Pulumi を使用したコードとしてのインフラストラクチャのテスト。 パート1

皆さん、こんにちは。 このレートで新たな流れが始まることを期待して 「DevOps の実践とツール」 新しい翻訳を皆さんにシェアします。 行く。

インフラストラクチャ コードに Pulumi と汎用プログラミング言語 (Infra Structure as Code) を使用すると、スキルと知識の利用可能性、抽象化によるコード内のボイラープレートの排除、IDE やリンターなどのチームに馴染みのあるツールなど、多くの利点が得られます。 これらすべてのソフトウェア エンジニアリング ツールは、生産性を向上させるだけでなく、コードの品質も向上させます。 したがって、汎用プログラミング言語の使用により、別の重要なソフトウェア開発手法を導入できるようになるのは当然のことです。 テスト.

この記事では、Pulumi がコードとしてのインフラストラクチャのテストにどのように役立つかを見ていきます。

インフラストラクチャをテストする理由

詳細に入る前に、「そもそもインフラストラクチャをテストする必要があるのはなぜですか?」という質問をする価値があります。 これには多くの理由がありますが、その一部を以下に示します。

• プログラム ロジックの個々の関数または断片の単体テスト
• 特定の制約に対してインフラストラクチャの望ましい状態を検証します。
• ストレージ バケットの暗号化の欠如や、インターネットから仮想マシンへの保護されていないオープン アクセスなど、一般的なエラーの検出。
• インフラストラクチャ プロビジョニングの実装を確認します。
• 「プログラムされた」インフラストラクチャ内で実行されるアプリケーション ロジックのランタイム テストを実行し、プロビジョニング後の機能を確認します。
• ご覧のとおり、インフラストラクチャ テストには幅広いオプションがあります。 Polumi には、この範囲のあらゆる点でテストするためのメカニズムがあります。 始めて、それがどのように機能するかを見てみましょう。

単体テスト

Pulumi プログラムは、JavaScript、Python、TypeScript、Go などの汎用プログラミング言語で作成されます。 したがって、テスト フレームワークを含むツールやライブラリを含め、これらの言語の能力を最大限に活用できます。 Pulumi はマルチクラウドであるため、どのクラウド プロバイダーからのテストにも使用できます。

(この記事では、多言語、マルチクラウドにもかかわらず、JavaScript と Mocha を使用し、AWS を中心に説明します。Python を使用することもできます) unittest、Go テスト フレームワーク、またはその他の任意のテスト フレームワークを使用します。 そしてもちろん、Pulumi は Azure、Google Cloud、Kubernetes とうまく連携します。)

これまで見てきたように、インフラストラクチャ コードをテストする理由はいくつかあります。 その XNUMX つは従来の単体テストです。 コードには、たとえば、CIDR を計算したり、名前やタグを動的に計算したりする関数が含まれている可能性があるためです。 - おそらくテストしたくなるでしょう。 これは、お気に入りのプログラミング言語でアプリケーションの通常の単体テストを作成するのと同じです。
もう少し複雑にするには、プログラムがリソースをどのように割り当てるかを確認できます。 説明のために、単純な EC2 サーバーを作成する必要があり、次のことを確認したいと想像してみましょう。

• インスタンスにはタグがあります Name.
• インスタンスではインライン スクリプトを使用しないでください userData - AMI (イメージ) を使用する必要があります。
• SSH をインターネットに公開しないでください。

この例は以下に基づいています 私の例 aws-js-webserver:

インデックス.js:

"use strict";
 
let aws = require("@pulumi/aws");
 
let group = new aws.ec2.SecurityGroup("web-secgrp", {
    ingress: [
        { protocol: "tcp", fromPort: 22, toPort: 22, cidrBlocks: ["0.0.0.0/0"] },
        { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
    ],
});
 
let userData =
`#!/bin/bash
echo "Hello, World!" > index.html
nohup python -m SimpleHTTPServer 80 &`;
 
let server = new aws.ec2.Instance("web-server-www", {
    instanceType: "t2.micro",
    securityGroups: [ group.name ], // reference the group object above
    ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
    userData: userData              // start a simple web server
});
 
exports.group = group;
exports.server = server;
exports.publicIp = server.publicIp;
exports.publicHostName = server.publicDns;

