🥇 ינפראַסטראַקטשער טעסטינג ווי קאָד ניצן Pulumi. טייל 1

גוט נאָכמיטאָג פריינט. אין אַנטיסאַפּיישאַן פון די אָנהייב פון אַ נייַ לויפן אין דעם קורס "DevOps פּראַקטיסיז און מכשירים" מיר טיילן מיט איר אַ נייַע איבערזעצונג. גיי.

ניצן Pulumi און גענעראַל-צוועק פּראָגראַממינג שפּראַכן פֿאַר ינפראַסטראַקטשער קאָד (ינפראַסטטראַקטשער ווי קאָד) גיט פילע אַדוואַנטידזשיז: די אַוויילאַבילאַטי פון סקילז און וויסן, ילימאַניישאַן פון קעסל פּלאַטע אין די קאָד דורך אַבסטראַקציע, מכשירים באַקאַנט צו דיין מאַנשאַפֿט, אַזאַ ווי IDE און ליטערז. אַלע די ווייכווארג ינזשעניעריע מכשירים מאַכן אונדז ניט בלויז מער פּראָדוקטיוו, אָבער אויך פֿאַרבעסערן די קוואַליטעט פון אונדזער קאָד. דעריבער, עס איז נאָר נאַטירלעך אַז די נוצן פון גענעראַל-ציל פּראָגראַממינג שפּראַכן אַלאַוז אונדז צו באַקענען אן אנדער וויכטיק ווייכווארג אַנטוויקלונג פיר - טעסטינג.

אין דעם אַרטיקל, מיר וועלן קוקן ווי Pulumi העלפּס אונדז פּרובירן אונדזער ינפראַסטראַקטשער-ווי-קאָד.

פארוואס פּרובירן ינפראַסטראַקטשער?

איידער איר גיין אין דעטאַל, עס איז ווערט צו פרעגן די קשיא: "פארוואס פּרובירן ינפראַסטראַקטשער אין אַלע?" עס זענען פילע סיבות פֿאַר דעם און דאָ זענען עטלעכע פון זיי:

אַפּאַראַט טעסטינג פון יחיד פאַנגקשאַנז אָדער פראַגמאַנץ פון דיין פּראָגראַם לאָגיק
וועראַפייז די געוואלט שטאַט פון די ינפראַסטראַקטשער קעגן זיכער קאַנסטריינץ.
דיטעקשאַן פון פּראָסט ערראָרס, אַזאַ ווי אַ פעלן פון ענקריפּשאַן פון אַ סטאָרידזש עמער אָדער אַנפּראַטעקטיד, עפענען אַקסעס פון די אינטערנעט צו ווירטואַל מאשינען.
קאָנטראָלירונג די ימפּלאַמענטיישאַן פון ינפראַסטראַקטשער פּראַוויזשאַנז.
פּערפאָרמינג רונטימע טעסטינג פון אַפּלאַקיישאַן לאָגיק פליסנדיק אין דיין "פּראָוגראַמד" ינפראַסטראַקטשער צו קאָנטראָלירן די פאַנגקשאַנאַליטי נאָך פּראַוויזשאַנז.
ווי מיר קענען זען, עס איז אַ ברייט קייט פון ינפראַסטראַקטשער טעסטינג אָפּציעס. Polumi האט מעקאַניזאַמז פֿאַר טעסטינג אין יעדער פונט אויף דעם ספּעקטרום. זאל ס אָנהייבן און זען ווי עס אַרבעט.

אַפּאַראַט טעסטינג

פּולומי מגילה זענען געשריבן אין אַלגעמיין-צוועק פּראָגראַממינג שפּראַכן אַזאַ ווי דזשאַוואַסקריפּט, פּיטהאָן, טיפּסקריפּט אָדער גיין. דעריבער, די פול מאַכט פון די שפּראַכן, אַרייַנגערעכנט זייער מכשירים און לייברעריז, אַרייַנגערעכנט פּראָבע פראַמעוואָרקס, איז בארעכטיגט פֿאַר זיי. Pulumi איז מאַלטי-וואָלקן, וואָס מיטל עס קענען זיין געוויינט פֿאַר טעסטינג פון קיין וואָלקן שפּייַזער.

(אין דעם אַרטיקל, טראָץ זיין מאַלטיילינגוואַל און מולטיקלאָוד, מיר נוצן דזשאַוואַסקריפּט און מאָטשאַ און פאָקוס אויף AWS. איר קענען נוצן פּיטהאָן unittest, גיין פּרובירן פריימווערק אָדער קיין אנדערע פּרובירן פריימווערק איר ווי. און, פון קורס, Pulumi אַרבעט גרויס מיט Azure, Google Cloud, Kubernetes.)

ווי מיר האָבן געזען, עס זענען עטלעכע סיבות וואָס איר זאל וועלן צו פּרובירן דיין ינפראַסטראַקטשער קאָד. איינער פון זיי איז קאַנווענשאַנאַל אַפּאַראַט טעסטינג. ווייַל דיין קאָד קען האָבן פאַנגקשאַנז - פֿאַר בייַשפּיל, צו רעכענען CIDR, דינאַמיקאַללי רעכענען נעמען, טאַגס, עטק. - איר וועט מיסטאָמע ווילן צו פּרובירן זיי. דאָס איז די זעלבע ווי שרייבן רעגולער אַפּאַראַט טעסץ פֿאַר אַפּלאַקיישאַנז אין דיין באַליבסטע פּראָגראַממינג שפּראַך.
צו באַקומען אַ ביסל מער קאָמפּליצירט, איר קענען קאָנטראָלירן ווי דיין פּראָגראַם אַלאַקייץ רעסורסן. צו אילוסטרירן, לאָמיר ימאַדזשאַן אַז מיר דאַרפֿן צו שאַפֿן אַ פּשוט EC2 סערווער און מיר וועלן זיין זיכער פון די פאלגענדע:

ינסטאַנסיז האָבן אַ קוויטל Name.
ינסטאַנסיז זאָל נישט נוצן ינלינע שריפט userData - מיר מוזן נוצן אַ אַמי (בילד).
עס זאָל זיין קיין SSH יקספּאָוזד צו די אינטערנעט.

דעם בייַשפּיל איז באזירט אויף מיין ביישפּיל aws-js-וועבסערווער:

index.js:

"use strict";
 
let aws = require("@pulumi/aws");
 
let group = new aws.ec2.SecurityGroup("web-secgrp", {
    ingress: [
        { protocol: "tcp", fromPort: 22, toPort: 22, cidrBlocks: ["0.0.0.0/0"] },
        { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
    ],
});
 
let userData =
`#!/bin/bash
echo "Hello, World!" > index.html
nohup python -m SimpleHTTPServer 80 &`;
 
let server = new aws.ec2.Instance("web-server-www", {
    instanceType: "t2.micro",
    securityGroups: [ group.name ], // reference the group object above
    ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
    userData: userData              // start a simple web server
});
 
exports.group = group;
exports.server = server;
exports.publicIp = server.publicIp;
exports.publicHostName = server.publicDns;

דאָס איז די יקערדיק Pulumi פּראָגראַם: עס פשוט אַלאַקייץ אַן EC2 זיכערהייט גרופּע און אַ בייַשפּיל. אָבער, עס זאָל זיין אנגעוויזן אַז דאָ מיר ברייקינג אַלע דריי כּללים סטייטיד אויבן. זאל ס שרייַבן טעסץ!

שרייבן טעסץ

די אַלגעמיינע סטרוקטור פון אונדזער טעסץ וועט קוקן ווי רעגולער מאָטשאַ טעסץ:

ec2tests.js

test.js:
let assert = require("assert");
let mocha = require("mocha");
let pulumi = require("@pulumi/pulumi");
let infra = require("./index");
 
describe("Infrastructure", function() {
    let server = infra.server;
    describe("#server", function() {
        // TODO(check 1): Должен быть тэг Name.
        // TODO(check 2): Не должно быть inline-скрипта userData.
    });
    let group = infra.group;
    describe("#group", function() {
        // TODO(check 3): Не должно быть SSH, открытого в Интернет.
    });
});

איצט לאָזן אונדז שרייַבן אונדזער ערשטער פּראָבע: מאַכן זיכער אַז די ינסטאַנסיז האָבן די קוויטל Name. צו קאָנטראָלירן דעם, מיר נאָר באַקומען די EC2 בייַשפּיל כייפעץ און קאָנטראָלירן די קאָראַספּאַנדינג פאַרמאָג tags:

 // check 1: Должен быть тэг Name.
        it("must have a name tag", function(done) {
            pulumi.all([server.urn, server.tags]).apply(([urn, tags]) => {
                if (!tags || !tags["Name"]) {
                    done(new Error(`Missing a name tag on server ${urn}`));
                } else {
                    done();
                }
            });
        });

עס קוקט ווי אַ רעגולער פּראָבע, אָבער מיט עטלעכע פֿעיִקייטן וואָס זענען כדאי צו באמערקן:

ווייַל מיר אָנפרעג די שטאַט פון אַ מיטל איידער דיפּלוימאַנט, אונדזער טעסץ זענען שטענדיק לויפן אין "פּלאַן" (אָדער "פּריוויו") מאָדע. אזוי, עס זענען פילע פּראָפּערטיעס וועמענס וואַלועס וועט פשוט נישט זיין ריטריווד אָדער וועט נישט זיין דיפיינד. דאָס כולל אַלע פּראָדוקציע פּראָפּערטיעס קאַלקיאַלייטיד דורך דיין וואָלקן שפּייַזער. דאָס איז נאָרמאַל פֿאַר אונדזער טעסץ - מיר נאָר קאָנטראָלירן די אַרייַנשרייַב דאַטן. מיר וועלן צוריקקומען צו דעם אַרויסגעבן שפּעטער, ווען עס קומט צו ינטאַגריישאַן טעסץ.
זינט אַלע Pulumi מיטל פּראָפּערטיעס זענען אַוטפּוץ, און פילע פון זיי זענען ייסינגקראַנאַסלי עוואַלואַטעד, מיר דאַרפֿן צו נוצן די צולייגן אופֿן צו אַקסעס די וואַלועס. דאָס איז זייער ענלעך צו הבטחות און פונקציאָנירן then .
זינט מיר נוצן עטלעכע פּראָפּערטיעס צו ווייַזן די מיטל URN אין די טעות אָנזאָג, מיר דאַרפֿן צו נוצן די פֿונקציע pulumi.allצו פאַרבינדן זיי.
צום סוף, זינט די וואַלועס זענען קאַלקיאַלייטיד ייסינגקראַנאַסלי, מיר דאַרפֿן צו נוצן די געבויט-אין ייסינק קאַללבאַקק שטריך פון Mocha. done אָדער צוריקקומען אַ צוזאָג.

אַמאָל מיר האָבן באַשטעטיקט אַלץ, מיר האָבן אַקסעס צו די ינפּוץ ווי פּשוט דזשאַוואַסקריפּט וואַלועס. פאַרמאָג tags איז אַ מאַפּע (אַססאָסיאַטיווע מענגע), אַזוי מיר וועלן נאָר מאַכן זיכער אַז עס איז (1) נישט פאַלש, און (2) עס איז אַ שליסל פֿאַר Name. עס איז זייער פּשוט און איצט מיר קענען פּרובירן עפּעס!

יעצט לאמיר שרייבן אונזער צווייטן טשעק. עס איז אפילו סימפּלער:

 // check 2: Не должно быть inline-скрипта userData.
        it("must not use userData (use an AMI instead)", function(done) {
            pulumi.all([server.urn, server.userData]).apply(([urn, userData]) => {
                if (userData) {
                    done(new Error(`Illegal use of userData on server ${urn}`));
                } else {
                    done();
                }
            });
        });

און צום סוף לאמיר שרייבן דעם דריטן טעסט. דאָס וועט זיין אַ ביסל מער קאָמפּליצירט ווייַל מיר זענען קוקן פֿאַר די לאָגין כּללים פֿאַרבונדן מיט די זיכערהייט גרופּע, פון וואָס עס קענען זיין פילע, און די CIDR ריינדזשאַז אין די כּללים, פון וואָס עס קען אויך זיין פילע. אָבער מיר האָבן געראָטן:

    // check 3: Не должно быть SSH, открытого в Интернет.
        it("must not open port 22 (SSH) to the Internet", function(done) {
            pulumi.all([ group.urn, group.ingress ]).apply(([ urn, ingress ]) => {
                if (ingress.find(rule =>
                        rule.fromPort == 22 && rule.cidrBlocks.find(block =>
                            block === "0.0.0.0/0"))) {
                    done(new Error(`Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group ${urn}`));
                } else {
                    done();
                }
            });
        });

אַז ס אַלע. איצט לאָזן ס לויפן די טעסץ!

פליסנדיק טעסץ

אין רובֿ קאַסעס, איר קענען לויפן טעסץ אויף די געוויינטלעך וועג, ניצן די פּראָבע פריימווערק פון דיין ברירה. אָבער עס איז איין שטריך פון Pulumi וואָס איז ווערט צו באַצאָלן ופמערקזאַמקייט צו.
טיפּיקאַללי, צו לויפן Pulumi מגילה, די pulimi CLI (Command Line צובינד) איז געניצט, וואָס קאַנפיגיער די שפּראַך רונטימע, קאָנטראָלס די קאַטער פון די Pulumi מאָטאָר אַזוי אַז אַפּעריישאַנז מיט רעסורסן קענען זיין רעקאָרדעד און אַרייַנגערעכנט אין דעם פּלאַן, אאז"ו ו. אָבער, עס איז איין פּראָבלעם. ווען איר לויפן אונטער די קאָנטראָל פון דיין פּראָבע פריימווערק, עס וועט זיין קיין קאָמוניקאַציע צווישן די CLI און די Pulumi מאָטאָר.

צו באַקומען אַרום דעם אַרויסגעבן, מיר נאָר דאַרפֿן צו ספּעציפיצירן די פאלגענדע:

פּראָיעקט נאָמען, וואָס איז קאַנטיינד אין די סוויווע בייַטעוודיק PULUMI_NODEJS_PROJECT (אָדער, מער בכלל, PULUMI__PROJECT для других языков).
דער נאָמען פון דעם אָנלייגן וואָס איז ספּעסיפיעד אין די סוויווע בייַטעוודיק PULUMI_NODEJS_STACK (אָדער, מער בכלל, PULUMI__ STACK).
דיין אָנלייגן קאַנפיגיעריישאַן וועריאַבאַלז. זיי קענען זיין באקומען מיט אַ סוויווע וועריאַבאַל PULUMI_CONFIG און זייער פֿאָרמאַט איז JSON מאַפּע מיט שליסל / ווערט פּערז.

דער פּראָגראַם וועט אַרויסגעבן וואָרנינגז וואָס ינדיקייץ אַז די קשר צו די CLI / מאָטאָר איז נישט בנימצא בעשאַס דורכפירונג. דאָס איז וויכטיק ווייַל דיין פּראָגראַם וועט נישט אַקשלי זיין דיפּלויד עפּעס און עס קען קומען ווי אַ יבערראַשן אויב דאָס איז נישט וואָס איר בדעה צו טאָן! צו זאָגן Pulumi אַז דאָס איז פּונקט וואָס איר דאַרפֿן, איר קענען ינסטאַלירן PULUMI_TEST_MODE в true.

ימאַדזשאַן מיר דאַרפֿן צו ספּעציפיצירן די פּרויעקט נאָמען אין my-ws, אָנלייגן נאָמען dev, און AWS קאנט us-west-2. די באַפֿעלן שורה פֿאַר פליסנדיק מאָטשאַ טעסץ וועט קוקן ווי דאָס:
```
$ PULUMI_TEST_MODE=true 
    PULUMI_NODEJS_STACK="my-ws" 
    PULUMI_NODEJS_PROJECT="dev" 
    PULUMI_CONFIG='{ "aws:region": "us-west-2" }' 
    mocha tests.js
```
טאן דעם, ווי דערוואַרט, וועט ווייַזן אונדז אַז מיר האָבן דריי דורכפאַל טעסץ!
```
Infrastructure
    #server
      1) must have a name tag
 	 2) must not use userData (use an AMI instead)
    #group
      3) must not open port 22 (SSH) to the Internet

  0 passing (17ms)
  3 failing
 
 1) Infrastructure
       #server
         must have a name tag:
     Error: Missing a name tag on server
        urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www

 2) Infrastructure
       #server
         must not use userData (use an AMI instead):
     Error: Illegal use of userData on server
        urn:pulumi:my-ws::my-dev::aws:ec2/instance:Instance::web-server-www

 3) Infrastructure
       #group
         must not open port 22 (SSH) to the Internet:
     Error: Illegal SSH port 22 open to the Internet (CIDR 0.0.0.0/0) on group
```
לאָמיר פאַרריכטן אונדזער פּראָגראַם:
```
"use strict";
 
let aws = require("@pulumi/aws");
 
let group = new aws.ec2.SecurityGroup("web-secgrp", {
    ingress: [
        { protocol: "tcp", fromPort: 80, toPort: 80, cidrBlocks: ["0.0.0.0/0"] },
    ],
});
 
let server = new aws.ec2.Instance("web-server-www", {
    tags: { "Name": "web-server-www" },
    instanceType: "t2.micro",
    securityGroups: [ group.name ], // reference the group object above
    ami: "ami-c55673a0"             // AMI for us-east-2 (Ohio),
});
 
exports.group = group;
exports.server = server;
exports.publicIp = server.publicIp;
exports.publicHostName = server.publicDns;
```
און דעמאָלט לויפן די טעסץ ווידער:
```
Infrastructure
    #server
      ✓ must have a name tag
      ✓ must not use userData (use an AMI instead)
    #group
      ✓ must not open port 22 (SSH) to the Internet
 
 
 3 passing (16ms)
```
אַלץ איז געווען גוט... הור! ✓✓✓

דאָס איז אַלע פֿאַר הייַנט, אָבער מיר וועלן רעדן וועגן דיפּלוימאַנט טעסטינג אין די רגע טייל פון די איבערזעצונג 😉

מקור: www.habr.com

טעסטינג ינפראַסטראַקטשער ווי קאָד מיט Pulumi. טייל 1