如何在GCP以及AWS設定 remote backend 管理 terraform 狀態檔

2023/10/28閱讀時間約 30 分鐘

👨‍💻簡介

terraform在每次執行terraform plan或terraform apply時，是如何知道應該要管理哪些資源？

其實就是透過在每次執行terraform時，將建立或要變更的資源都記錄在terraform.state這份狀態檔，預設檔案使用JSON格式。

假設建立一個google cloud storage的resource，tf設定檔如下：

resource "google_storage_bucket" "bucket" {
  name                        = "terraform-alan-test-bucket"
  location                    = "ASIA-EAST1"
  storage_class               = "STANDARD" 
  public_access_prevention    = "enforced"
  force_destroy               = true
  uniform_bucket_level_access = true
}

建立後的terraform.tfstate的一小部分如下：

{
  "version": 4,
  "terraform_version": "1.5.7",
  "serial": 3,
  "lineage": "abda0fda-b807-b8b3-0a36-8b0c2f92e3f5",
  "outputs": {},
  "resources": [
    {
      "module": "module.base-bucket",
      "mode": "managed",
      "type": "google_storage_bucket",
      "name": "bucket",
      "provider": "module.base-bucket.provider[\"registry.terraform.io/hashicorp/google\"]",
      "instances": [
        {
          "schema_version": 1,
          "attributes": {
            "autoclass": [],
            "cors": [],
            "custom_placement_config": [],
            "default_event_based_hold": false,
            "effective_labels": {},
            "encryption": [],
            "force_destroy": true,
            "id": "terraform-alan-test-bucket",
            "labels": null,
            "lifecycle_rule": [],
            "location": "ASIA-EAST1",
            "logging": [],
            "name": "terraform-alan-test-bucket",
			}
        }
      ]
    }
  ]
}

可以看到id的屬性，當每次執行plan或是apply時，terraform就是拿這個屬性從本地terraform設定檔與雲上資源做比對。

如果你的terraform用在個人專案，則將狀態檔存在本機即可；不過如果是一個團隊要使用terraform，則可能會遇到幾個問題：

狀態檔需要共用：需要確保團隊成員都能正常存取相同的terraform狀態檔。
鎖定狀態檔：需要確保團隊成員使用terraform進行操作時，只有一人能對狀態檔做修改，否則可能會因為多個terraform進程對狀態檔做併發更新，導致資料丟失或是狀態檔損壞。

要解決上述問題，常見的做法是將狀態檔進行版本控制(git)，但因為某些原因，將狀態檔進行版控並不是一個好想法。有底下幾個原因：

手動操作錯誤：有時候可能在操作terraform時，忘記拉取最新狀態檔，或是在執行完terraform後，忘記將狀態檔更新到版控。可能團隊成員使用到舊的狀態檔導致資源回滾。
鎖定問題：多數的版本控制系統沒提供任何形式的鎖定，防止兩個團隊成員同時對同一份狀態檔執行操作。
加密：terraform狀態檔的資料預設都是以明文形式儲存。但某些資源需要儲存敏感資料，像是資料庫創建時需要建立初始化使用者以及密碼，這些資料不應該以明文的形式儲存在版本控制。

因為以上原因，terraform官方推出 remote backend的支援，可以將狀態檔儲存在所使用的雲平台，而不是使用版本控制，而remote backend解決了剛才列出的三個問題：

手動操作錯誤：terraform每次運行時會自動從 remote backend 載入狀態檔，並且每次運行後都會自動將狀態檔儲存在 remote backend，解決了手動操作錯誤。
鎖定問題：大多數 remote backend 都支援鎖定。運行terraform時會自動將檔案進行上鎖，確保只會有一人進行操作。
加密：大多數 remote backend 都支援狀態檔的傳輸中加密和靜態加密。

使用gcp平台推薦使用 google cloud storage，整理的原因如下：

這是託管服務，不需部署和管理額外基礎設施即可使用。
gcs旨在實現99.99%的持久性和年度耐用性。

数据可用性和耐用性 | Cloud Storage | Google Cloud

gcs支援加密，預設使用server side encrypt，另外也可使用ckms服務

数据加密选项 | Cloud Storage | Google Cloud

支援版本控制

使用对象版本控制 | Cloud Storage | Google Cloud

費用便宜，使用免費額度即可滿足需求。

价格 | Cloud Storage | Google Cloud

GCP GCS作為terraform remote backend

要使用 Google cloud stroage作為 terraform remote backend，首先是先建立 gcs bucket。在新資料夾中建立一個provider.tf檔案

terraform {
  required_providers {
    google = {
      source  = "hashicorp/google"
      version = ">=4.0"
    }
  }
}

provider "google" {
  region  ="asia-east1"
}

接著再建立一個名為bucket.tf檔案，使用 google_storage_bucket resource 建立 gcs bucket。

resource "google_storage_bucket" "bucket" {
  name                        = "terraform-alan-test-bucket"
  location                    = "ASIA-EAST1"
  storage_class               = "STANDARD"
  public_access_prevention    = "enforced"
  force_destroy               = false
  uniform_bucket_level_access = true
}

參數說明如下：

name：定義 gcs bucket 名稱
location：指定 bucket 儲存位置
storage_class：指定 bucket 儲存類型
public_access_prevention：設定公開存取防止策略，enforce表示不允許公開訪問
force_destroy：設定是否可強制刪除
uniform_bucket_level_access：設定是否啟用統一訪問控制

當執行完terraform init以及 terraform apply部署完後，就會看到gcs已經建立完成。但目前狀態檔還是儲存在本地。要將狀態檔儲存到 gcs bucket，需要再額外設定 remote backend，語法如下：

terraform {
  backend "<BACKEND_NAME>" {
    [CONFIG...]
  }
}

其中 BACKEND_NAME是要使用的資源，CONFIG是對這個後端的參數設定。以下是 gcs bucket的後端設定：

terraform {
  backend "gcs" {
    bucket  = "terraform-alan-test-bucket"
    prefix  = "bucket-state"
  }
}

參數說明如下：

bucket：要使用的bucket name，這邊填入剛剛建立的 bucket
prefix：定義狀態檔的路徑和名稱，以上述為例，狀態檔會被存放在 bucket-state資料夾

要將狀態檔儲存到 gcs ，只需要重新執行 terraform init 指令。該指令不僅可以下載 provider code，還可以設定 terraform backend。此外，init的指令是冪等的，多次執行可以確保每次都是預期的行為。

> terraform init
Initializing the backend...
Do you want to copy existing state to the new backend?
  Pre-existing state was found while migrating the previous "local" backend to the
  newly configured "gcs" backend. No existing state was found in the newly
  configured "gcs" backend. Do you want to copy this state to the new "gcs"
  backend? Enter "yes" to copy and "no" to start with an empty state.
  Enter a value:

執行後terraform會自動檢查本地已有的狀態檔，並跳出提示說要將狀態檔複製到 gcs backend。如果輸入 yes，則會看到以下內容：

Successfully configured the backend "gcs"! Terraform will automatically
use this backend unless the backend configuration changes.
Initializing modules...
Initializing provider plugins...
- Reusing previous version of hashicorp/google from the dependency lock file
- Using previously-installed hashicorp/google v5.3.0
Terraform has been successfully initialized!

執行完畢後可以到 gcs查看狀態檔是否已經儲存上去。

如果之後有資源使用一樣的backend，terraform執行時就會自動從這個 gcs拉取最新的狀態，並且執行後會自動將最新狀態推送到這個 gcs。

當有兩人同時執行時，則第二個人會出現以下訊息：

> terraform plan
Acquiring state lock. This may take a few moments...
╷
│ Error: Error acquiring the state lock
│ 
│ Error message: writing
│ "gs://terraform-alan-test-bucket/bucket-state/default.tflock" failed:
│ googleapi: Error 412: At least one of the pre-conditions you specified did not
│ hold., conditionNotMet
│ Lock Info:
│   ID:        1698225515771180
│   Path:      gs://terraform-alan-test-bucket/bucket-state/default.tflock
│   Operation: OperationTypeApply
│   Who:       alan_wang
│   Version:   1.5.7
│   Created:   2023-10-25 09:18:35.490893 +0000 UTC
│   Info:      
│ 
│ 
│ Terraform acquires a state lock to protect the state from being written
│ by multiple users at the same time. Please resolve the issue above and try
│ again. For most commands, you can disable locking with the "-lock=false"
│ flag, but this is not recommended.

這也確保了執行只會有一人，其他人要操作都會被擋下來。

AWS S3作為terraform remote backend

依照慣例先來個 provider.tf起手式

terraform {
  required_providers {
    aws = {
      source = "hashicorp/aws"
      version = "5.22.0"
    }
  }
}

provider "aws" {
  alias  = "ap-east-1"
  region = "ap-east-1"
}

接著建立一個名為bucket.tf檔案

resource "aws_s3_bucket" "terraform_state" {
  bucket = "terraform-alan-test-bucket"
  provider = aws.ap-east-1
  force_destroy = false
  # Prevent accidental deletion of this S3 bucket
  lifecycle {
    prevent_destroy = true
  }
}

參數說明如下：

bucket：定義 s3 bucket 名稱
provider：指定 bucket 儲存位置
force_destroy：設定是否可強制刪除
prevent_destroy：任何嘗試刪除該資源的操作都將導致terraform退出並顯示錯誤。

接下來要替s3增加一些額外的保護

首先新增版本控制，使用aws_s3_bucket_versioning resource開啟版本控制，確保每次更新都會創建新版。當出現問題時也能恢復成舊版：

resource "aws_s3_bucket_versioning" "enabled" {
  bucket = aws_s3_bucket.terraform_state.id
  versioning_configuration {
    status = "Enabled"
  }
}

參數說明如下：

bucket：要啟用版本控制的 S3 bucket 的 ID
versioning_configuration：
status：可用選項為Enabled、Disabled與Suspended，設為 “Enabled” 表示啟用版本控制

接著開啟加密設定，使用 aws_s3_bucket_server_side_encryption_configuration，開啟後寫入到這個 S3 的所有資料都會啟用 server 端的加密。確保狀態檔以及任何存在 S3 的敏感資料都在硬碟上加密：

resource "aws_s3_bucket_server_side_encryption_configuration" "server_side_encryption" {
  bucket = aws_s3_bucket.terraform_state.id

  rule {
      apply_server_side_encryption_by_default {
        sse_algorithm = "AES256"
      }
    }
  }

參數說明如下：

bucket：要啟用版本控制的 S3 bucket 的 ID
apply_server_side_encryption_by_default：指定預設的 server 端加密設定。
sse_algorithm：設定 server 端加密算法，這裡使用的是 “AES256”。

補充一下其他可用選項

AES256 (SSE-S3):

描述：使用 Amazon S3 托管的密鑰（SSE-S3）進行加密。
算法：AES-256。
密鑰管理：由 Amazon S3 自動處理。

2. aws:kms (SSE-KMS):

描述：使用 AWS Key Management Service (KMS) 托管的 CMK（客戶主密鑰）進行加密。
算法：通常是 AES-256，但具體取決於 KMS。
密鑰管理：由 AWS KMS 處理，允許更細緻的控制和審計跟踪。

3. aws:kms:dsse (SSE-KMS with Double-Wrap):

描述：這是一種特殊的 KMS 加密方法，其中數據首先使用一個隨機數據加密密鑰 (DEK) 進行加密，然後 DEK 本身使用 KMS CMK 進行加密，從而實現雙重加密。
密鑰管理：由 AWS KMS 處理。

區別:

密鑰管理：AES256 由 S3 自動管理，aws:kms 和 aws:kms:dsse 允許更多的控制和稽核，由 AWS KMS 處理。
加密強度：aws:kms:dsse 提供雙重加密，可提供更高的安全性。

📚Reference

17會員

81Content count

golang

留言0

查看全部

發表第一個留言支持創作者！

wang alan的沙龍的其他內容

在 GCP 環境下使用 Ansible 自動化建立 ELK Stack

📔心得最近，我在探索 Ansible 自動化工具的過程中，決定運用它來建立 ELK Stack，這是我之前使用 Docker 建立的經驗的延伸。在這個過程中，我想分享一下我的學習心得。

#ansible #elk #automation

Kubernetes Secret

在 Kubernetes 裡，Secret 就像是一個保險箱，可以放你任何不想公開的東西。比如說密碼、API 金鑰、憑證等，這樣的資料可能會被放在 Pod 裡，但你可以用 Secret 來避免直接在應用程式的程式碼中暴露這些機密資料。

#Kubernetes

K8S憑證過期：X509: Certificate Has Expired Or Is Not Yet Valid

👨‍💻簡介今天早上在下kubectl get pods時，突然跳出了以下錯誤 Unable to connect to the server: x509: certificate has expired or is not yet valid

#過期 #Kubernetes #憑證

WSL環境下使用websocket連線被拒

👨‍💻簡介因在wsl環境下使用websocket通訊協議，並在windows使用postman發生連線被拒嘗試了localhost與127.0.0.1都無效，爬文後找到了一些解決辦法，這邊簡單紀錄一下

#Windows #wsl

《Zeabur - 部署服務從未如此簡單》

👨‍💻簡介從來沒想過部署可以如此的方便快速，第一次接觸到Zeabur的時候覺得他跟一般的雲端服務商差不多，架設網站用個vm之類的，但仔細去摸索後才發現他是個想讓開發人員專注在寫扣這件事上，不需去管任何infra相關事項的一個服務，像是架設wordpress需要sql，就簡單的點兩下即可完

#部署 #專案 #部落格

Kubernetes Deployment：Overview

什麼是 Kubernetes Deployment? 一樣先來個官網解說 A Deployment provides declarative updates for Pods and ReplicaSets. You describe a desired state in a Deployment,

#Kubernetes #devops #Deployment

在 GCP 環境下使用 Ansible 自動化建立 ELK Stack

#ansible #elk #automation

Kubernetes Secret

#Kubernetes

K8S憑證過期：X509: Certificate Has Expired Or Is Not Yet Valid

👨‍💻簡介今天早上在下kubectl get pods時，突然跳出了以下錯誤 Unable to connect to the server: x509: certificate has expired or is not yet valid

#過期 #Kubernetes #憑證

WSL環境下使用websocket連線被拒

#Windows #wsl

《Zeabur - 部署服務從未如此簡單》

#部署 #專案 #部落格

Kubernetes Deployment：Overview

什麼是 Kubernetes Deployment? 一樣先來個官網解說 A Deployment provides declarative updates for Pods and ReplicaSets. You describe a desired state in a Deployment,

#Kubernetes #devops #Deployment