🥇Infrastruktūras apraksts Terraform nākotnē. Antons Babenko (2018)

Daudzi cilvēki zina un izmanto Terraform savā ikdienas darbā, bet labākā prakse tam vēl nav izveidota. Katrai komandai ir jāizgudro savas pieejas un metodes.

Jūsu infrastruktūra gandrīz noteikti sākas vienkārši: daži resursi + daži izstrādātāji. Laika gaitā tas aug visos virzienos. Vai atrodat veidus, kā grupēt resursus Terraform moduļos, sakārtot kodu mapēs un kas vēl var noiet greizi? (slaveni pēdējie vārdi)

Laiks iet, un jums liekas, ka jūsu infrastruktūra ir jūsu jaunais mājdzīvnieks, bet kāpēc? Jūs uztraucas par neizskaidrojamām izmaiņām infrastruktūrā, jūs baidāties pieskarties infrastruktūrai un kodam - rezultātā jūs aizkavējat jaunu funkcionalitāti vai samazina kvalitāti...

Pēc trīs gadu ilgas Terraform kopienas moduļu kolekcijas pārvaldīšanas AWS platformā Github un ilgstošas Terraform uzturēšanas ražošanā, Antons Babenko ir gatavs dalīties savā pieredzē: kā uzrakstīt TF moduļus tā, lai tas nekaitētu nākotnē.

Sarunas beigās dalībnieki būs labāk iepazinušies ar Terraform resursu pārvaldības principiem, paraugpraksi, kas saistīta ar Terraform moduļiem, un dažiem nepārtrauktas integrācijas principiem, kas saistīti ar infrastruktūras pārvaldību.

Atruna: Es atzīmēju, ka šis ziņojums ir datēts ar 2018. gada novembri — ir pagājuši jau 2 gadi. Ziņojumā apspriestā Terraform 0.11 versija vairs netiek atbalstīta. Pēdējo 2 gadu laikā ir izdoti 2 jauni izdevumi, kuros ir daudz jauninājumu, uzlabojumu un izmaiņu. Lūdzu, pievērsiet tam uzmanību un pārbaudiet dokumentāciju.

Saites:

terraform-community-modules + terraform-aws-modules
antonbabenko/pre-commit-terraform — automātiskās formatēšanas kods un dokumentācija
antonbabenko / bruņurupucis — Terraform moduļu (WIP) ģenerators
antonbabenko/modules.tf-lambda - Terraform koda ģenerators no vizuālajām diagrammām (WIP)
www.terraform-best-practices.com
medium.com/@anton.babenko (Jaunas ziņas ir manā personīgajā vietnē www.antonbabenko.com/)
@antonbabenko - Twitter, un kaudzis dažādu bikses

Mani sauc Antons Babenko. Daži no jums droši vien izmantoja manis rakstīto kodu. Tagad es par to runāšu ar lielāku pārliecību nekā jebkad agrāk, jo man ir pieejama statistika.

Es strādāju pie Terraform un kopš 2015. gada esmu bijis aktīvs dalībnieks un līdzstrādnieks daudzos atklātā pirmkoda projektos, kas saistīti ar Terraform un Amazon.

Kopš tā laika esmu uzrakstījis pietiekami daudz koda, lai to ievietotu interesantā veidā. Un es mēģināšu jums par to pastāstīt tagad.

Es runāšu par darba ar Terraform smalkumiem un specifiku. Bet tas īsti nav HighLoad tēma. Un tagad jūs sapratīsit, kāpēc.

Laika gaitā es sāku rakstīt Terraform moduļus. Lietotāji rakstīja jautājumus, es tos pārrakstīju. Tad es uzrakstīju dažādus utilītus, lai formatētu kodu, izmantojot pirmsapstiprināšanas āķi utt.

Bija daudz interesantu projektu. Man patīk kodu ģenerēšana, jo man patīk, ka dators dara arvien vairāk darba manā un programmētāja vietā, tāpēc šobrīd strādāju pie Terraform kodu ģeneratora no vizuālām diagrammām. Varbūt daži no jums tos ir redzējuši. Šīs ir skaistas kastes ar bultām. Un es domāju, ka ir lieliski, ja varat noklikšķināt uz pogas “Eksportēt” un iegūt to visu kā kodu.

Es esmu no Ukrainas. Daudzus gadus dzīvoju Norvēģijā.

Tāpat informācija šim ziņojumam tika ievākta no cilvēkiem, kuri zina manu vārdu un atrod mani sociālajos tīklos. Man gandrīz vienmēr ir viens un tas pats segvārds.

https://github.com/terraform-aws-modules
https://registry.terraform.io/namespaces/terraform-aws-modules

Kā jau minēju, es esmu galvenais Terraform AWS moduļu uzturētājs, kas ir viena no lielākajām GitHub krātuvēm, kurā mēs mitinām moduļus visbiežāk sastopamajiem uzdevumiem: VPC, Autoscaling, RDS.

Un tas, ko jūs tagad dzirdējāt, ir visvienkāršākais. Ja šaubāties, ka saprotat, kas ir Terraform, tad labāk pavadīt laiku kaut kur citur. Šeit būs daudz tehnisku terminu. Un es nekavējos paziņot ziņojuma līmeni par augstāko. Tas nozīmē, ka es varu runāt, izmantojot visus iespējamos terminus bez īpašiem paskaidrojumiem.

Terraform parādījās 2014. gadā kā utilīta, kas ļāva rakstīt, plānot un pārvaldīt infrastruktūru kā kodu. Galvenais jēdziens šeit ir "infrastruktūra kā kods".

Visa dokumentācija, kā jau teicu, ir ierakstīta terraform.io. Es ceru, ka lielākā daļa cilvēku zina par šo vietni un ir izlasījuši dokumentāciju. Ja tā, tad jūs esat īstajā vietā.

Šādi izskatās parastais Terraform konfigurācijas fails, kurā vispirms definējam dažus mainīgos.

Šajā gadījumā mēs definējam "aws_region".

Pēc tam mēs aprakstam, kādus resursus mēs vēlamies izveidot.

Mēs palaižam dažas komandas, jo īpaši “terraform init”, lai ielādētu atkarības un nodrošinātājus.

Un mēs palaižam komandu “terraform apply”, lai pārbaudītu, vai norādītā konfigurācija atbilst mūsu izveidotajiem resursiem. Tā kā mēs iepriekš neko neesam izveidojuši, Terraform aicina mūs izveidot šos resursus.

Mēs to apstiprinām. Tādējādi mēs izveidojam spaini, ko sauc par jūras gliemezi.

Ir arī vairākas līdzīgas utilītas. Daudzi no jums, kas izmanto Amazon, zina AWS CloudFormation vai Google Cloud Deployment Manager vai Azure Resource Manager. Katram no tiem ir sava veida ieviešana resursu pārvaldībai katrā no šiem publiskajiem mākoņdatošanas pakalpojumu sniedzējiem. Terraform ir īpaši noderīga, jo tā ļauj pārvaldīt vairāk nekā 100 pakalpojumu sniedzēju. (Skatīt vairāk šeit)

Mērķi, uz kuriem Terraform ir tiecās jau no paša sākuma:

Terraform nodrošina vienotu skatījumu uz resursiem.
Ļauj atbalstīt visas mūsdienu platformas.
Un Terraform jau no paša sākuma tika izstrādāts kā utilīta, kas ļauj droši un paredzami mainīt infrastruktūru.

2014. gadā vārds “paredzams” šajā kontekstā izklausījās ļoti neparasti.

Terraform ir universāla utilīta. Ja jums ir API, varat kontrolēt pilnīgi visu:

Varat izmantot vairāk nekā 120 pakalpojumu sniedzējus, lai pārvaldītu visu, ko vēlaties.
Piemēram, varat izmantot Terraform, lai aprakstītu piekļuvi GitHub krātuvēm.
Jūs pat varat izveidot un aizvērt kļūdas pakalpojumā Jira.
Varat pārvaldīt jauno relikviju metriku.
Ja patiešām vēlaties, varat pat izveidot failus dropbox.

Tas viss tiek panākts, izmantojot Terraform nodrošinātājus, kuriem ir atvērta API, ko var aprakstīt Go.

Pieņemsim, ka mēs sākām lietot Terraform, izlasījām vietnes dokumentāciju, noskatījāmies videoklipu un sākām rakstīt main.tf, kā es parādīju iepriekšējos slaidos.

Un viss ir lieliski, jums ir fails, kas izveido VPC.

Ja vēlaties izveidot VPC, tad norādiet aptuveni šīs 12 rindas. Aprakstiet, kurā reģionā vēlaties izveidot, kuru IP adrešu cidr_block izmantot. Tas ir viss.

Protams, projekts pakāpeniski pieaugs.

Un jūs tur pievienosit daudz jaunu lietu: resursus, datu avotus, integrēsit jaunus pakalpojumu sniedzējus, pēkšņi vēlēsities izmantot Terraform, lai pārvaldītu lietotājus savā GitHub kontā utt. Iespējams, vēlēsities izmantot dažādi DNS pakalpojumu sniedzēji, šķērso visu. Terraform to atvieglo.

Apskatīsim šādu piemēru.

Jūs pakāpeniski pievienojat internet_gateway, jo vēlaties, lai jūsu VPC resursiem būtu piekļuve internetam. Šī ir laba ideja.

Rezultāts ir šis main.tf:

Šī ir vietnes main.tf augšējā daļa.

Šī ir galvenā.tf apakšējā daļa.

Pēc tam jūs pievienojat apakštīklu. Līdz brīdim, kad vēlaties pievienot NAT vārtejas, maršrutus, maršrutēšanas tabulas un virkni citu apakštīklu, jums būs nevis 38 rindas, bet aptuveni 200–300 rindas.

Tas nozīmē, ka jūsu main.tf fails pakāpeniski aug. Un diezgan bieži cilvēki visu liek vienā failā. 10-20 Kb parādās main.tf. Iedomājieties, ka 10–20 Kb ir teksta saturs. Un viss ir saistīts ar visu. Ar to pamazām kļūst grūti strādāt. 10-20 Kb ir labs lietotāja gadījums, dažreiz vairāk. Un cilvēki ne vienmēr domā, ka tas ir slikti.

Tāpat kā parastajā programmēšanā, t.i., nevis infrastruktūru kā kodu, mēs esam pieraduši izmantot dažādas klases, pakotnes, moduļus, grupējumus. Terraform ļauj jums darīt to pašu.

Kods aug.
Pieaug arī atkarība starp resursiem.

Un mums ir liela, liela vajadzība. Mēs saprotam, ka mēs vairs nevaram tā dzīvot. Mūsu kods kļūst milzīgs. 10-20 Kb, protams, nav ļoti liels, bet mēs runājam tikai par tīkla steku, t.i., jūs esat pievienojis tikai tīkla resursus. Mēs nerunājam par Application Load Balancer, izvietošanas ES klasteru, Kubernetes utt., Kur var viegli iepīt 100 Kb. Ja to visu pierakstīsit, ļoti drīz uzzināsiet, ka Terraform nodrošina Terraform moduļus.

Terraform moduļi ir autonoma Terraform konfigurācija, kas tiek pārvaldīta kā grupa. Tas ir viss, kas jums jāzina par Terraform moduļiem. Tie nemaz nav gudri, neļauj veidot sarežģītus savienojumus atkarībā no kaut kā. Tas viss gulstas uz izstrādātāju pleciem. Tas ir, šī ir tikai sava veida Terraform konfigurācija, kuru jūs jau esat uzrakstījis. Un jūs to varat vienkārši saukt par grupu.

Tāpēc mēs cenšamies saprast, kā optimizēsim savu 10-20-30 Kb kodu. Mēs pamazām saprotam, ka mums ir jāizmanto daži moduļi.

Pirmā veida moduļi, ar kuriem jūs saskaraties, ir resursu moduļi. Viņi nesaprot, kas ir jūsu infrastruktūra, kas ir jūsu bizness, kur un kādi ir nosacījumi. Šie ir tieši tie moduļi, kurus es kopā ar atvērtā pirmkoda kopienu administrēju un kurus mēs izvirzījām kā jūsu infrastruktūras sākotnējos blokus.

Resursu moduļa piemērs.

Izsaucot resursu moduli, mēs norādām, no kura ceļa mums jāielādē tā saturs.

Mēs norādām, kuru versiju vēlamies lejupielādēt.

Mēs tur nododam virkni argumentu. Tas ir viss. Tas ir viss, kas mums jāzina, kad mēs izmantojam šo moduli.

Daudzi cilvēki domā, ka, ja viņi izmantos jaunāko versiju, viss būs stabils. Bet nē. Infrastruktūrai ir jābūt versijai, mums ir skaidri jāatbild, kurā versijā šis vai cits komponents tika izvietots.

Šeit ir kods, kas atrodas šajā modulī. Drošības grupas modulis. Šeit ritinājums iet uz 640. līniju. Drošības krupas resursa izveide pakalpojumā Amazon visās iespējamās konfigurācijās ir ļoti nenozīmīgs uzdevums. Nepietiek vienkārši izveidot drošības grupu un pateikt tai, kādus noteikumus tai nodot. Tas būtu ļoti vienkārši. Amazon iekšienē ir miljons dažādu ierobežojumu. Piemēram, ja lietojat VPC galapunkts, prefiksu saraksts, dažādas API un mēģina to visu apvienot ar visu pārējo, tad Terraform neļauj to darīt. Un arī Amazon API to neatļauj. Tāpēc mums ir jāslēpj visa šī briesmīgā loģika modulī un jāiesniedz lietotāja kods, kas izskatās tieši šādi.

Lietotājam nav jāzina, kā tas ir izgatavots iekšpusē.

Otra veida moduļi, kas sastāv no resursu moduļiem, jau atrisina problēmas, kas vairāk attiecas uz jūsu biznesu. Bieži vien šī ir vieta, kas ir Terraform paplašinājums un nosaka dažas stingras tagu vērtības uzņēmuma standartiem. Tur varat arī pievienot funkcionalitāti, ko Terraform pašlaik neļauj izmantot. Tas ir tieši tagad. Tagad versija 0.11, kas drīz kļūs par pagātni. Bet tomēr priekšprocesori, jsonnet, cookiecutter un vēl virkne citu lietu ir palīgmehānisms, kas jāizmanto pilnvērtīgam darbam.

Tālāk es parādīšu dažus piemērus.

Infrastruktūras modulis tiek izsaukts tieši tādā pašā veidā.

Ir norādīts avots, no kurienes lejupielādēt saturu.

Šajā modulī tiek nodota un nodota virkne vērtību.

Tālāk šajā modulī tiek izsaukta virkne resursu moduļu, lai izveidotu VPC vai lietojumprogrammu slodzes līdzsvarotāju, vai lai izveidotu drošības grupu vai elastīgo konteineru pakalpojumu klasteru.

Ir divu veidu moduļi. Tas ir svarīgi saprast, jo lielākā daļa informācijas, ko esmu sagrupējusi šajā ziņojumā, nav ierakstīta dokumentācijā.

Un Terraform dokumentācija šobrīd ir diezgan problemātiska, jo tajā tikai teikts, ka ir šīs funkcijas, jūs varat tās izmantot. Bet viņa nesaka, kā šīs funkcijas izmantot, kāpēc tās ir labāk izmantot. Tāpēc ļoti liels skaits cilvēku raksta kaut ko tādu, ar ko nevar sadzīvot.

Tālāk apskatīsim, kā rakstīt šos moduļus. Tad redzēsim, kā tos izsaukt un kā strādāt ar kodu.

Terraformu reģistrs - https://registry.terraform.io/

Padoms #0 ir nerakstīt resursu moduļus. Lielākā daļa šo moduļu jau ir rakstīti jums. Kā jau teicu, tie ir atvērtā koda, tie nesatur nekādu jūsu biznesa loģiku, tiem nav kodētu vērtību IP adresēm, parolēm utt. Modulis ir ļoti elastīgs. Un tas, visticamāk, jau ir uzrakstīts. Ir daudz moduļu resursiem no Amazon. Apmēram 650. Un lielākā daļa ir labas kvalitātes.

Šajā piemērā kāds atnāca pie jums un teica: “Es vēlos pārvaldīt datu bāzi. Izveidojiet moduli, lai es varētu izveidot datu bāzi." Persona nezina ne Amazon, ne Terraform ieviešanas informāciju. Viņš vienkārši saka: "Es gribu pārvaldīt MSSQL." Tas ir, mēs domājam, ka tas izsauks mūsu moduli, nodos tur dzinēja tipu un norādīs laika joslu.

Un cilvēkam nevajadzētu zināt, ka mēs šajā modulī izveidosim divus dažādus resursus: vienu MSSQL, otru visam pārējam, jo Terraform 0.11 nevar norādīt laika joslu vērtības kā neobligātus.

Un, izejot no šī moduļa, cilvēks varēs vienkārši saņemt adresi. Viņš nezinās, no kuras datu bāzes, no kāda resursa mēs to visu iekšēji veidojam. Tas ir ļoti svarīgs slēpšanas elements. Un tas attiecas ne tikai uz tiem moduļiem, kas ir publiski atvērtā pirmkoda ietvaros, bet arī uz tiem moduļiem, kurus rakstīsit savos projektos un komandās.

Šis ir otrais arguments, kas ir diezgan svarīgs, ja kādu laiku esat lietojis Terraform. Jums ir repozitorijs, kurā ievietojat visus uzņēmuma Terraform moduļus. Un tas ir pilnīgi normāli, ka ar laiku šis projekts izaugs līdz viena vai diviem megabaitiem. Tas ir labi.

Bet problēma ir tā, kā Terraform sauc šos moduļus. Piemēram, ja izsaucat moduli, lai izveidotu katru atsevišķu lietotāju, Terraform vispirms ielādēs visu repozitoriju un pēc tam pāriet uz mapi, kurā atrodas konkrētais modulis. Tādā veidā jūs katru reizi lejupielādēsit vienu megabaitu. Ja pārvaldāt 100 vai 200 lietotājus, lejupielādēsiet 100 vai 200 megabaitus un pēc tam pārejiet uz šo mapi. Tāpēc, protams, jūs nevēlaties lejupielādēt daudz satura katru reizi, kad noklikšķināt uz "Terraform init".

https://github.com/mbtproject/mbt

Šai problēmai ir divi risinājumi. Pirmais ir izmantot relatīvos ceļus. Tādā veidā jūs norādāt kodā, ka mape ir lokāla (./). Un pirms kaut ko palaižat, lokāli izveidojiet šīs krātuves Git klonu. Tādā veidā jūs to darāt vienreiz.

Protams, ir daudz mīnusu. Piemēram, jūs nevarat izmantot versiju noteikšanu. Un ar to dažreiz ir grūti sadzīvot.

Otrais risinājums. Ja jums ir daudz apakšmoduļu un jums jau ir izveidots konveijera veids, tad ir MBT projekts, kas ļauj savākt daudz dažādu pakotņu no monorepozitorija un augšupielādēt tos S3. Tas ir ļoti labs veids. Tādējādi iam-user-1.0.0.zip fails svērs tikai 1 Kb, jo kods šī resursa izveidošanai ir ļoti mazs. Un tas darbosies daudz ātrāk.

Parunāsim par to, ko nevar izmantot moduļos.

Kāpēc tas ir ļaunums moduļos? Sliktākais ir pieņemt lietotāju. Pieņemsim, ka lietotājs ir nodrošinātāja autentifikācijas opcija, ko var izmantot dažādi cilvēki. Piemēram, mēs visi asimilēsim lomu. Tas nozīmē, ka Terraform uzņemsies šo lomu. Un tad ar šo lomu tas veiks citas darbības.

Un ļaunums ir tas, ka, ja Vasjam patīk izveidot savienojumu ar Amazon vienā veidā, piemēram, izmantojot noklusējuma vides mainīgo, un Petjam patīk izmantot savu koplietoto atslēgu, kas viņam ir slepenā vietā, tad jūs nevarat norādīt abus Terraforma. Un, lai viņi nepiedzīvotu ciešanas, modulī nav jānorāda šis bloks. Tas ir jānorāda augstākā līmenī. Tas ir, mums ir resursu modulis, infrastruktūras modulis un kompozīcija augšpusē. Un tas būtu jānorāda kaut kur augstāk.

Otrs ļaunums ir nodrošinātājs. Šeit ļaunums nav tik niecīgs, jo ja tu raksti kodu un tas tev der, tad tu vari domāt, ka ja strādā, tad kāpēc to mainīt.

Ļaunums ir tas, ka jūs, pirmkārt, ne vienmēr kontrolējat, kad šis nodrošinātājs tiks palaists. Un, otrkārt, jūs nekontrolējat, ko nozīmē aws ec2, t.i., vai mēs tagad runājam par Linux vai Windows. Tātad jūs nevarat uzrakstīt kaut ko tādu, kas darbotos vienādi dažādās operētājsistēmās vai dažādos lietotāju gadījumos.

Visizplatītākais piemērs, kas ir norādīts arī oficiālajā dokumentācijā, ir tāds, ka, ja rakstāt aws_instance un norādāt virkni argumentu, tad nav nekā slikta, ja tur norādāt nodrošinātāju “local-exec” un palaižat savu ansible- rotaļu grāmata.

Patiesībā, jā, tur nav nekā slikta. Bet burtiski drīz jūs sapratīsit, ka šī vietēja-exec lieta nepastāv, piemēram, launch_configuration.

Un, ja izmantojat launch_configuration un vēlaties izveidot automātiskās mērogošanas grupu no viena gadījuma, tad palaišanas_konfigurācijā nav jēdziena “nodrošinātājs”. Pastāv jēdziens “lietotāja dati”.

Tāpēc universālāks risinājums ir izmantot lietotāja datus. Un tas tiks palaists vai nu pašā instancē, kad instance ir ieslēgta, vai tajos pašos lietotāja datos, kad automātiskās mērogošanas grupa izmanto šo launch_configuration.

