Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Terraformテスト入門

msato
July 24, 2024
Programming
1
1.5k

 Terraformテスト入門

Developers IO 2024 Day9(7/24)

Terraformコードに対して、テストすることで品質を向上させ障害のリスクを低減することができます。
本セッションでは、Terraformコードのテスト手法の概要をそれぞれ紹介します。

msato

July 24, 2024
Tweet

More Decks by msato

See All by msato
AFTを運用していたらAWS Configの課金が急増していた件
msato
0
510
IaCジャーニーの紹介
msato
1
1.3k
Terraformのデプロイパイプラインに使用できるツールをまとめてみる
msato
1
1.7k
Terraform Cloudを使って Stateファイルを楽に管理する
msato
1
2.1k
aws-nuke + Github Actoinsで AWSアカウントのクリーンアップを 自動化した話
msato
0
1.9k
なぜIaCの引き継ぎは 上手くいかないのか?
msato
1
3.9k
Amazon ECSのネットワーク関連コストの話
msato
0
1.7k
失敗から学ぶAWSコスト管理入門 ~想定の50倍以上の請求がきた話~
msato
0
1.5k
IAM_Access_Analyzer使ってみた.pdf
msato
0
610

Other Decks in Programming

See All in Programming
cXML という電子商取引の トランザクションを支える プロトコルと向きあっている話
phigasui
3
2.2k
Mastering Dependencies in Kotlin Multiplatform
tomifabian
0
110
Streams APIとTCPフロー制御 / Web Streams API and TCP flow control
tasshi
1
290
/←このスケジュール表に立ち向かう フロントエンド開発戦略 / A front-end development strategy to tackle a single-slash schedule.
nrslib
1
590
Progressive Web Apps für Desktop und Mobile mit Angular (Hands-on)
christianliebel
PRO
0
110
飲食業界向けマルチプロダクトを実現させる開発体制とリアルな現状
hiroya0601
1
390
僕がつくった48個のWebサービス達
yusukebe
18
17k
2万ページのSSG運用における工夫と注意点 / Vue Fes Japan 2024
chinen
3
1.3k
プロジェクト新規参入者のリードタイム短縮の観点から見る、品質の高いコードとアーキテクチャを保つメリット
d_endo
1
1k
VR HMDとしてのVision Pro+ゲーム開発について
yasei_no_otoko
0
100
Kaigi on Rails 2024 - Rails APIモードのためのシンプルで効果的なCSRF対策 / kaigionrails-2024-csrf
corocn
5
3.3k
Golang と Erlang
taiyow
8
1.9k

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
327
21k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Facilitating Awesome Meetings
lara
49
6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Become a Pro
speakerdeck
PRO
24
5k
What's new in Ruby 2.0
geeforr
342
31k
The Invisible Side of Design
smashingmag
297
50k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.6k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.1k

Transcript

  1. Terraform テスト⼊⾨ 2024.7.24 AWS事業本部 佐藤雅樹

  2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

  3. ⾃⼰紹介 3 resource “my_profile” “this” { name = “佐藤雅樹” x

    = “@chari7311” company = “クラスメソッド株式会社” department = “ソリューションアーキテクト” }

  4. 本セッションについて 4 • 対象者 ◦ Terraformを利⽤してIaCを実践している ⽅ ◦ Terraformの各種テスト機能‧ツールに ついて興味がある⽅

    • ゴール ◦ Terraformのテストの必要性と各種テス ト⼿法がわかる

  5. なぜTerraformコードを テストするのか 5

  6. リソースの変更に ⾃信を持つため 6

  7. 変更による影響を完全に把握するのは難しい • 管理するリソースの数や機能は多岐にわたる • ベストプラクティスや必要なセキュリティも⽇々 アップデートされている • 共通モジュールやツールが意図しない使われ⽅を されていることもある 7

  8. 分からないものは怖い 意図せずに発⽣するかも • ダウンタイム • データ損失 • セキュリティ‧コンプライアンス違反 8

  9. テストを導⼊する効果 • 変更の影響範囲が把握しやすくなる • コードのバグに早く気付ける • ⾃動テストによって確認作業が省⼒化される 9

  10. Terraformコードのテストで リソース変更に⾃信を 10

  11. Terraformにはどういった テストがあるのか 11

  12. Terraformのテスト 12 - 静的解析 - ポリシーテスト - ユニットテスト - コントラクトテスト

    - インテグレーションテスト - E2Eテスト

  13. 課題 1. コード品質を上げたい 2. 共通モジュールの変更が怖い 3. 全体的な機能をテストしたい 13

  14. 課題1 14

  15. 課題1 コード品質を上げたい 状況 • ⼈によってセキュリティやコンプライアンスへの対応状況にばらつきがある 問題 • ⼿動確認やPRレビューの負荷が⾼い • デプロイ後Security

    HubやCNAPP等で検知されてから、修正しており⼿間がか かっている 対策 • 静的解析 • ポリシーテスト 15

  16. 16 静的解析 概要 • コードを実⾏せずに、構⽂エラーやベストプラクティス違反を検出する テストの例 • EBSボリュームが暗号化されているか • 使⽤されていない変数がないか

    ツール • Checkov,Snyk,tfsec,tflint等

  17. Checkov 17 tfファイル checkov検出結果 ingressが全て許可さ れていることを検知

  18. 18 ポリシーテスト 概要 • 設定が組織のポリシーに準拠していることをテストする テストの例 • 「ManagedBy = terraform」タグが付いていないリソースがないか

    • デプロイが⾦曜⽇に⾏われていないか ツール • OPA,Sentinel

  19. 19 Sentinel https://developer.hashicorp.com/terraform/tutorials/policy/sentinel-policy Nameタグの強制 インスタンスタイプの制限

  20. 課題2 20

  21. 課題2 共通モジュールの変更が怖い 状況 • よく使う構成を共通モジュール化して、各システムで利⽤している 問題 • 共通モジュール変更時の影響範囲がわからず、更新するのが怖い 対策 •

    ユニットテスト • コントラクトテスト • インテーグレーションテスト 21

  22. ユニット = 再利⽤可能なモジュール Terraformのテスト単位(ユニット) 22

  23. 23 ユニットテスト 概要 • 個々のTerraformモジュールの機能を検証する テスト例 • 正しいCIDRブロックを持つサブネットを作成するか • 作成されるS3バケットの命名規則が正しいか

    ツール‧機能 • Terratest • terraform test(terraformネイティブ機能)

  24. 24 terraform test https://developer.hashicorp.com/terraform/tutorials/configuration-language/test ランダム⽂字列を作成するヘルパースクリプト S3バケットの命名規則が正しいか ファイルに変更がないか

  25. 25 コントラクトテスト 概要 • モジュール間のインターフェースや依存関係を検証する テスト例 • EC2モジュールのVariable AMI IDが正しい形式になっているか

    • EC2インスタンスのパブリックDNSが想定通りの設定になっているか ツール‧機能 • Input variable validation(terraformネイティブ機能) • Preconditions/postconditions(terraformネイティブ機能)

  26. 26 Input variable validation https://developer.hashicorp.com/terraform/language/expressions/custom-conditions?ajs_aid=9d245d2d-3c8b- 4c44-828a-9e32ec71ad57&product_intent=terraform#input-variable-validation AMI IDが正しい形式か

  27. 27 インテグレーションテスト 概要 • 複数のTerraformモジュールやリソースが正しく連携して動作することを確認する テスト例 • VPC、EC2、RDSを組み合わせたアプリケーションスタックが正しく構築されるか ツール‧機能 •

    Terratest • terraform test(terraformネイティブ機能)

  28. 課題3 28

  29. 課題3 全体的な機能をテストしたい インフラ全体が動作するのか確認したい 29

  30. 30 E2Eテスト 概要 • 実際のクラウド環境にインフラストラクチャをデプロイし、全体的な機能を確認する テスト例 • エンドポイントに対して、HTTPリクエストして正常なレスポンスが返ってくるか ツール‧機能 •

    Terratest • terraform test(terraformネイティブ機能) • Check blocks(terraformネイティブ機能)

  31. 31 Check Blocks https://developer.hashicorp.com/terraform/language/checks サイトから正常なレスポンスが返ってくるか

  32. terraform testでも出来そうだけど なぜCheck Blocksを使うの? 32

  33. 33 なぜCheck blocksを使うか テストのたびに、⼀時的に全リソー スを作成するのは現実的ではない →既存の環境に対してテストを実⾏ する   既存リソースに対してのテストは、Check blocksが適している

    https://dev.classmethod.jp/articles/terraform-test-check/

  34. 34 Check blocksの利点 • Terraformライフサイクルの外側でのチェックが⾏いやすい - 例)AWS Budgetsの予算を超過していないか、ACMでインポートした証明書の有効期限は切れ ていないか •

    実⾏時間が短い(terraform testと違い⼀時的なリソース作成が⾏わない) • HCP TerraformのContinuous validationを利⽤できる - 定期的にCheck blocksを実⾏する機能 https://dev.classmethod.jp/articles/terraform-test-check/

  35. まとめ 35

  36. 36 セッションの振り返り • Terraformのテストを導⼊することで、⾃信をもってリソース変更ができるよ うになります • 静的解析‧ポリシーテスト → セキュリティとガバナンス向上 •

    モジュール関連のテスト → 共通モジュールの管理負荷軽減 - ユニットテスト - コンストラクトテスト - インテグレーションテスト • E2Eテスト → インフラの全体的な信頼性向上

  37. 37 最後に、明⽇からやれること 静的解析をCI/CDやpre-commitに導⼊してみましょう! • 個⼈的にはCheckovおすすめ • すでにSnykお使いならSnyk IaC • ツールの⽐較ブログ

    - A Deep Dive Into Terraform Static Code Analysis Tools: Features and Comparisons

  38. お知らせ 38

  39. 39 Terraformのことなら、ClassMethodへ! • Terraformの豊富な導⼊実績 • HCP Terraform等、各種SaaS製品を販売 • HashiCorp Ambassadors在籍

    • DevelopersIOブログも!!→ - Terraformの使い⽅ - AWSマルチアカウント環境での活⽤ - TerraformのCI/CD

  40. 40 IaC導⼊⽀援 設計、コーディング、トレーニング等に幅広く対応 https://classmethod.jp/aws/services/iac/

  41. None
  42. None

  43. 参考 書籍: 詳解Terraform(主に9章) HashiCorp Blog: Testing HashiCorp Terraform 43