infraestrutura pronto para uso (alb) originado do

• Cada ambiente utiliza a mesma versão de módulos/rede de um módulo interno, pois é originado de um diretório local.