Ja jūs joprojām vēlaties palaist nodrošinātāju, jo tas ir līmēšanas komponents, kad tiek izveidots viens resurss, tajā brīdī jums ir jāpalaiž savs nodrošinātājs, jūsu komanda. Tādu situāciju ir ļoti daudz.

Un vispareizākais resurss tam tiek saukts par null_resource. Null_resource ir fiktīvs resurss, kas faktiski nekad netiek izveidots. Tas neko neskar, nav API, nav automātiskās mērogošanas. Bet tas ļauj jums kontrolēt, kad jāpalaiž komanda. Šajā gadījumā komanda tiek izpildīta izveides laikā.

Saite http://bit.ly/common-traits-in-terraform-modules

Ir vairākas pazīmes. Es neiedziļināšos visās zīmēs ļoti detalizēti. Par to ir raksts. Bet, ja esat strādājis ar Terraform vai izmantojis citu cilvēku moduļus, tad bieži esat pamanījis, ka daudzus moduļus, tāpat kā lielāko daļu atvērtā koda koda, raksta cilvēki savām vajadzībām. Kāds vīrietis to uzrakstīja un atrisināja savu problēmu. Es to ievietoju GitHub un ļaujiet tai dzīvot. Tas dzīvos, bet ja tur nebūs dokumentācijas un piemēru, tad neviens to neizmantos. Un, ja nav funkcionalitātes, kas ļauj atrisināt nedaudz vairāk par savu konkrēto uzdevumu, tad arī to neviens neizmantos. Ir tik daudz veidu, kā zaudēt lietotājus.

Ja vēlaties kaut ko uzrakstīt, lai cilvēki to izmantotu, tad iesaku ievērot šīs zīmes.

Tie ir:

Dokumentācija un piemēri.
Pilna funkcionalitāte.
Saprātīgi noklusējuma iestatījumi.
Tīrs kods.
Testi.

Pārbaudījumi ir atšķirīga situācija, jo tos ir diezgan grūti uzrakstīt. Es vairāk ticu dokumentācijai un piemēriem.

Tātad, mēs apskatījām, kā rakstīt moduļus. Ir divi argumenti. Pirmais, kas ir vissvarīgākais, ir nerakstīt, ja varat, jo daudzi cilvēki jau ir paveikuši šos uzdevumus pirms jums. Un, otrkārt, ja jūs joprojām izlemjat, mēģiniet neizmantot pakalpojumu sniedzējus moduļos un nodrošinātājos.

Šī ir dokumentācijas pelēkā daļa. Iespējams, tagad jūs domājat: "Kaut kas nav skaidrs. Nav pārliecināts." Bet redzēsim pēc sešiem mēnešiem.

Tagad parunāsim par to, kā izsaukt šos moduļus.

Mēs saprotam, ka mūsu kods laika gaitā pieaug. Mums vairs nav viena faila, mums jau ir 20 faili. Tie visi ir vienā mapē. Vai varbūt piecās mapēs. Varbūt mēs sākam tos kaut kā sadalīt pa reģioniem, pēc dažām sastāvdaļām. Tad mēs saprotam, ka tagad mums ir daži sinhronizācijas un orķestrācijas elementi. Tas ir, mums ir jāsaprot, kas mums jādara, ja mēs mainām tīkla resursus, kas mums jādara ar pārējiem resursiem, kā radīt šīs atkarības utt.

Ir divas galējības. Pirmā galējība ir viss vienā. Mums ir viens pamatfails. Pagaidām tā bija oficiālā labākā prakse Terraform vietnē.

Bet tagad tas ir rakstīts kā novecojis un noņemts. Laika gaitā Terraform kopiena saprata, ka tā ir tālu no labākās prakses, jo cilvēki sāka izmantot projektu dažādos veidos. Un ir problēmas. Piemēram, kad mēs uzskaitām visas atkarības vienuviet. Ir situācijas, kad noklikšķinām uz “Terraform plāns” un līdz Terraform atjauninās visu resursu stāvokļus, var paiet daudz laika.

Daudz laika ir, piemēram, 5 minūtes. Dažiem tas ir daudz laika. Esmu redzējis gadījumus, kad pagāja 15 minūtes. AWS API pavadīja 15 minūtes, mēģinot noskaidrot, kas notiek ar katra resursa stāvokli. Šī ir ļoti liela teritorija.

Un, protams, radīsies saistīta problēma, kad vēlaties kaut ko mainīt vienā vietā, pēc tam nogaidīsit 15 minūtes, un tas dod jums priekšstatu par dažām izmaiņām. Jūs izspļāvāt, uzrakstījāt “Jā”, un kaut kas nogāja greizi. Šis ir ļoti reāls piemērs. Terraform nemēģina jūs pasargāt no problēmām. Tas ir, rakstiet, ko vēlaties. Būs problēmas – jūsu problēmas. Kamēr Terraform 0.11 nekādā veidā nemēģina jums palīdzēt. 0.12 ir dažas interesantas vietas, kas ļauj pateikt: “Vasja, tu tiešām to vēlies, vai vari atjēgties?”

Otrs veids ir samazināt šo apgabalu, tas ir, zvanus no vienas vietas var mazāk savienot no citas vietas.

Vienīgā problēma ir tā, ka jums ir jāraksta vairāk koda, t.i., jums ir jāapraksta mainīgie lielumi daudzos failos un jāatjaunina. Dažiem cilvēkiem tas nepatīk. Man tas ir normāli. Un daži cilvēki domā: "Kāpēc to rakstīt dažādās vietās, es to visu salikšu vienuviet." Tas ir iespējams, bet šī ir otrā galējība.

Kam tas viss dzīvo vienuviet? Viens, divi, trīs cilvēki, tas ir, kāds to izmanto.

Un kurš izsauc vienu konkrētu komponentu, vienu bloku vai vienu infrastruktūras moduli? Pieci līdz septiņi cilvēki. Tas ir forši.

Visizplatītākā atbilde ir kaut kur pa vidu. Ja projekts ir liels, tad bieži vien būs situācija, ka neviens risinājums nav piemērots un ne viss izdodas, tāpēc jūs nonākat pie maisījuma. Tam nav nekā slikta, ja vien saprotat, ka abiem ir priekšrocības.

Ja kaut kas mainījās steka VPC un jūs vēlējāties lietot šīs izmaiņas EC2, t.i., jūs vēlējāties atjaunināt automātiskās mērogošanas grupu, jo jums bija jauns apakštīkls, tad es saucu šāda veida atkarības orķestrēšanu. Ir daži risinājumi: kurš ko izmanto?

Es varu ieteikt, kādi ir risinājumi. Varat izmantot Terraform, lai veiktu burvju darbību, vai varat izmantot makefailus, lai izmantotu Terraform. Un redzēt, vai tur kaut kas ir mainījies, varat to palaist šeit.

Kā jums patīk šis lēmums? Vai kāds uzskata, ka tas ir foršs risinājums? Es redzu smaidu, acīmredzot ir iezagušās šaubas.

Protams, nemēģiniet to mājās. Terraform nekad nebija paredzēts palaišanai no Terraform.

Vienā ziņojumā viņi man teica: "Nē, tas nedarbosies." Lieta ir tāda, ka tam nevajadzētu darboties. Lai gan tas izskatās tik iespaidīgi, kad varat palaist Terraform no Terraform un pēc tam Terraform, jums to nevajadzētu darīt. Terraform vienmēr jāsāk ļoti viegli.

https://github.com/gruntwork-io/terragrunt/

Ja vajag zvanu orķestrēšanu, kad kaut kas ir mainījies vienā vietā, tad ir Terragrunt.

Terragrunt ir utilīta, Terraform papildinājums, kas ļauj koordinēt un organizēt zvanus uz infrastruktūras moduļiem.

Tipisks Terraform konfigurācijas fails izskatās šādi.

Jūs norādāt, kuru konkrēto moduli vēlaties izsaukt.

Kādas atkarības ir modulim?

Un kādus argumentus šis modulis pieņem. Tas ir viss, kas jāzina par Terragruntu.

Dokumentācija ir tur, un vietnē GitHub ir 1 zvaigznes. Bet vairumā gadījumu tas ir tas, kas jums jāzina. Un to ir ļoti viegli ieviest uzņēmumos, kas tikai sāk strādāt ar Terraform.

Tātad orķestrēšana ir Terragrunt. Ir arī citi varianti.

Tagad parunāsim par to, kā strādāt ar kodu.

Ja kodam jāpievieno jaunas funkcijas, vairumā gadījumu tas ir vienkārši. Jūs rakstāt jaunu resursu, viss ir vienkārši.

Ja jums ir kāds resurss, ko izveidojāt iepriekš, piemēram, uzzinājāt par Terraform pēc AWS konta atvēršanas un vēlaties izmantot jau esošos resursus, tad būtu pareizi paplašināt savu moduli šādā veidā, lai tas atbalsta esošo resursu izmantošanu.

Un atbalstīja jaunu resursu izveidi, izmantojot bloka resursu.

Izvadē mēs vienmēr atgriežam izvades ID atkarībā no tā, kas tika izmantots.

Otra ļoti nozīmīga problēma Terraform 0.11 ir darbs ar sarakstiem.

Grūtības ir tādas, ka, ja mums ir šāds lietotāju saraksts.

Un, kad mēs izveidojam šos lietotājus, izmantojot bloku resursus, viss notiek labi. Mēs izejam cauri visam sarakstam, katram izveidojot failu. Viss ir kārtībā. Un tad, piemēram, lietotājs3, kurš atrodas pa vidu, no šejienes jāizņem, tad tiks no jauna izveidoti visi resursi, kas tika izveidoti pēc viņa, jo indekss mainīsies.

Darbs ar sarakstiem statusa vidē. Kas ir valstiska vide? Šī ir situācija, kad, veidojot šo resursu, tiek radīta jauna vērtība. Piemēram, AWS piekļuves atslēga vai AWS slepenā atslēga, t.i., kad mēs izveidojam lietotāju, mēs saņemam jaunu piekļuves vai slepeno atslēgu. Un katru reizi, kad mēs izdzēšam lietotāju, šim lietotājam būs jauna atslēga. Bet tas nav fen šui, jo lietotājs nevēlēsies ar mums draudzēties, ja mēs viņam izveidosim jaunu lietotāju katru reizi, kad kāds pamet komandu.

Šis ir risinājums. Šis ir kods, kas rakstīts Jsonnet. Jsonnet ir Google veidņu valoda.

Šī komanda ļauj pieņemt šo veidni un kā izvadi atgriež json failu, kas ir izveidots atbilstoši jūsu veidnei.

Veidne izskatās šādi.

Terraform ļauj strādāt gan ar HCL, gan ar Json vienādi, tādēļ, ja jums ir iespēja ģenerēt Json, varat to ievietot Terraform. Fails ar paplašinājumu .tf.json tiks veiksmīgi lejupielādēts.

