DMc*_*nna 5 amazon-s3 amazon-dynamodb terraform
Terraform 0.9.5.
我正在组建一组模块,我们的基础架构团队和自动化团队将使用这些模块以标准方式创建资源,然后创建堆栈以提供不同的环境.一切顺利.
就像所有使用terraform共享状态的团队成为一个问题.我已经配置terraform使用s3后端,它是版本化和加密的,通过dynamo db表添加了一个锁.完善.所有与本地帐户合作......好的问题......
我们有多个aws帐户,1个用于IAM,1个用于计费,1个用于生产,1个用于非生产,1个用于共享服务等...你得到我要去的地方.我的问题如下.
我在IAM帐户中作为用户进行身份验证并承担所需的角色.在我引入terraform后端配置以将s3用于共享状态之前,这一直像梦一样.看起来terraform中的后端配置需要在〜/ .aws/credentials中设置默认凭据.看起来这些用户必须是创建s3存储桶的帐户的本地用户.
有没有办法以这样的方式获得后端配置设置,它将使用提供程序中配置的信用卡和角色?有没有更好的方法来配置共享状态和锁定?欢迎任何建议:)
更新:有这个工作.我在创建s3存储桶的帐户中创建了一个新用户.创建了一个策略,只允许新用户s3:DeleteObject,GetObject,PutObject,ListBucket和dynamodb:*在特定的s3存储桶和dynamodb表上.创建了自定义凭据文件,并添加了分配给该新用户的访问权限和密钥的默认配置文件.使用类似的后端配置
terraform {
required_version = ">= 0.9.5"
backend "s3" {
bucket = "remote_state"
key = "/NAME_OF_STACK/terraform.tfstate"
region = "us-east-1"
encrypt = "true"
shared_credentials_file = "PATH_TO_CUSTOM_CREDENTAILS_FILE"
lock_table = "MY_LOCK_TABLE"
}
}
它可以工作,但是需要在您的配置文件中进行初始配置才能使其正常工作.如果有人知道更好的设置或可以识别我的后端配置问题,请告诉我.
Terraform 期望后端配置是静态的,并且不允许它包含插值变量,因为在完成任何其他工作之前需要初始化后端,而配置中其他地方可能是这样。
因此,使用不同的 AWS 账户多次应用相同的配置可能会很棘手,但可以通过以下两种方式之一实现。
最低摩擦的方法是创建一个专用于所有环境中状态存储的单个 S3 存储桶和 DynamoDB 表,并使用 S3 权限和/或 IAM 策略来实施精细的访问控制。
采用此策略的组织有时会在单独的“管理”AWS 账户中创建 S3 存储桶,然后向将在每个其他账户中运行 Terraform 的特定角色授予对存储桶中各个状态对象的限制性访问权限。
该解决方案的优点是,一旦在 S3 中正确设置,Terraform 就可以常规使用,无需任何异常工作流程:在后端配置单个 S3 存储桶,并通过环境变量提供适当的凭据以允许它们发生变化。后端初始化后,使用工作空间(在 Terraform 0.10 之前称为“状态环境”)为单个配置的每个目标环境创建单独的状态。
缺点是需要管理 S3 周围更复杂的访问配置,而不是简单地依赖对整个 AWS 帐户的粗略访问控制。DynamoDB 的混合也更具挑战性,因为 DynamoDB 上的访问控制不那么灵活。
s3Terraform提供商文档多账户 AWS 架构中对此选项有更完整的描述。
如果不需要复杂的 S3 配置,可以通过使用部分配置将复杂性转移到 Terraform 工作流程中。在此模式下,仅在 config 中提供后端设置的子集,并在运行时在命令行上提供其他设置terraform init。
这允许选项在运行之间有所不同,但由于它需要提供额外的参数,因此大多数采用此方法的组织将使用包装器脚本根据本地约定适当配置 Terraform。这可以只是一个terraform init使用适当参数运行的简单 shell 脚本。
例如,这允许通过在命令行上提供自定义凭据文件来进行更改。在这种情况下,不使用状态环境,而是在环境之间切换需要根据新的后端配置重新初始化工作目录。
该解决方案的优点在于,它不会对 S3 和 DynamoDB 的使用施加任何特定限制,只要差异可以表示为 CLI 选项即可。
缺点是需要不寻常的工作流程或包装脚本来配置 Terraform。
| 归档时间: |
|
| 查看次数: |
1295 次 |
| 最近记录: |