Terraform基础架构

Terraform 是一款开源的基础设施即代码工具，可帮助您安全、可预测地创建、变更和改进基础设施。

Terraform 基础设施生成器用于创建 Terraform 基础设施项目。生成的应用程序通过 Checkov 安全检查集成了安全最佳实践。

使用方式

生成 Terraform 项目

您可以通过两种方式生成新的 Terraform 项目：

VSCode

1. 安装 Nx Console VSCode Plugin 如果您尚未安装
2. 在VSCode中打开Nx控制台
3. 点击 Generate (UI) 在"Common Nx Commands"部分
4. 搜索 @aws/nx-plugin - terraform#project
5. 填写必需参数
   • name: tf-infra
6. 点击 Generate

CLI

pnpm

pnpm nx g @aws/nx-plugin:terraform#project --name=tf-infra

yarn

yarn nx g @aws/nx-plugin:terraform#project --name=tf-infra

npm

npx nx g @aws/nx-plugin:terraform#project --name=tf-infra

bun

bunx nx g @aws/nx-plugin:terraform#project --name=tf-infra

您还可以执行试运行以查看哪些文件会被更改

pnpm

pnpm nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run

yarn

yarn nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run

npm

npx nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run

bun

bunx nx g @aws/nx-plugin:terraform#project --name=tf-infra --dry-run

选项配置

参数	类型	默认值	描述
name 必需	string	-	The name of the project.
type	string	application	Whether this is a terraform lib (re-usable modules) or app (deployable).
directory	string	packages	The directory of the new project.

生成器输出

生成器会根据项目类型创建不同的文件结构：

应用类型

对于应用项目（--type=application），生成器会创建完整的 Terraform 应用并包含远程状态管理：

• 文件夹src

  • main.tf 主 Terraform 配置文件
  • providers.tf 包含 S3 后端配置的 Provider 配置
  • variables.tf 输入变量定义
  • outputs.tf 输出值定义
  • 文件夹env 环境特定变量文件

    • dev.tfvars 开发环境变量
• 文件夹bootstrap 远程状态初始化配置

  • main.tf 状态存储的 S3 桶和策略
  • providers.tf AWS provider 配置
  • variables.tf 初始化变量定义
• project.json 项目配置和构建目标

注意

生成器还会创建 packages/common/terraform 库项目，初始仅添加指标模块（创建包含元数据的空 Cloudformation 堆栈），该模块会自动埋点以便 nx-plugin-for-aws 团队跟踪使用指标。

库类型

对于库项目（--type=library），生成器会创建更简洁的可复用 Terraform 模块结构：

• 文件夹src

  • main.tf 主 Terraform 模块文件
• project.json 项目配置和构建目标

提示

应用项目包含完整的部署能力和远程状态管理，而库项目专为创建可被其他项目复用的 Terraform 模块设计。

实现 Terraform 基础设施

您可以在 src/main.tf 中开始编写 Terraform 基础设施代码，例如：

src/main.tf

locals {
  account_id = data.aws_caller_identity.current.account_id
  aws_region = data.aws_region.current.id
}

resource "null_resource" "print_info" {
  # triggers = {
  #   always_run = timestamp()
  # }

  provisioner "local-exec" {
    command = "echo 'AWS Region: ${local.aws_region}, AWS Account: ${local.account_id}, Environment: ${var.environment}'"
  }
}

# 在此声明您的基础设施
resource "aws_s3_bucket" "my_bucket" {
  bucket = "my-unique-bucket-name"
}

跨项目依赖

如需引用其他项目（库）中的模块，可以按如下方式操作：

module "lib_module" {
  source = "../../path/to/my-lib/src"
}

这将自动更新 Nx 依赖图，在消费应用和库之间建立依赖关系。

环境配置

在 src/env/*.tfvars 文件中配置环境特定变量。

要添加新环境，需创建新的 src/env/<environment>.tfvars 文件并定义环境变量，同时在 project.json 中为 apply, destroy, init, plan 添加新环境配置。例如添加 prod 环境：

