现代IT基础设施管理（2）：Terraform进阶

上一篇对Terraform进行了简单先容，并尝试一个创建虚拟机实例的演示实行，对IaC（基础设施即代码）有了初步的认识，这一篇我们稍微深入一些，继续对Terraform进行进阶尝试，利用高级特性更安全高效管理基础设施，尽量还原实际生产利用。
代码堆栈地址：https://github.com/robin-2016/terraform-demo，如果没有克隆到当地的，先克隆代码堆栈到当地，如之前克隆过，请将代码更新到最新。
一、变量
Terraform支持变量，变量利用场景一样平常为下面几种情况，一个配置需要多次引用，经常需要修改的配置，还有像AK和SK等敏感信息需要单独文件生存，一样平常情况是单独生存在名为vars.tf文件中，这样修改时只修改vars.tf一个文件即可，demo2就是这样的示例，将AK、SK、区域、镜像ID和实例规格等都放在vars.tf文件中，根据类型分别放在差别的配置文件中，归类方便在配置较多时能较快找到对应的配置信息，在其他配置文件中通过var.加上具体变量名称就能引用到变量的值。vars.tf部门内容如下：

1. variable "AWS_ACCESS_KEY" {
2.   type        = string
3.   default     = ""
4. }
5. variable "AWS_SECRET_KEY" {
6.   type        = string
7.   default     = ""
8. }
9. variable "AWS_REGION" {
10.   type        = string
11.   default     = "ap-east-1"
12. }
13. variable "AMI" {
14.   type        = string
15.   default     = "ami-0ad7f83eab34d93a7"
16. }
17. variable "INSTANCE_TYPE" {
18.   type        = string
19.   default     = "t3.micro"
20. }

复制代码

例如AWS_ACCESS_KEY变量，值的内容为default字段，type为变量类型，示例中变量都是string字符串类型，Terraform变量还支持number数值类型、true-false布尔类型、list列表类型和map字典类型，本次示例中只演示了字符串类型利用，其他类型请参考下面官网文档链接利用：https://developer.hashicorp.com/terraform/tutorials/configuration-language/variables
二、生产情况示例
切换到demo-2目录下，根据资源类型，将配置拆分到差别的配置文件中。
目录文件先容：instance.tf是虚拟机实例配置，provider.tf是供应商配置，vars.tf是变量，key.tf是实例ssh密钥，相比暗码，密钥安全性更高，securitygroup.tf是安全组配置，允许访问ssh服务，output.tf是执行结束输出配置，这里配置是创建实例的公网IP地址，user_data.tftpl是虚拟机初始化脚本模版文件，下部门会具体解说，vpc.tf是虚拟网络配置，versions.tf是供应商版本配置信息，这样根据需求只修改对应内容文件即可。
准备工作，这里主要修改是vars.tf，填写AWS的AK和SK对应到AWS_ACCESS_KEY和AWS_SECRET_KEY，再生成密钥对文件，利用下面下令生成：

1. ssh-keygen -f mykey

复制代码

准备工作完成，正式开始创建资源，步骤和上一讲相同

1. #初始化
2. terraform init
3. #查看执行计划
4. terraform plan
5. #应用，创建资源
6. terraform apply

复制代码

执行完成后会在最后Outputs部门输出虚拟机示例的公网IP地址，之后能利用下面ssh下令远程连接虚拟机示例了：

1. ssh -i mykey ubuntu@公网IP

复制代码

注：如果没有连接上，可以等一会再尝试，安装配置软件需要一点时间，本示例利用Ubuntu镜像，用户名为ubuntu是镜像默认用户名，利用其他镜像需根据镜像调整。
登录后检察服务状态，nginx已经启动，并已开启80端口，登录上AWS控制台，实例、VPC、安全组、密钥对都已经配置完成。这里只是简单演示，实际会更复杂。

1. systemctl status nginx
2. ss -ntlp

复制代码

三、user data
上面示例中，利用的公共镜像创建虚拟机实例，终极完成时却已安装nginx，利用的就是user data，在云上创建虚拟机实例时，都会在虚拟机创建完成的初次启动执行user_data中的下令进行初始化，之后虚拟机实例再启动不会再执行，这样就能利用user_data功能完成对虚拟机的初始化，下面为demo-2中user_data.tftpl内容，和普通bash脚本内容基本相同，示例中主要是安装并启动了nginx，还可以写更复杂，模版文件还支持变量输入，自行学习探索。

1. #!/bin/bash
3. sudo apt update
4. sudo apt install nginx -y
5. sudo systemctl start nginx

复制代码

另一个方式是Packer自定义镜像，提前安装需要应用情况，Packer还可以和Jenkins等CI连续集成工具结合，Packer配置变化后，重新执行流水线构建新的自定义镜像。
保举利用user data方式，基本云情况都支持user data，减少不再依赖三方工具，更好管理，自定义镜像方式启动快一些，可以根据实际需要自行选择。
四、模块
上面是全部配置都是本身写，如果想抽出部门作为公共配置，供其他项目引用，或者情况差别，但配置相同，只是变量差别，会存在很多重复配置，这样情况下就需要用到Terraform的模块，我们可以直接引用模块写更少的配置文件，官网模块地址：https://registry.terraform.io/browse/modules，官方提供了很多模块供开发者引用，也可以自定义模块利用，一些第三方同样提供模块。在demo-3中，我们通过dev开发情况和prod生产情况区分，引用官方实例模块来创建实例，内容示例：

1. module "ec2_instance" {
2.   source  = "terraform-aws-modules/ec2-instance/aws"
4.   name = "demo-3-prod"
6.   instance_type          = "t3.micro"
7.   key_name               = "mykeypair"
8.   monitoring             = true
9.   vpc_security_group_ids = ["sg-12345678"]
10.   subnet_id              = "subnet-eddcdzz4"
12.   tags = {
13.     Terraform   = "true"
14.     Environment = "prod"
15.   }
16. }

复制代码

五、相干生态开源工具：Infisical密钥管理平台
利用Terraform时，会有AK和SK管理问题，如直接存储在配置文件中有泄漏的风险，不存储在配置文件中每次利用都需要人工配置，多人利用，还需要相互传递，官方有对应收费版本的HCP Terraform，功能齐全，不差钱可以直接利用HCP Terraform。
如果想降低本钱，又想提高安全性和便利性，利用开源项目就好坏常不错的选择，Infisical 是开源密钥管理平台，GitHub地址：https://github.com/Infisical/infisical，产品定位：在您的团队/基础设施中同步密钥，防止密钥泄漏，非常合适搭配Terraform利用，并提供内部 PKI，有Python、Go、Java等编程语言SDK，同样适用于普通程序开发中需要用到一些敏感信息的地方
对于Terraform就先容到这里，相信你对于Terraform已经有更深的了解，本身动手实操起来，阅读官网文档，定能熟练利用Terraform。如果对你有资助，请点个关注，如果需要定制Terraform具体教程请留言咨询，嘿嘿。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。