關於配置 Terraform 的五條建議
使用 Terraform 五年的經歷讓我吸取到一些重要經驗。無論團隊大小、項目性質,有五條要點對於配置合乎邏輯且可用的 Terraform 平台至關重要。
1、了解你的目標受眾
這一點似乎顯而易見,但我也見過一些在這方面犯錯的案例。當組織和規劃 Terraform 的相關代碼時,無論是將目錄結構標準化還是確定命名規範,考慮目標受眾是非常重要的。例如:你的團隊是否會使用這些 Terraform 腳本和模塊?你是否會向其他團隊交接工作?你的團隊是否會有新成員加入?你是否正在獨自進行項目開發?你是否會半年或一年後仍然使用這些配置,還是會將它安排給別人?
這類問題會影響某些決策。理想情況下,無論如何都應該有 遠程狀態 和 狀態鎖定 兩種狀態。遠程狀態確保你的筆記本電腦不是你的 Terraform 唯一運行的機器,狀態鎖定確保同一時刻只有一個人對基礎設施進行修改操作。
命名規範應該對項目的最終擁有者有意義,而不是只對開發團隊有意義。如果項目會轉交給其他團隊,應該確保他們對命名規範有發言權。如果代碼由非技術的利益相關者或內部安全/ GCR 團隊負責審查,應該確保他們會檢查命名規範。另外,對於資源名稱,為了讓代碼審查人員更仔細地進行檢查,你應該使用資源標籤,把有關的數據分類/隱私需求(高、中、低)標示出來。
2、重用,重用,重用
Terraform 註冊表 為大多數普通用例提供了現成模塊類庫。我已經使用過 VPC 模塊和安全模塊中的大量功能,這些功能只需要提供相關的參數就能使用。使用不同的參數,簡單調用這些模塊對於處理大部分用例已經足夠了。儘可能多地重用這些公共模塊,可以避免大量且重複的編碼、測試、檢查、修復、重構等操作。
我也發現,基於使用或變更的頻率劃分模塊和資源大有好處。例如,只使用一次的基礎設施手腳架,例如 VPC 相關設置、安全模塊、路由表、VPC 端點等,可以放在一起。但是像私有託管域條目、自動伸縮模塊、目標模塊、負載均衡器等,每次部署時都會變化,所以把這些與一次性的基礎設施手腳架分離開來,會令代碼檢查更方便,調試更快速。
3、要明確,而非隱含
Terraform 代碼中有一些常見的模式,它會導致設計中出現錯誤的假設。團隊可以假設用來寫代碼的 Terraform 版本永遠保持不變,外部模塊不會變化,或它們使用的提供者不會變更。當這些外部依賴不可避免地發生變化時,就會導致一些難以發現的問題。
無論何處(包括主要的 Terraform 組、提供者組、功能模塊組)都要確保定義是明確的。事先定義版本,可以確保依賴庫是固定的,因此你可以在討論、審查、測試後,明明白白地更新依賴關係。
4、自動化每一處,包括筆記本電腦、共享虛擬機、CI/CD。
在部署的各個階段使用自動化方法,可以避免可能發生的問題。
在你提交代碼前,使用 Git 預提交鉤子 運行 terraform fmt
和 terraform validate
。預提交鉤子的作用是確保你的代碼滿足最低程度的格式和語法正確。把這個預提交文件檢入到倉庫,對你的團隊成員都有好處。項目的第一步就進行質量控制相關的操作,它雖然表面上是小事一樁,但也很重要,能為項目節省大量時間。
一切現代化部署工具都有 CI 流程。當你向原始倉庫推送代碼時,可以使用它來運行 SAST 和單元測試工具。我寫過一篇 博客,是關於使用 Checkov 測試 Terraform 代碼的安全性和合規性,並為組織特定的慣例創建自定義檢查。把這些單元測試工具加入到你的 CI 管道,可以改進代碼質量和健壯性。
5、寫個好的 README.md 文件
我們都認為 Terraform 代碼是自文檔化的。的確如此,但是只有當未來的團隊已經了解你的公司的命名規範、開發指南、機密通信、圈內笑話,以及你的倉庫內除有效的 Terraform 代碼之外其他所有東西,才會如此。維護 README.md
文件是個好習慣,它能節省大量時間,而且團隊成員要為自己向 README 文件提交的任何內容負責,這樣也就確保團隊成員的忠誠度。
你的 README 文件至少應該包含在你的工作環境下(Linux、 Windows、Mac 等等)初始化 Terraform 環境的步驟,包括 Terraform 的版本信息。它應當確定需要的依賴庫(Checkov、 TerraGrunt 及其他依賴)和其版本,以及團隊使用的方便的 Linux 別名(例如有人喜歡將 terraform fmt
簡寫為 tff
)。最重要的是,需要確定分支和 PR 審核策略和流程、命名規範和資源標籤的相關標準。
README 文件需要通過這樣的檢驗:如果團隊有新成員加入,能否告訴他們做什麼以及如何正確地完成工作?如果不能,在後續的幾個月內,你將面對的是無休止的標準和流程討論會議。
結束語
這些就是我使用 Terraform 多年後,認為需要傳授給大家的五條有用的建議。也歡迎你分享自己的最佳實踐。
via: https://opensource.com/article/21/8/terraform-tips
作者:Ayush Sharma 選題:lujun9972 譯者:cool-summer-021 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive