はてなブックマーク

Terraformのベストプラクティスをググってみると、みなさん正解を見つけようと試行錯誤されているようですが例にもれず僕もそうでした。 僕は1年半の間に4つのプロジェクトでTerraformに触れてきましたが、その中で自分なりにベストなディレクトリ構成や手法がいくつか見えてきたので、現時点での集大成としてメモっておきます。 オレオレベストプラクティス今まで書いた記事を紹介しながらベストプラクティスをまとめていき、最後にベストプラクティスを実装したサンプルコードでインフラを構築してみます。 サンプルコードはこちらのGitHubをご覧ください。 AWSはマルチアカウントで運用するひとつのAWSアカウント=ひとつの環境 として運用します。 ひとつのAWSアカウントに他のプロジェクトや、たとえ同じプロジェクトであっても開発、本番環境を混在せず構築するため、Terraformのバグやオペレーション

CloudFrontに、お名前.comで用意したドメインを割り当て、AWSで作成したSSL証明書を適用してHTTPS化したいと思います。 なお注意点として、CloudFrontで利用するSSL証明書は、どのリージョンでサービスを提供するかに関わらず、米国東部 (バージニア北部) リージョン us-east-1にて作成します 独自ドメインおよびSSL証明書の設定手順ACMでSSL証明書の作成SSL証明書のリクエストまず最初にSSL証明書を作成します。 画面上部検索窓 [ Certificate Manager ] で検索 → 当該サービスをクリックします。 画面右上の リージョン選択のプルダウンで 米国東部 (バージニア北部)us-east-1を選択後、画面下の [ いますぐ始める ] を押下します。次の画面から順次、以下を入力してください。 証明書のリクエスト[ パブリック証明書のリクエス

TerraformのコーディングをしていくとDRY(Don’t Repeat Your Self:重複させない)原則を保ちつつ開発、本番環境の違いを、どう吸収するかの壁にぶち当たると思います。 更にコーディングする中での別の問題として、以前の記事のように単純に1つのディレクトリのみでコード量が増えていくと構成を把握しづらくなってしまうという点があります。 これらの対応策としてTerrafomにはModuleという概念があります。 また開発、本番環境が相互に影響を与えないよう分離する（それぞれ別々の状態（tfstate）を管理する）手法として ディレクトリ管理ワークスペース管理（ここではTerraformCLIのワークスペースのこと。Terraform Cloudのワークスペースとは別の概念）の2つが提示されています。 今回はModuleを使用しつつディレクトリで環境を分けて、Terrafo

Terraformを導入するにあたって、まっさらなゼロからソースを書き始めるよりかは、まずサンプルやたたき台があったほうが始めやすいと思います。 AWSコンソールからポチポチと構築した環境をそのままエクスポートしてTerraformコードに落とし込めると、AWSの画面とコードを具体的に比較でき、とても理解しやすくなります。 そこで自分はTerraformerというツールを使用しました。 既存環境をエクスポートする手法は他にもありましたがコマンド一発でサクッとできそう、かつGoogleが買収した会社のSREチーム作成ということで信頼性も高そうだったのでこちらを選択しました。 エクスポート手順事前準備Terraformのプラグインが必要になるため、こちらの記事を参考にTerraformをインストールし、作業ディレクトリで terraform init を実行しpluginをダウンロードします。

普通に terraform apply を実行すると適用されているすべてのモジュールが処理されます。 モジュールが少ないときはまだ良いのですが、次第に増えてくると一部の修正のみでも実際にその修正部分が処理されるまで、時間がかかる場合があります。 そこで処理するモジュールを指定することで、Terraformの実行時間を短縮できるメリットがあります。 ただ注意点として、特定moduleのみ実行しているとソースコードと実際のインフラが乖離していく恐れがあるため、日常的に使用するものではなくミスした部分の修正など例外的に使用するものとされています。 本番環境での使用は控えたほうがいいかもしれませんが、開発環境で試行錯誤しているときなどはかなり便利です。 特定moduleのみを指定して実行基本構文・実行例構文は以下になります。 terraform [plan|apply|destroy] -targ