Terraformインフラストラクチャ
TerraformはオープンソースのInfrastructure as Codeツールで、安全かつ予測可能な方法でインフラの作成・変更・改善を可能にします。
TerraformインフラジェネレータはTerraformインフラプロジェクトを作成します。生成されたアプリケーションにはCheckovセキュリティチェックを通じたセキュリティベストプラクティスが含まれています。
Terraformプロジェクトの生成
Section titled “Terraformプロジェクトの生成”新しいTerraformプロジェクトを2つの方法で生成できます:
- インストール Nx Console VSCode Plugin まだインストールしていない場合
- VSCodeでNxコンソールを開く
- クリック
Generate (UI)
"Common Nx Commands"セクションで - 検索
@aws/nx-plugin - terraform#project
- 必須パラメータを入力
- name: tf-infra
- クリック
Generate
pnpm nx g @aws/nx-plugin:terraform#project --name=tf-infra
yarn nx g @aws/nx-plugin:terraform#project --name=tf-infra
npx nx g @aws/nx-plugin:terraform#project --name=tf-infra
bunx nx g @aws/nx-plugin:terraform#project --name=tf-infra
変更されるファイルを確認するためにドライランを実行することもできます
pnpm nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run
yarn nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run
npx nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run
bunx nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run
パラメータ | 型 | デフォルト | 説明 |
---|---|---|---|
name 必須 | string | - | The name of the project. |
type | string | application | Whether this is a terraform lib (re-usable modules) or app (deployable). |
directory | string | packages | The directory of the new project. |
ジェネレータの出力
Section titled “ジェネレータの出力”ジェネレータはプロジェクトタイプに応じて異なるファイル構造を作成します:
アプリケーションタイプ
Section titled “アプリケーションタイプ”アプリケーションプロジェクト(--type=application
)の場合、リモートステート管理を備えた完全なTerraformアプリケーションが生成されます:
Directorysrc
- main.tf メインのTerraform設定ファイル
- providers.tf S3バックエンドを使用したプロバイダ設定
- variables.tf 入力変数定義
- outputs.tf 出力値定義
Directoryenv 環境固有の変数ファイル
- dev.tfvars 開発環境用変数
Directorybootstrap リモートステート用ブートストラップ設定
- main.tf ステート保存用S3バケットとポリシー
- providers.tf AWSプロバイダ設定
- variables.tf ブートストラップ変数定義
- project.json プロジェクト設定とビルドターゲット
ライブラリタイプ
Section titled “ライブラリタイプ”ライブラリプロジェクト(--type=library
)の場合、再利用可能なTerraformモジュール用のシンプルな構造が生成されます:
Directorysrc
- main.tf メインのTerraformモジュールファイル
- project.json プロジェクト設定とビルドターゲット
Terraformインフラの実装
Section titled “Terraformインフラの実装”src/main.tf
内にTerraformインフラを記述できます。例:
locals { account_id = data.aws_caller_identity.current.account_id aws_region = data.aws_region.current.id}
resource "null_resource" "print_info" { # triggers = { # always_run = timestamp() # }
provisioner "local-exec" { command = "echo 'AWS Region: ${local.aws_region}, AWS Account: ${local.account_id}, Environment: ${var.environment}'" }}
# インフラストラクチャをここに宣言resource "aws_s3_bucket" "my_bucket" { bucket = "my-unique-bucket-name"}
クロスプロジェクト依存関係
Section titled “クロスプロジェクト依存関係”別プロジェクト(lib)のモジュールを実行する場合、次のように記述できます:
module "lib_module" { source = "../../path/to/my-lib/src"}
これによりNxグラフが自動更新され、消費側アプリケーションとライブラリ間に依存関係が追加されます。
環境固有の変数はsrc/env/*.tfvars
ファイルで設定します。
新しい環境を追加するには、src/env/<environment>.tfvars
ファイルを作成し、project.json
のapply, destroy, init, plan
に新しい環境設定を追加します。例としてprod
環境を追加する場合:
# 本番環境用変数environment = "prod"region = "us-west-2"
{ "targets": { "apply": { "executor": "nx:run-commands", "defaultConfiguration": "dev", "configurations": { "dev": { "command": "terraform apply ../../../dist/packages/infra/terraform/dev.tfplan" }, "prod": { "command": "terraform apply ../../../dist/packages/infra/terraform/prod.tfplan" } }, "options": { "forwardAllArgs": true, "cwd": "{projectRoot}/src" }, "dependsOn": ["plan"] }, "destroy": { "executor": "nx:run-commands", "defaultConfiguration": "dev", "configurations": { "dev": { "command": "terraform destroy -var-file=env/dev.tfvars" }, "prod": { "command": "terraform destroy -var-file=env/prod.tfvars" } }, "options": { "forwardAllArgs": true, "cwd":"{projectRoot}/src" }, "dependsOn": ["init"] }, "init": { "executor": "nx:run-commands", "defaultConfiguration": "dev", "configurations": { "dev": { "command": "terraform init -reconfigure -backend-config=\"region=$(aws configure get region)\" -backend-config=\"bucket=$(aws sts get-caller-identity --query Account --output text)-tf-state-$(aws configure get region)\" -backend-config=\"key=my-scope-my-project/dev/terraform.tfstate\"" }, "prod": { "command": "terraform init -reconfigure -backend-config=\"region=$(aws configure get region)\" -backend-config=\"bucket=$(aws sts get-caller-identity --query Account --output text)-tf-state-$(aws configure get region)\" -backend-config=\"key=my-scope-my-project/prod/terraform.tfstate\"" } }, "options": { "forwardAllArgs": true, "cwd": "{projectRoot}/src" } }, "plan": { "executor": "nx:run-commands", "defaultConfiguration": "dev", "configurations": { "dev": { "command": "terraform plan -var-file=env/dev.tfvars -out=../../../dist/packages/infra/terraform/dev.tfplan" }, "prod": { "command": "terraform plan -var-file=env/dev.tfvars -out=../../../dist/packages/infra/terraform/prod.tfplan" } }, "options": { "forwardAllArgs": true, "cwd": "{projectRoot}/src" }, "dependsOn": ["init"] } }}
リモートステートブートストラップ(アプリケーション限定)
Section titled “リモートステートブートストラップ(アプリケーション限定)”アプリケーションプロジェクトでは、インフラをデプロイする前にリモートステートバックエンドのブートストラップが必要です。これによりTerraformステートファイルを保存するS3バケットが作成されます:
pnpm nx run tf-infra:bootstrap
yarn nx run tf-infra:bootstrap
npx nx run tf-infra:bootstrap
bunx nx run tf-infra:bootstrap
利用可能なターゲット
Section titled “利用可能なターゲット”利用可能なターゲットはプロジェクトタイプによって異なります:
共通ターゲット(アプリケーション/ライブラリ共通)
Section titled “共通ターゲット(アプリケーション/ライブラリ共通)”インフラの検証
Section titled “インフラの検証”validate
ターゲットでTerraform設定を検証できます:
pnpm nx run tf-infra:validate
yarn nx run tf-infra:validate
npx nx run tf-infra:validate
bunx nx run tf-infra:validate
コードのフォーマット
Section titled “コードのフォーマット”fmt
ターゲットでTerraformコードをフォーマット:
pnpm nx run tf-infra:fmt
yarn nx run tf-infra:fmt
npx nx run tf-infra:fmt
bunx nx run tf-infra:fmt
セキュリティテスト
Section titled “セキュリティテスト”test
ターゲットでCheckovを使用したセキュリティチェックを実行:
pnpm nx run tf-infra:test
yarn nx run tf-infra:test
npx nx run tf-infra:test
bunx nx run tf-infra:test
セキュリティテスト結果はルートdist
フォルダのdist/packages/<my-terraform-project>/checkov
に出力されます。
アプリケーション限定ターゲット
Section titled “アプリケーション限定ターゲット”以下のターゲットはアプリケーションタイププロジェクトでのみ利用可能です:
インフラのプランニング
Section titled “インフラのプランニング”変更を適用する前にplan
ターゲットでTerraformの実行計画を確認:
pnpm nx run tf-infra:plan
yarn nx run tf-infra:plan
npx nx run tf-infra:plan
bunx nx run tf-infra:plan
これによりdist/packages/<my-terraform-project>/terraform/dev.tfplan
にプランファイルが生成されます。
Terraformの初期化
Section titled “Terraformの初期化”init
ターゲットでTerraform作業ディレクトリを初期化:
pnpm nx run tf-infra:init
yarn nx run tf-infra:init
npx nx run tf-infra:init
bunx nx run tf-infra:init
AWSへのデプロイ
Section titled “AWSへのデプロイ”プラン作成後、apply
ターゲットでインフラをAWSにデプロイ:
pnpm nx run tf-infra:apply
yarn nx run tf-infra:apply
npx nx run tf-infra:apply
bunx nx run tf-infra:apply
出力値の取得
Section titled “出力値の取得”Terraform設定から出力値を取得:
pnpm nx run tf-infra:output
yarn nx run tf-infra:output
npx nx run tf-infra:output
bunx nx run tf-infra:output
インフラの破棄
Section titled “インフラの破棄”インフラを削除するにはdestroy
ターゲットを使用:
pnpm nx run tf-infra:destroy
yarn nx run tf-infra:destroy
npx nx run tf-infra:destroy
bunx nx run tf-infra:destroy
ブートストラップリソースの削除
Section titled “ブートストラップリソースの削除”ステート保存用S3バケットなどのブートストラップリソースを削除:
pnpm nx run tf-infra:bootstrap-destroy
yarn nx run tf-infra:bootstrap-destroy
npx nx run tf-infra:bootstrap-destroy
bunx nx run tf-infra:bootstrap-destroy
Terraformの詳細についてはTerraformドキュメントとAWSプロバイダードキュメントを参照してください。