Terraform 0.9.5。
我正在整理一组模块,我们的基础架构团队和自动化团队将使用这些模块以标准方式创建资源,然后创建堆栈以提供不同的环境。一切顺利。
与所有使用terraform
共享状态的团队一样成为一个问题。我已经配置terraform使用s3后端,它是版本化和加密的,通过dynamo db表添加了一个锁。完善。所有与本地帐户一起工作......好的问题......
我们有多个aws帐户,1个用于IAM,1个用于计费,1个用于生产,1个用于非生产,1个用于共享服务等...你得到我要去的地方。我的问题如下。
我在IAM帐户中作为用户进行身份验证并承担所需的角色。在我引入terraform后端配置以将s3用于共享状态之前,这一直像梦一样。看起来terraform中的后端配置需要在〜/ .aws / credentials中设置默认凭据。看起来这些用户必须是创建s3存储桶的帐户的本地用户。
是否有办法以这样的方式设置后端配置:它将使用提供程序中配置的信用卡和角色?有没有更好的方法来配置共享状态和锁定?欢迎任何建议:)
更新:搞定了。我在创建s3存储桶的帐户中创建了一个新用户。创建了一个策略,只允许新用户s3:DeleteObject,GetObject,PutObject,ListBucket和dynamodb:*在特定的s3存储桶和dynamodb表上。创建了自定义凭据文件,并添加了分配给该新用户的访问权限和密钥的默认配置文件。使用类似于
的后端配置terraform {
required_version = ">= 0.9.5"
backend "s3" {
bucket = "remote_state"
key = "/NAME_OF_STACK/terraform.tfstate"
region = "us-east-1"
encrypt = "true"
shared_credentials_file = "PATH_TO_CUSTOM_CREDENTAILS_FILE"
lock_table = "MY_LOCK_TABLE"
}
}
它可以工作,但是有一个初始配置需要在您的配置文件中发生才能使其正常工作。如果有人知道更好的设置或可以识别我的后端配置问题,请告诉我。
答案 0 :(得分:3)
Terraform期望后端配置是静态的,并且不允许它包含内插变量,因为在完成任何其他工作之前需要初始化后端,因此配置中的其他地方可能都是如此。
因此,使用不同的AWS账户多次应用相同的配置可能会很棘手,但可以采用以下两种方式之一。
最低摩擦的方法是创建一个S3存储桶和DynamoDB表,专用于所有环境中的状态存储,并使用S3权限和/或IAM策略来实施细粒度访问控制。
采用此策略的组织有时会在单独的“管理”AWS账户中创建S3存储桶,然后将存储桶中各个状态对象的限制性访问权限授予将在每个其他帐户中运行Terraform的特定角色。
此解决方案的优势在于,一旦在S3中正确设置,Terraform就可以常规使用而无需任何异常工作流:在后端配置单个S3存储桶,并通过环境变量提供适当的凭据以允许它们变化。初始化后端后,使用workspaces(在Terraform 0.10之前称为“状态环境”)为单个配置的每个目标环境创建单独的状态。
缺点是需要围绕S3管理更复杂的访问配置,而不是简单地依赖整个AWS账户的粗略访问控制。由于DynamoDB上的访问控制不够灵活,因此混合使用DynamoDB也更具挑战性。
Terraform s3
提供商文档Multi-account AWS Architecture中对此选项有更完整的描述。
如果不希望使用复杂的S3配置,则可以使用partial configuration将复杂性转移到Terraform工作流程中。在此模式下,配置中仅提供后端设置的子集,并在运行terraform init
时在命令行上提供其他设置。
这允许选项在运行之间变化,但由于它需要提供额外的参数,因此采用此方法的大多数组织将使用包装脚本根据本地约定适当地配置Terraform。这可以只是一个简单的shell脚本,它使用合适的参数运行terraform init
。
然后,这允许通过在命令行上提供自定义凭证文件来改变它。在这种情况下,不使用状态环境,而是在环境之间切换需要针对新的后端配置重新初始化工作目录。
此解决方案的优点是,它不会对S3和DynamoDB的使用施加任何特定限制,只要差异可以表示为CLI选项。
缺点是需要使用不常见的工作流程或包装器脚本来配置Terraform。