Un tad mēs strādājam ar to kā parasti: terraform init, terramorm piemēro. Un mēs izveidojam divus lietotājus.

Tagad mēs nebaidāmies, ja kāds pamet komandu. Mēs vienkārši rediģēsim json failu. Vasja Pupkins aizgāja, Petja Pjatočkins palika. Petja Pjatočkins nesaņems jaunu atslēgu.

Terraform integrēšana ar citiem rīkiem patiesībā nav Terraform darbs. Terraform tika izveidota kā platforma resursu veidošanai un viss. Un viss, kas parādās vēlāk, nav Terraform rūpes. Un nav vajadzības to tur aust. Ir Ansible, kas dara visu nepieciešamo.

Bet rodas situācijas, kad mēs vēlamies paplašināt Terraform un izsaukt kādu komandu pēc tam, kad kaut kas ir pabeigts.

Pirmais veids. Mēs izveidojam izvadi, kurā rakstām šo komandu.

Un tad mēs izsaucam šo komandu no čaulas terraform izvades un norādām vēlamo vērtību. Tādējādi komanda tiek izpildīta ar visām aizstātajām vērtībām. Tas ir ļoti ērti.

Otrais veids. Tas ir null_resource izmantošana atkarībā no izmaiņām mūsu infrastruktūrā. Mēs varam izsaukt to pašu lokālo exe, tiklīdz mainās kāda resursa ID.

Protams, tas viss ir gluds uz papīra, jo Amazon, tāpat kā visiem citiem publiskajiem pakalpojumu sniedzējiem, ir virkne savu malas gadījumu.

Visizplatītākais gadījums ir tāds, ka, atverot AWS kontu, ir svarīgi, kurus reģionus izmantojat; vai šī funkcija tur ir iespējota; varbūt jūs to atvērāt pēc 2013. gada decembra; varbūt jūs izmantojat noklusējuma VPC utt Ir daudz ierobežojumu. Un Amazon tos izkaisīja visā dokumentācijā.

Ir dažas lietas, no kurām iesaku izvairīties.

Lai sāktu, izvairieties no visiem neslepenajiem argumentiem Terraform plānā vai Terraform CLI. To visu var ievietot tfvars failā vai vides mainīgajā.

Bet jums nav jāiegaumē visa šī burvju komanda. Terraform plāns – var un dodamies ceļā. Pirmais mainīgais ir var, otrais ir var, trešais, ceturtais. Vissvarīgākais infrastruktūras kā koda princips, ko izmantoju visbiežāk, ir tas, ka, skatoties uz kodu, man ir jābūt skaidrai izpratnei par to, kas tur ir izvietots, kādā stāvoklī un ar kādām vērtībām. Un tāpēc man nav jālasa dokumentācija vai jājautā Vasjam, kādus parametrus viņš izmantoja, lai izveidotu mūsu klasteru. Man vienkārši jāatver fails ar paplašinājumu tfvars, kas bieži vien atbilst videi, un jāpaskatās tur viss.

Tāpat neizmantojiet mērķa argumentus, lai samazinātu tvērumu. Šim nolūkam ir daudz vieglāk izmantot mazus infrastruktūras moduļus.

Tāpat nav nepieciešams ierobežot un palielināt paralēlismu. Ja man ir 150 resursi un es vēlos palielināt Amazon paralēlismu no noklusējuma 10 uz 100, tad visticamāk kaut kas noies greizi. Vai arī tagad varētu iet labi, bet, kad Amazon saka, ka veicat pārāk daudz zvanu, jums būs problēmas.

Terraform mēģinās restartēt lielāko daļu šo problēmu, taču jūs gandrīz neko nesasniegsit. Parallelism=1 ir svarīga lieta, ko izmantot, ja AWS API vai Terraform nodrošinātāja iekšienē atklājat kādu kļūdu. Un tad jums jānorāda: parallelism=1 un jāgaida, līdz Terraform pabeidz vienu zvanu, tad otro, tad trešo. Viņš tos palaidīs pa vienam.

Cilvēki man bieži jautā: "Kāpēc es domāju, ka Terraform darbvietas ir ļaunas?" Es uzskatu, ka infrastruktūras kā koda princips ir redzēt, kāda infrastruktūra ir izveidota un ar kādām vērtībām.

Darbvietas nav izveidojuši lietotāji. Tas nenozīmē, ka lietotāji GitHub problēmās rakstīja, ka mēs nevaram dzīvot bez Terraform darbvietām. Nē, ne šādi. Terraform Enterprise ir komerciāls risinājums. Terraform no HashiCorp nolēma, ka mums ir vajadzīgas darbvietas, tāpēc mēs to iesniedzām. Man šķiet daudz vieglāk to ievietot atsevišķā mapē. Tad būs nedaudz vairāk failu, bet tas būs skaidrāks.

Kā strādāt ar kodu? Patiesībā darbs ar sarakstiem ir vienīgā sāpe. Un ņemiet Terraform vieglāk. Šī nav tā lieta, kas visu darīs lieliski jūsu labā. Nevajag tur bāzt visu, kas rakstīts dokumentācijā.

Ziņojuma tēma tika uzrakstīta "nākotnei". Es par to runāšu ļoti īsi. Nākotnē tas nozīmē, ka drīzumā tiks izlaista 0.12.

0.12 ir daudz jaunu lietu. Ja nāk no parastās programmēšanas, tad pietrūkst visādi dinamiskie bloki, cilpas, pareizas un nosacītas salīdzināšanas darbības, kur kreiso un labo pusi nerēķina vienlaicīgi, bet atkarībā no situācijas. Jums tas ļoti pietrūkst, tāpēc 0.12 to atrisinās jūsu vietā.