これは基本的な Pulumi プログラムです。これは単に EC2 セキュリティ グループとインスタンスを割り当てるだけです。 ただし、ここでは上記の XNUMX つのルールすべてに違反していることに注意してください。 テストを書いてみましょう！

テストの作成

テストの一般的な構造は、通常の Mocha テストと同じようになります。

ec2test.js

test.js:
let assert = require("assert");
let mocha = require("mocha");
let pulumi = require("@pulumi/pulumi");
let infra = require("./index");
 
describe("Infrastructure", function() {
    let server = infra.server;
    describe("#server", function() {
        // TODO(check 1): Должен быть тэг Name.
        // TODO(check 2): Не должно быть inline-скрипта userData.
    });
    let group = infra.group;
    describe("#group", function() {
        // TODO(check 3): Не должно быть SSH, открытого в Интернет.
    });
});

それでは、最初のテストを書いてみましょう。インスタンスにタグがあることを確認してください。 Name。 これを確認するには、EC2 インスタンス オブジェクトを取得し、対応するプロパティを確認するだけです。 tags:

 // check 1: Должен быть тэг Name.
        it("must have a name tag", function(done) {
            pulumi.all([server.urn, server.tags]).apply(([urn, tags]) => {
                if (!tags || !tags["Name"]) {
                    done(new Error(`Missing a name tag on server ${urn}`));
                } else {
                    done();
                }
            });
        });

これは通常のテストのように見えますが、注目に値する機能がいくつかあります。

• デプロイ前にリソースの状態をクエリするため、テストは常に「計画」(または「プレビュー」) モードで実行されます。 したがって、値が単に取得されない、または定義されないプロパティが多数あります。 これには、クラウド プロバイダーによって計算されたすべての出力プロパティが含まれます。 これはテストでは正常です。入力データのみをチェックします。 この問題については、後で統合テストのときに再び取り上げます。
• すべての Pulumi リソース プロパティは出力であり、その多くは非同期で評価されるため、値にアクセスするには apply メソッドを使用する必要があります。 これはpromiseとafunctionに非常によく似ています then .
• エラー メッセージにリソース URN を表示するためにいくつかのプロパティを使用しているため、関数を使用する必要があります。 pulumi.allそれらを組み合わせます。
• 最後に、これらの値は非同期で計算されるため、Mocha の組み込みの非同期コールバック機能を使用する必要があります。 done または約束を返す。

すべてを設定したら、単純な JavaScript 値として入力にアクセスできるようになります。 財産 tags はマップ (連想配列) なので、(1) false ではないこと、および (2) のキーがあることを確認します。 Name。 とてもシンプルなので、何でもテストできるようになりました。

では、XNUMX 番目の小切手を書いてみましょう。 さらに簡単です:

 // check 2: Не должно быть inline-скрипта userData.
        it("must not use userData (use an AMI instead)", function(done) {
            pulumi.all([server.urn, server.userData]).apply(([urn, userData]) => {
                if (userData) {
                    done(new Error(`Illegal use of userData on server ${urn}`));
                } else {
                    done();
                }
            });
        });

最後に、XNUMX 番目のテストを作成しましょう。 セキュリティ グループに関連付けられたログイン ルール (多数存在する可能性がある) と、それらのルール内の CIDR 範囲 (同様に多数存在する可能性があります) を探しているため、これは少し複雑になります。 しかし、私たちは次のことを実行できました。

