關於配置 Terraform 的五條建議

使用 Terraform 五年的經歷讓我吸取到一些重要經驗。無論團隊大小、項目性質，有五條要點對於配置合乎邏輯且可用的 Terraform 平台至關重要。

1、了解你的目標受眾

這一點似乎顯而易見，但我也見過一些在這方面犯錯的案例。當組織和規劃 Terraform 的相關代碼時，無論是將目錄結構標準化還是確定命名規範，考慮目標受眾是非常重要的。例如：你的團隊是否會使用這些 Terraform 腳本和模塊？你是否會向其他團隊交接工作？你的團隊是否會有新成員加入？你是否正在獨自進行項目開發？你是否會半年或一年後仍然使用這些配置，還是會將它安排給別人？

這類問題會影響某些決策。理想情況下，無論如何都應該有 遠程狀態 Remote State 和 狀態鎖定 State Locking 兩種狀態。遠程狀態確保你的筆記本電腦不是你的 Terraform 唯一運行的機器，狀態鎖定確保同一時刻只有一個人對基礎設施進行修改操作。

命名規範應該對項目的最終擁有者有意義，而不是只對開發團隊有意義。如果項目會轉交給其他團隊，應該確保他們對命名規範有發言權。如果代碼由非技術的利益相關者或內部安全/ GCR 團隊負責審查，應該確保他們會檢查命名規範。另外，對於資源名稱，為了讓代碼審查人員更仔細地進行檢查，你應該使用資源標籤，把有關的數據分類/隱私需求（高、中、低）標示出來。

2、重用，重用，重用

Terraform 註冊表 為大多數普通用例提供了現成模塊類庫。我已經使用過 VPC 模塊和安全模塊中的大量功能，這些功能只需要提供相關的參數就能使用。使用不同的參數，簡單調用這些模塊對於處理大部分用例已經足夠了。儘可能多地重用這些公共模塊，可以避免大量且重複的編碼、測試、檢查、修復、重構等操作。

我也發現，基於使用或變更的頻率劃分模塊和資源大有好處。例如，只使用一次的基礎設施手腳架，例如 VPC 相關設置、安全模塊、路由表、VPC 端點等，可以放在一起。但是像私有託管域條目、自動伸縮模塊、目標模塊、負載均衡器等，每次部署時都會變化，所以把這些與一次性的基礎設施手腳架分離開來，會令代碼檢查更方便，調試更快速。

3、要明確，而非隱含

Terraform 代碼中有一些常見的模式，它會導致設計中出現錯誤的假設。團隊可以假設用來寫代碼的 Terraform 版本永遠保持不變，外部模塊不會變化，或它們使用的提供者不會變更。當這些外部依賴不可避免地發生變化時，就會導致一些難以發現的問題。

無論何處（包括主要的 Terraform 組、提供者組、功能模塊組）都要確保定義是明確的。事先定義版本，可以確保依賴庫是固定的，因此你可以在討論、審查、測試後，明明白白地更新依賴關係。

4、自動化每一處，包括筆記本電腦、共享虛擬機、CI/CD。

在部署的各個階段使用自動化方法，可以避免可能發生的問題。

在你提交代碼前，使用 Git 預提交鉤子 運行 terraform fmt 和 terraform validate。預提交鉤子的作用是確保你的代碼滿足最低程度的格式和語法正確。把這個預提交文件檢入到倉庫，對你的團隊成員都有好處。項目的第一步就進行質量控制相關的操作，它雖然表面上是小事一樁，但也很重要，能為項目節省大量時間。

一切現代化部署工具都有 CI 流程。當你向原始倉庫推送代碼時，可以使用它來運行 SAST 和單元測試工具。我寫過一篇 博客，是關於使用 Checkov 測試 Terraform 代碼的安全性和合規性，並為組織特定的慣例創建自定義檢查。把這些單元測試工具加入到你的 CI 管道，可以改進代碼質量和健壯性。

5、寫個好的 README.md 文件

我們都認為 Terraform 代碼是自文檔化的。的確如此，但是只有當未來的團隊已經了解你的公司的命名規範、開發指南、機密通信、圈內笑話，以及你的倉庫內除有效的 Terraform 代碼之外其他所有東西，才會如此。維護 README.md 文件是個好習慣，它能節省大量時間，而且團隊成員要為自己向 README 文件提交的任何內容負責，這樣也就確保團隊成員的忠誠度。

你的 README 文件至少應該包含在你的工作環境下（Linux、 Windows、Mac 等等）初始化 Terraform 環境的步驟，包括 Terraform 的版本信息。它應當確定需要的依賴庫（Checkov、 TerraGrunt 及其他依賴）和其版本，以及團隊使用的方便的 Linux 別名（例如有人喜歡將 terraform fmt 簡寫為 tff）。最重要的是，需要確定分支和 PR 審核策略和流程、命名規範和資源標籤的相關標準。

README 文件需要通過這樣的檢驗：如果團隊有新成員加入，能否告訴他們做什麼以及如何正確地完成工作？如果不能，在後續的幾個月內，你將面對的是無休止的標準和流程討論會議。

結束語

這些就是我使用 Terraform 多年後，認為需要傳授給大家的五條有用的建議。也歡迎你分享自己的最佳實踐。

via: https://opensource.com/article/21/8/terraform-tips

作者：Ayush Sharma 選題：lujun9972 譯者：cool-summer-021 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive