HashicorpCloudについて.pdf

Transcript

1. HashiCorp Cloud サービス(Terraform , Vault) について触ってみた 佐藤 淳 勉強会資料

2. Hashicorp Cloud 今回利用するHashicorp社のサービス ・Terraform Cloud Organizations, Projects, Workspaces Private Registry

   ・Vault Secrets Terraform Cloudからのシークレット参照

3. Terraform Cloud (Organizations, Projects, Workspacesについて)

4. Terraform Cloudとは? ・Organiations … 組織 ・Projects … チームとワークスペースの関連付け ・Workspaces …

   terraform plan/apply実行単位 plan/applyが実行されるタイミング → リポジトリへpullreq / mergeでトリガー Terraform Cloud アーキテクチャ

5. Organizations … 組織単位で作成 Terraform Cloud Organiations

6. Projects … プロダクト・システム単位で作成 Terraform Cloud Projects

7. Workspaces … terraform plan/apply実行単位で作成 Terraform Cloud Workspaces

8. [ハンズオン] ワークスペースの作成

9. [ハンズオン] ワークスペースの作成

10. [ハンズオン] ワークスペースの作成

11. [ハンズオン] ワークスペースの作成

12. [ハンズオン] HCP Terraform 上でTerraform Plan/Apply GitHubと連携している際、feature→mainへプルリクエストを投げるとplan。 MergeするとApply。 Pull Request Merge

    $ terraform plan $ terraform apply

13. Organizations 〜 Workspacesの作成。Terraform Plan/Applyの実行に ついては↓の記事を是非参考に🙏 https://qiita.com/atw0_0w/items/6b55f671e1088cbc140e

14. Terraform Cloud (Private Registryについて)

15. Terraform Cloud Private Registry Private Registry ・プライベートレジストリにモジュールを予め登録することで、複数のワークスペースから呼び出すこ とが可能。 ・バージョンごとに管理可能なため、 任意のバージョンを利用可能。

16. [ハンズオン]プライベートレジストリの作成 リポジトリ名は terraform-<provider>-<name> とする

17. [ハンズオン]プライベートレジストリの作成

18. Private Registryの呼び出し サブモジュールの呼び出し

19. サブモジュールのテンプレートの格納先 ./modules/<folder_name> 下にテンプレートを作成

20. Vault Secrets (Terraform Cloudからのシークレット参照)

21. Vault Secretsとは? マルチプロバイダーにおけるシークレットを 統合管理できるサービス Vault Secrets アーキテクチャ

22. Vault Secretsとは? マルチプロバイダーにおけるシークレットを 統合管理できるサービス 管理対象は - パスワード - API トークン

    - アクセスキー が挙げられる。 Vault Secrets アーキテクチャ

23. Vault Secrets + HPC Terraform アーキテクチャ 1. Vault Secrets でシークレットを登録

    2. HCP Terraform 上のWorkspaces変数にシークレットの値を同期 Sensitive変数として登録 3. Terraform テンプレートのvariable句で 変数を呼び出す

24. Vault Secrets + HPC Terraform インテグレーション

25. Vault Secrets + HPC Terraform インテグレーション

26. Vault Secrets + HPC Terraform シークレット登録 & 同期 Vault Secrets

    HCP Terraform Cloud Secrets 登録 HCP Terraform Cloudへ同期

27. 注意点

28. HPC Terraform とその他CI/CDサービス HPC Terraform ・シンプルに構築可能 ・Terraformバージョン切り替え可能 ・シンプルにPlan/Apply可能 その他(CircleCI, GitHub

    Actions 等) ・OrbやDockerfileなど実行環境の構 築は必要 ・指定したTerraformバージョンをイ ンストールするDockerfileなどの定義 ファイルが必要 ・テストやコンプライアンスチェックな ど柔軟なパイプラインが構築可能 → 一長一短なので使い分ける必要あり

29. まとめ - Terraform Cloud のワークスペースを作成することで、 GitHubにPullreq/MergeするだけでPlan, Applyを実行できる - プライベートレジストリで複数のプロジェクトから呼び出し可能。また、柔軟にモジュー ルのバージョン管理ができる。

    - Vault Secrets でマルチプロバイダーでシークレットを管理できる (但しAWS Secrets Managerなどのローテーションによる同期はサポートされてない ) - シンプルなCI/CDをTerraform Cloud で実現できる。より複雑なフローの場合は GitHub ActionsやCircleCIを利用した方がベター.

30. 参考資料 [元記事] - https://qiita.com/atw0_0w/items/6b55f671e1088cbc140e - https://qiita.com/atw0_0w/items/58812c0baf1a0000b757 - https://qiita.com/atw0_0w/items/5f2278dd0074e4c380d1 - https://qiita.com/atw0_0w/items/7d19f3105e55007d1de9

    - https://qiita.com/atw0_0w/items/6d07e68db714eb68a5f5 [リポジトリ] - Terraform ワークスペース用 - https://github.com/atsw0q0/test-terraform-cloud - Private Registry用 - https://github.com/atsw0q0/terraform-aws-network-templates - https://github.com/atsw0q0/terraform-aws-webapp-templates

31. ご清聴ありがとうございました