    // check 3: Не должно быть SSH, открытого в Интернет.
        it("must not open port 22 (SSH) to the Internet", function(done) {
            pulumi.all([ group.urn, group.ingress ]).apply(([ urn, ingress ]) => {
                if (ingress.find(rule =>
                        rule.fromPort == 22 && rule.cidrBlocks.find(block =>
                            block === "0.0.0.0/0"))) {
                    done(new Error(`Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group ${urn}`));
                } else {
                    done();
                }
            });
        });

それだけです。 では、テストを実行してみましょう。

テストの実行

ほとんどの場合、選択したテスト フレームワークを使用して、通常の方法でテストを実行できます。 ただし、Pulumi には注目に値する機能が XNUMX つあります。
通常、Pulumi プログラムを実行するには、言語ランタイムを構成し、リソースを使用した操作を記録して計画に含めることができるように Pulumi エンジンの起動を制御する pulimi CLI (コマンド ライン インターフェイス) が使用されます。 ただし、問題が XNUMX つあります。 テスト フレームワークの制御下で実行する場合、CLI と Pulumi エンジンの間に通信はありません。

この問題を回避するには、以下を指定するだけです。

• 環境変数に含まれるプロジェクト名 PULUMI_NODEJS_PROJECT (または、より一般的には、 PULUMI__PROJECT для других языков).
  環境変数で指定されたスタックの名前 PULUMI_NODEJS_STACK (または、より一般的には、 PULUMI__ STACK).
  スタック構成変数。 環境変数を使用して取得できます。 PULUMI_CONFIG その形式はキーと値のペアを含む JSON マップです。

  プログラムは、実行中に CLI/エンジンへの接続が利用できないことを示す警告を発行します。 プログラムは実際には何もデプロイしないため、これは重要であり、それが意図したものではない場合は驚くかもしれません。 Pulumi にこれがまさに必要なものであることを伝えるには、次のようにインストールします。 PULUMI_TEST_MODE в true.

  プロジェクト名を指定する必要があると想像してください。 my-ws、スタック名 dev、および AWS リージョン us-west-2。 Mocha テストを実行するためのコマンド ラインは次のようになります。

  $ PULUMI_TEST_MODE=true 
      PULUMI_NODEJS_STACK="my-ws" 
      PULUMI_NODEJS_PROJECT="dev" 
      PULUMI_CONFIG='{ "aws:region": "us-west-2" }' 
      mocha tests.js

  これを実行すると、予想どおり、失敗したテストが XNUMX つあることがわかります。

  Infrastructure
      #server
        1) must have a name tag
   	 2) must not use userData (use an AMI instead)
      #group
        3) must not open port 22 (SSH) to the Internet
  
    0 passing (17ms)
    3 failing
   
   1) Infrastructure
         #server
           must have a name tag:
       Error: Missing a name tag on server
          urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www
  
   2) Infrastructure
         #server
           must not use userData (use an AMI instead):
       Error: Illegal use of userData on server
          urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www
  
   3) Infrastructure
         #group
           must not open port 22 (SSH) to the Internet:
       Error: Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group

  プログラムを修正してみましょう。

  "use strict";
   
  let aws = require("@pulumi/aws");
   
  let group = new aws.ec2.SecurityGroup("web-secgrp", {
      ingress: [
          { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
      ],
  });
   
  let server = new aws.ec2.Instance("web-server-www", {
      tags: { "Name": "web-server-www" },
      instanceType: "t2.micro",
      securityGroups: [ group.name ], // reference the group object above
      ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
  });
   
  exports.group = group;
  exports.server = server;
  exports.publicIp = server.publicIp;
  exports.publicHostName = server.publicDns;
  

  そして、テストを再度実行します。

  Infrastructure
      #server
        ✓ must have a name tag
        ✓ must not use userData (use an AMI instead)
      #group
        ✓ must not open port 22 (SSH) to the Internet
   
   
   3 passing (16ms)

  すべてうまくいきました...万歳！ ✓✓✓

  今日はここまでですが、導入テストについては翻訳の後半でお話します 😉

出所： habr.com