Terraform

Terraform — это мощный инструмент для управления инфраструктурой, который позволяет создавать, изменять и улучшать облачные ресурсы в безопасном и предсказуемом режиме. Он использует декларативный подход, где описания инфраструктуры записываются в виде кода, что делает его управление более структурированным и логичным. С помощью команд terraform apply, terraform plan и terraform destroy вы можете эффективно управлять вашей инфраструктурой, обеспечивая её стабильность и безопасность.

Как это работает

Terraform использует модель Infrastructure as Code (IaC), где серверы, сети, базы данных и Kubernetes-кластеры описываются в декларативных конфигурационных файлах. Эти файлы обычно версионируются с помощью Git, что позволяет легко отслеживать изменения и проводить code review. Terraform читает эти файлы, которые написаны в формате HashiCorp Configuration Language (HCL), и использует API провайдеров (например, AWS, GCP, Yandex Cloud, Kubernetes) для создания или изменения соответствующих ресурсов. Terraform также поддерживает state-файл, который является маппингом объявленных ресурсов на реальные ID, что позволяет отслеживать текущее состояние инфраструктуры.

В отличие от Terraform, Ansible (Red Hat) выполняет идемпотентные playbooks через SSH для конфигурации существующих машин. Packer строит golden images для виртуальных машин, а Pulumi и CDKTF предоставляют ту же декларативную модель, но на языках общего назначения. В результате, инфраструктура становится воспроизводимой, проходит code review и допускает rollback, что значительно упрощает её управление и поддержку.

Когда применять

Terraform следует внедрять, когда у вас больше 2–3 серверов или когда появляется production-окружение. Ручной метод управления инфраструктурой (ClickOps) становится небезопасным на масштабе: отсутствие audit trail, отсутствие возможности для code review и отсутствие rollback делают его непригодным для больших и сложных систем. Terraform идеально подходит для управления долгоживущими cloud-ресурсами, такими как VPC, базы данных и managed Kubernetes. Ansible же лучше подходит для изменяемой конфигурации на существующих хостах, таких как установка патчей безопасности и управление пользователями. Комбинирование этих инструментов позволяет создать эффективную и надежную систему управления инфраструктурой.

Типичные ошибки

Одной из распространенных ошибок при использовании Terraform является коммит tfstate в Git. Этот файл содержит конфиденциальную информацию, которая должна храниться в безопасном месте, например, в S3 или Yandex Object Storage backend с функцией locking. Монолитные root-модули также могут быть проблематичными, так как они усложняют управление и могут привести к конфликтам при изменении кода. Использование команды terraform apply с ноутбука вместо CI также может быть проблематичным, так как это уменьшает уровень аудита и контроля. Ansible playbooks, которые не идемпотентны, могут привести к непредсказуемому поведению системы при повторном запуске. Плaintext-секреты в HCL или YAML также представляют собой уязвимость, так как они могут быть легко украдены. Игнорирование drift между кодом и реальным cloud-состоянием также может привести к непредсказуемым результатам. Всегда запускайте terraform plan в CI на каждом PR, чтобы убедиться, что ваши изменения безопасны и предсказуемы.

Связанные понятия

• Infrastructure as Code
• Ansible
• Packer & golden images
• Pulumi / CDKTF (alternative IaC)