Bet! Ja rakstīsit arvien vienkāršāk, izmantojot gatavus moduļus un trešo pušu risinājumus, tad nebūs jāgaida un jācer, ka atnāks 0.12 un visu sakārtos.

Paldies par ziņojumu! Jūs runājāt par infrastruktūru kā kodu un burtiski teicāt vienu vārdu par testiem. Vai moduļos ir nepieciešami testi? Kam tā ir atbildība? Vai man tas ir jāraksta pašam, vai arī par to ir atbildīgi moduļi?

Nākamais gads būs piepildīts ar ziņojumiem, ka esam nolēmuši visu pārbaudīt. Ko pārbaudīt, ir lielākais jautājums. Ir daudz atkarību, daudz ierobežojumu no dažādiem pakalpojumu sniedzējiem. Kad mēs ar jums runājam un sakāt: "Man vajag pārbaudes", tad es jautāju: "Ko jūs pārbaudīsit?" Jūs sakāt, ka testēsiet savā reģionā. Tad es saku, ka manā reģionā tas nedarbojas. Tas ir, mēs pat nevarēsim par to vienoties. Nemaz nerunājot par to, ka ir daudz tehnisku problēmu. Tas ir, kā uzrakstīt šos testus, lai tie būtu adekvāti.

Es aktīvi pētu šo tēmu, t.i., kā automātiski ģenerēt testus, pamatojoties uz jūsu rakstīto infrastruktūru. Tas ir, ja jūs uzrakstījāt šo kodu, tad man tas ir jāpalaiž, pamatojoties uz to, es varu izveidot testus.

Terratest ir viena no visbiežāk pieminētajām bibliotēkām, kas ļauj rakstīt Terraform integrācijas testus. Šī ir viena no utilītprogrammām. Es dodu priekšroku DSL tipam, piemēram, rspec.

Anton, paldies par ziņojumu! Mani sauc Valērijs. Ļaujiet man uzdot nedaudz filozofisku jautājumu. Nosacīti ir nodrošinājums, ir izvietošana. Nodrošināšana rada manu infrastruktūru, izvietošanā mēs to piepildām ar kaut ko noderīgu, piemēram, serveriem, lietojumprogrammām utt. Un manā galvā ir tas, ka Terraform ir vairāk paredzēts nodrošināšanai, bet Ansible ir vairāk paredzēts izvietošanai, jo Ansible ir arī fiziskai infrastruktūrai. ļauj instalēt nginx, Postgres. Bet tajā pašā laikā šķiet, ka Ansible ļauj nodrošināt, piemēram, Amazon vai Google resursus. Bet Terraform arī ļauj izvietot kādu programmatūru, izmantojot tā moduļus. No jūsu viedokļa, vai starp Terraform un Ansible ir kaut kāda robeža, kur un ko labāk izmantot? Vai, piemēram, tu domā, ka Ansible jau ir miskaste, jāmēģina visam izmantot Terraform?

Labs jautājums, Valērijs. Uzskatu, ka Terraform mērķis nav mainījies kopš 2014. gada. Tas tika izveidots infrastruktūrai un nomira infrastruktūras dēļ. Mums joprojām bija un būs vajadzība pēc konfigurācijas pārvaldības Ansible. Izaicinājums ir tāds, ka iekš launch_configuration ir lietotāja dati. Un tur jūs velciet Ansible utt. Šī ir standarta atšķirība, kas man patīk vislabāk.

Ja mēs runājam par skaistu infrastruktūru, tad ir tādi komunālie pakalpojumi kā Packer, kas apkopo šo attēlu. Un tad Terraform izmanto datu avotu, lai atrastu šo attēlu un atjauninātu tā launch_configuration. Tas ir, šādā veidā cauruļvads ir tāds, ka mēs vispirms velkam Tracker, pēc tam velkam Terraform. Un, ja notiek uzbūve, notiek jaunas izmaiņas.

Sveiki! Paldies par ziņojumu! Mani sauc Miša, RBS uzņēmums. Veidojot resursu, varat izsaukt Ansible, izmantojot nodrošinātāju. Ansible ir arī tēma, ko sauc par dinamisko inventarizāciju. Un jūs varat vispirms piezvanīt Terraform un pēc tam zvanīt Ansible, kas paņems resursus no valsts un izpildīs to. Kas ir labāks?

Cilvēki izmanto abus ar vienādiem panākumiem. Man šķiet, ka Ansible dinamiskais inventārs ir ērta lieta, ja nerunājam par autoscaling grupu. Jo automātiskās mērogošanas grupā mums jau ir savs rīku komplekts, ko sauc par launch_configuration. Laukā launch_configuration mēs ierakstām visu, kas ir jāpalaiž, kad veidojam jaunu resursu. Tāpēc ar Amazon dinamiskā inventāra izmantošana un Terraform ts faila lasīšana, manuprāt, ir pārspīlēta. Un, ja izmantojat citus rīkus, kur nav jēdziena “automērogošanas grupa”, piemēram, izmantojat DigitalOcean vai kādu citu pakalpojumu sniedzēju, kur nav automātiskās mērogošanas grupas, tad tur jums būs manuāli jāvelk API, jāatrod IP adreses, jāizveido dinamisks inventarizācijas fails , un Ansible jau klīst pa to. Tas ir, Amazon ir launch_configuration, bet visam pārējam ir dinamisks inventārs.

Avots: www.habr.com

Terraform infrastruktūras apraksts nākotnei. Antons Babenko (2018)

Pievieno komentāru Atcelt atbildi