Pulumi를 사용하여 인프라를 코드로 테스트합니다. 1 부

좋은 오후 친구. 새로운 흐름의 시작을 기대하며 "DevOps 사례 및 도구" 우리는 새로운 번역을 여러분과 공유하고 있습니다. 가다.

인프라 코드(코드로서의 인프라)에 Pulumi 및 범용 프로그래밍 언어를 사용하면 기술 및 지식의 가용성, 추상화를 통한 코드의 상용구 제거, IDE 및 린터와 같이 팀에 친숙한 도구 등 많은 이점을 제공합니다. 이러한 모든 소프트웨어 엔지니어링 도구는 생산성을 높일 뿐만 아니라 코드 품질도 향상시킵니다. 따라서 범용 프로그래밍 언어를 사용하면 또 다른 중요한 소프트웨어 개발 방식을 도입할 수 있다는 것은 당연합니다. 테스트.

이 기사에서는 Pulumi가 코드형 인프라 테스트에 어떻게 도움이 되는지 살펴보겠습니다.

인프라를 테스트하는 이유는 무엇입니까?

자세히 설명하기 전에 "인프라를 테스트하는 이유는 무엇입니까?"라는 질문을 던져 볼 가치가 있습니다. 여기에는 여러 가지 이유가 있으며 그 중 일부는 다음과 같습니다.

• 개별 기능 또는 프로그램 로직의 단편에 대한 단위 테스트
• 특정 제약 조건에 대해 원하는 인프라 상태를 확인합니다.
• 스토리지 버킷의 암호화 부족 또는 인터넷에서 가상 머신으로의 보호되지 않은 개방형 액세스와 같은 일반적인 오류를 감지합니다.
• 인프라 프로비저닝 구현을 확인합니다.
• 프로비저닝 후 기능을 확인하기 위해 "프로그래밍된" 인프라 내에서 실행되는 애플리케이션 로직의 런타임 테스트를 수행합니다.
• 보시다시피 광범위한 인프라 테스트 옵션이 있습니다. Polumi는 이 스펙트럼의 모든 지점에서 테스트할 수 있는 메커니즘을 갖추고 있습니다. 시작하여 어떻게 작동하는지 살펴보겠습니다.

단위 테스트

Pulumi 프로그램은 JavaScript, Python, TypeScript 또는 Go와 같은 범용 프로그래밍 언어로 작성됩니다. 따라서 테스트 프레임워크를 포함한 도구와 라이브러리를 포함하여 이러한 언어의 모든 기능을 사용할 수 있습니다. Pulumi는 멀티 클라우드이므로 모든 클라우드 제공업체의 테스트에 사용할 수 있습니다.

(이 기사에서는 다국어, 멀티클라우드임에도 불구하고 JavaScript와 Mocha를 사용하고 AWS에 중점을 둡니다. Python을 사용할 수 있습니다. unittest, 테스트 프레임워크 또는 원하는 다른 테스트 프레임워크로 이동하세요. 물론 Pulumi는 Azure, Google Cloud, Kubernetes와도 잘 작동합니다.)

지금까지 살펴보았듯이 인프라 코드를 테스트하려는 데에는 몇 가지 이유가 있습니다. 그 중 하나가 기존 단위 테스트입니다. 코드에 CIDR 계산, 이름, 태그 등의 동적인 계산과 같은 기능이 있을 수 있기 때문입니다. - 아마 테스트해보고 싶을 겁니다. 이는 선호하는 프로그래밍 언어로 애플리케이션에 대한 일반 단위 테스트를 작성하는 것과 같습니다.
좀 더 복잡해지기 위해 프로그램이 리소스를 할당하는 방법을 확인할 수 있습니다. 설명을 위해 간단한 EC2 서버를 생성해야 하며 다음 사항을 확인해야 한다고 가정해 보겠습니다.

• 인스턴스에는 태그가 있습니다 Name.
• 인스턴스는 인라인 스크립트를 사용하면 안 됩니다. userData - AMI(이미지)를 사용해야 합니다.
• 인터넷에 SSH가 노출되어서는 안 됩니다.

이 예는 다음을 기반으로 합니다. 내 예는 aws-js-webserver:

index.js:

"use strict";
 
let aws = require("@pulumi/aws");
 
let group = new aws.ec2.SecurityGroup("web-secgrp", {
    ingress: [
        { protocol: "tcp", fromPort: 22, toPort: 22, cidrBlocks: ["0.0.0.0/0"] },
        { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
    ],
});
 
let userData =
`#!/bin/bash
echo "Hello, World!" > index.html
nohup python -m SimpleHTTPServer 80 &`;
 
let server = new aws.ec2.Instance("web-server-www", {
    instanceType: "t2.micro",
    securityGroups: [ group.name ], // reference the group object above
    ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
    userData: userData              // start a simple web server
});
 
exports.group = group;
exports.server = server;
exports.publicIp = server.publicIp;
exports.publicHostName = server.publicDns;

이것이 기본 Pulumi 프로그램입니다. 간단히 EC2 보안 그룹과 인스턴스를 할당합니다. 그러나 여기서는 위에서 언급한 세 가지 규칙을 모두 위반하고 있다는 점에 유의해야 합니다. 테스트를 작성해보자!

테스트 작성

테스트의 일반적인 구조는 일반 Mocha 테스트와 유사합니다.

ec2tests.js

test.js:
let assert = require("assert");
let mocha = require("mocha");
let pulumi = require("@pulumi/pulumi");
let infra = require("./index");
 
describe("Infrastructure", function() {
    let server = infra.server;
    describe("#server", function() {
        // TODO(check 1): Должен быть тэг Name.
        // TODO(check 2): Не должно быть inline-скрипта userData.
    });
    let group = infra.group;
    describe("#group", function() {
        // TODO(check 3): Не должно быть SSH, открытого в Интернет.
    });
});

이제 첫 번째 테스트를 작성해 보겠습니다. 인스턴스에 태그가 있는지 확인하세요. Name. 이를 확인하려면 EC2 인스턴스 객체를 가져와서 해당 속성을 확인하면 됩니다. tags:

 // check 1: Должен быть тэг Name.
        it("must have a name tag", function(done) {
            pulumi.all([server.urn, server.tags]).apply(([urn, tags]) => {
                if (!tags || !tags["Name"]) {
                    done(new Error(`Missing a name tag on server ${urn}`));
                } else {
                    done();
                }
            });
        });

일반적인 테스트처럼 보이지만 주목할 만한 몇 가지 기능이 있습니다.

• 배포하기 전에 리소스 상태를 쿼리하기 때문에 테스트는 항상 "계획"(또는 "미리 보기") 모드에서 실행됩니다. 따라서 값이 검색되지 않거나 정의되지 않는 속성이 많이 있습니다. 여기에는 클라우드 공급자가 계산한 모든 출력 속성이 포함됩니다. 이는 테스트에서는 정상적인 현상입니다. 입력 데이터만 확인합니다. 나중에 통합 테스트에 관해 이 문제를 다시 다루겠습니다.
• 모든 Pulumi 리소스 속성은 출력이고 그 중 많은 속성이 비동기식으로 평가되므로 값에 액세스하려면 적용 메서드를 사용해야 합니다. 이는 Promise 및 afunction과 매우 유사합니다. then .
• 오류 메시지에 리소스 URN을 표시하기 위해 여러 속성을 사용하고 있으므로 다음 함수를 사용해야 합니다. pulumi.all그들을 결합합니다.
• 마지막으로 이러한 값은 비동기적으로 계산되므로 Mocha에 내장된 비동기 콜백 기능을 사용해야 합니다. done 또는 약속을 반환합니다.

모든 설정이 완료되면 간단한 JavaScript 값으로 입력에 액세스할 수 있습니다. 재산 tags 는 맵(연관 배열)이므로 (1) false가 아닌지, (2) 다음에 대한 키가 있는지 확인하겠습니다. Name. 매우 간단하므로 이제 무엇이든 테스트할 수 있습니다!

이제 두 번째 수표를 작성해 보겠습니다. 훨씬 더 간단합니다.

 // check 2: Не должно быть inline-скрипта userData.
        it("must not use userData (use an AMI instead)", function(done) {
            pulumi.all([server.urn, server.userData]).apply(([urn, userData]) => {
                if (userData) {
                    done(new Error(`Illegal use of userData on server ${urn}`));
                } else {
                    done();
                }
            });
        });

그리고 마지막으로 세 번째 테스트를 작성해 보겠습니다. 보안 그룹과 관련된 로그인 규칙(많을 수 있음)과 해당 규칙의 CIDR 범위(많을 수도 있음)를 찾고 있기 때문에 이는 좀 더 복잡합니다. 하지만 우리는 다음을 수행했습니다.

    // check 3: Не должно быть SSH, открытого в Интернет.
        it("must not open port 22 (SSH) to the Internet", function(done) {
            pulumi.all([ group.urn, group.ingress ]).apply(([ urn, ingress ]) => {
                if (ingress.find(rule =>
                        rule.fromPort == 22 && rule.cidrBlocks.find(block =>
                            block === "0.0.0.0/0"))) {
                    done(new Error(`Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group ${urn}`));
                } else {
                    done();
                }
            });
        });

그게 다야. 이제 테스트를 실행해보겠습니다!

테스트 실행

대부분의 경우 선택한 테스트 프레임워크를 사용하여 일반적인 방법으로 테스트를 실행할 수 있습니다. 그런데 풀루미에는 주목할 만한 특징이 하나 있다.
일반적으로 Pulumi 프로그램을 실행하려면 언어 런타임을 구성하고 Pulumi 엔진 실행을 제어하여 리소스 관련 작업을 기록하고 계획에 포함시키는 pulimi CLI(Command Line Interface)를 사용합니다. 그러나 한 가지 문제가 있습니다. 테스트 프레임워크의 제어 하에 실행되는 경우 CLI와 Pulumi 엔진 간에는 통신이 없습니다.

이 문제를 해결하려면 다음 사항을 지정하면 됩니다.

• 환경 변수에 포함된 프로젝트 이름 PULUMI_NODEJS_PROJECT (또는 더 일반적으로, PULUMI__PROJECT для других языков).
  환경 변수에 지정된 스택의 이름 PULUMI_NODEJS_STACK (또는 더 일반적으로, PULUMI__ STACK).
  스택 구성 변수. 환경 변수를 사용하여 얻을 수 있습니다. PULUMI_CONFIG 해당 형식은 키/값 쌍이 있는 JSON 맵입니다.

  프로그램은 실행 중에 CLI/엔진에 대한 연결을 사용할 수 없다는 경고를 표시합니다. 이는 프로그램이 실제로 아무것도 배포하지 않고 의도한 대로 배포되지 않으면 놀랄 수 있기 때문에 중요합니다! Pulumi에게 이것이 정확히 필요한 것임을 알리려면 다음을 설치하십시오. PULUMI_TEST_MODE в true.

  프로젝트 이름을 지정해야 한다고 상상해 보세요. my-ws, 스택 이름 dev및 AWS 리전 us-west-2. Mocha 테스트를 실행하기 위한 명령줄은 다음과 같습니다.

  $ PULUMI_TEST_MODE=true 
      PULUMI_NODEJS_STACK="my-ws" 
      PULUMI_NODEJS_PROJECT="dev" 
      PULUMI_CONFIG='{ "aws:region": "us-west-2" }' 
      mocha tests.js

  예상대로 이렇게 하면 세 가지 테스트에 실패했음을 알 수 있습니다!

  Infrastructure
      #server
        1) must have a name tag
   	 2) must not use userData (use an AMI instead)
      #group
        3) must not open port 22 (SSH) to the Internet
  
    0 passing (17ms)
    3 failing
   
   1) Infrastructure
         #server
           must have a name tag:
       Error: Missing a name tag on server
          urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www
  
   2) Infrastructure
         #server
           must not use userData (use an AMI instead):
       Error: Illegal use of userData on server
          urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www
  
   3) Infrastructure
         #group
           must not open port 22 (SSH) to the Internet:
       Error: Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group

  프로그램을 수정해 봅시다:

  "use strict";
   
  let aws = require("@pulumi/aws");
   
  let group = new aws.ec2.SecurityGroup("web-secgrp", {
      ingress: [
          { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
      ],
  });
   
  let server = new aws.ec2.Instance("web-server-www", {
      tags: { "Name": "web-server-www" },
      instanceType: "t2.micro",
      securityGroups: [ group.name ], // reference the group object above
      ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
  });
   
  exports.group = group;
  exports.server = server;
  exports.publicIp = server.publicIp;
  exports.publicHostName = server.publicDns;
  

  그런 다음 테스트를 다시 실행합니다.

  Infrastructure
      #server
        ✓ must have a name tag
        ✓ must not use userData (use an AMI instead)
      #group
        ✓ must not open port 22 (SSH) to the Internet
   
   
   3 passing (16ms)

  모든 일이 순조롭게 진행되었습니다... 만세! ✓✓✓

  오늘은 여기까지입니다. 번역의 두 번째 부분에서 배포 테스트에 대해 이야기하겠습니다 😉

출처 : habr.com