src/env/prod.tfvars

# 生产环境变量
environment = "prod"
region      = "us-west-2"

project.json

{
  "targets": {
        "apply": {
            "executor": "nx:run-commands",
            "defaultConfiguration": "dev",
            "configurations": {
                "dev": {
                    "command": "terraform apply ../../../dist/packages/infra/terraform/dev.tfplan"
                },
                "prod": {
                    "command": "terraform apply ../../../dist/packages/infra/terraform/prod.tfplan"
                }
            },
            "options": {
                "forwardAllArgs": true,
                "cwd": "{projectRoot}/src"
            },
            "dependsOn": ["plan"]
        },
        "destroy": {
            "executor": "nx:run-commands",
            "defaultConfiguration": "dev",
            "configurations": {
                "dev": {
                    "command": "terraform destroy -var-file=env/dev.tfvars"
                },
                "prod": {
                    "command": "terraform destroy -var-file=env/prod.tfvars"
                }
            },
            "options": {
                "forwardAllArgs": true,
                "cwd":"{projectRoot}/src"
            },
            "dependsOn": ["init"]
        },
        "init": {
            "executor": "nx:run-commands",
            "defaultConfiguration": "dev",
            "configurations": {
                "dev": {
                    "command": "terraform init -reconfigure -backend-config=\"region=$(aws configure get region)\" -backend-config=\"bucket=$(aws sts get-caller-identity --query Account --output text)-tf-state-$(aws configure get region)\" -backend-config=\"key=dev/terraform.tfstate\""
                },
                "prod": {
                    "command": "terraform init -reconfigure -backend-config=\"region=$(aws configure get region)\" -backend-config=\"bucket=$(aws sts get-caller-identity --query Account --output text)-tf-state-$(aws configure get region)\" -backend-config=\"key=prod/terraform.tfstate\""
                }
            },
            "options": {
                "forwardAllArgs": true,
                "cwd": "{projectRoot}/src"
            }
        },
        "plan": {
            "executor": "nx:run-commands",
            "defaultConfiguration": "dev",
            "configurations": {
                "dev": {
                    "command": "terraform plan -var-file=env/dev.tfvars -out=../../../dist/packages/infra/terraform/dev.tfplan"
                },
                "prod": {
                    "command": "terraform plan -var-file=env/dev.tfvars -out=../../../dist/packages/infra/terraform/prod.tfplan"
                }
            },
            "options": {
                "forwardAllArgs": true,
                "cwd": "{projectRoot}/src"
            },
            "dependsOn": ["init"]
        }
    }
}

提示

默认所有目标使用 dev 环境，但可通过以下方式指定环境：

• pnpm
• yarn
• npm
• bun

pnpm nx run tf-infra:apply --configuration=prod

yarn nx run tf-infra:apply --configuration=prod

npx nx run tf-infra:apply --configuration=prod

bunx nx run tf-infra:apply --configuration=prod

由于状态文件按环境自动分段，您可以随时切换环境。

远程状态初始化（仅应用项目）

对于应用项目，在部署基础设施前需要初始化远程状态后端（创建存储 Terraform 状态文件的 S3 桶）：

pnpm

pnpm nx run tf-infra:bootstrap

yarn

yarn nx run tf-infra:bootstrap

npm

npx nx run tf-infra:bootstrap

bun

bunx nx run tf-infra:bootstrap

注意

请确保 AWS CLI 配置文件已配置到目标账户/区域。

该初始化目标仅适用于应用类型项目。库项目不需要远程状态管理，因为它们设计为可复用模块。

可用目标

可用目标取决于项目类型：

通用目标（应用和库）

验证基础设施

使用 validate 目标验证 Terraform 配置：

pnpm

pnpm nx run tf-infra:validate

yarn

yarn nx run tf-infra:validate

npm

npx nx run tf-infra:validate

bun

bunx nx run tf-infra:validate

代码格式化

使用 fmt 目标格式化 Terraform 代码：

pnpm

pnpm nx run tf-infra:fmt

yarn

yarn nx run tf-infra:fmt

npm

npx nx run tf-infra:fmt

bun

bunx nx run tf-infra:fmt

安全测试

使用 test 目标通过 Checkov 进行基础设施安全检查：

pnpm

pnpm nx run tf-infra:test

yarn

yarn nx run tf-infra:test

npm

npx nx run tf-infra:test

bun

bunx nx run tf-infra:test

安全测试结果位于根目录 dist 文件夹下的 dist/packages/<my-terraform-project>/checkov。

应用专属目标

以下目标仅适用于应用类型项目：

基础设施规划

执行变更前可通过 plan 目标查看 Terraform 计划：

pnpm

pnpm nx run tf-infra:plan

yarn

yarn nx run tf-infra:plan

npm

npx nx run tf-infra:plan

bun

bunx nx run tf-infra:plan

这将在 dist/packages/<my-terraform-project>/terraform/dev.tfplan 生成计划文件。

初始化 Terraform

使用 init 目标初始化 Terraform 工作目录：

pnpm

pnpm nx run tf-infra:init

yarn

yarn nx run tf-infra:init

npm

npx nx run tf-infra:init

bun

bunx nx run tf-infra:init

部署到 AWS

规划完成后，使用 apply 目标将基础设施部署到 AWS：

pnpm

pnpm nx run tf-infra:apply

yarn

yarn nx run tf-infra:apply

npm

npx nx run tf-infra:apply

bun

bunx nx run tf-infra:apply

提示

该命令会应用 plan 目标生成的计划文件，请确保先执行 plan 查看变更。

获取输出值

从 Terraform 配置中获取输出值：

pnpm

pnpm nx run tf-infra:output

yarn

yarn nx run tf-infra:output

npm

npx nx run tf-infra:output

bun

bunx nx run tf-infra:output

销毁基础设施

使用 destroy 目标销毁基础设施：

pnpm

pnpm nx run tf-infra:destroy

yarn

yarn nx run tf-infra:destroy

npm

npx nx run tf-infra:destroy

bun

bunx nx run tf-infra:destroy

警告

这将永久删除该 Terraform 配置管理的所有资源，请谨慎使用！

销毁初始化资源

清理状态存储的 S3 桶等初始化资源：

pnpm

pnpm nx run tf-infra:bootstrap-destroy

yarn

yarn nx run tf-infra:bootstrap-destroy

npm

npx nx run tf-infra:bootstrap-destroy

bun

bunx nx run tf-infra:bootstrap-destroy

更多信息

有关 Terraform 的更多信息，请参考 Terraform 文档 和 AWS Provider 文档。