Terraformテスト入門

Transcript

1. Terraform テスト⼊⾨ 2024.7.24 AWS事業本部 佐藤雅樹

2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

3. ⾃⼰紹介 3 resource “my_profile” “this” { name = “佐藤雅樹” x

   = “@chari7311” company = “クラスメソッド株式会社” department = “ソリューションアーキテクト” }

4. 本セッションについて 4 • 対象者 ◦ Terraformを利⽤してIaCを実践している ⽅ ◦ Terraformの各種テスト機能‧ツールに ついて興味がある⽅

   • ゴール ◦ Terraformのテストの必要性と各種テス ト⼿法がわかる

5. なぜTerraformコードを テストするのか 5

6. リソースの変更に ⾃信を持つため 6

7. 変更による影響を完全に把握するのは難しい • 管理するリソースの数や機能は多岐にわたる • ベストプラクティスや必要なセキュリティも⽇々 アップデートされている • 共通モジュールやツールが意図しない使われ⽅を されていることもある 7

8. 分からないものは怖い 意図せずに発⽣するかも • ダウンタイム • データ損失 • セキュリティ‧コンプライアンス違反 8

9. テストを導⼊する効果 • 変更の影響範囲が把握しやすくなる • コードのバグに早く気付ける • ⾃動テストによって確認作業が省⼒化される 9

10. Terraformコードのテストで リソース変更に⾃信を 10

11. Terraformにはどういった テストがあるのか 11

12. Terraformのテスト 12 - 静的解析 - ポリシーテスト - ユニットテスト - コントラクトテスト

    - インテグレーションテスト - E2Eテスト

13. 課題 1. コード品質を上げたい 2. 共通モジュールの変更が怖い 3. 全体的な機能をテストしたい 13

14. 課題1 14

15. 課題1 コード品質を上げたい 状況 • ⼈によってセキュリティやコンプライアンスへの対応状況にばらつきがある 問題 • ⼿動確認やPRレビューの負荷が⾼い • デプロイ後Security

    HubやCNAPP等で検知されてから、修正しており⼿間がか かっている 対策 • 静的解析 • ポリシーテスト 15

16. 16 静的解析 概要 • コードを実⾏せずに、構⽂エラーやベストプラクティス違反を検出する テストの例 • EBSボリュームが暗号化されているか • 使⽤されていない変数がないか

    ツール • Checkov,Snyk,tfsec,tflint等

17. Checkov 17 tfファイル checkov検出結果 ingressが全て許可さ れていることを検知

18. 18 ポリシーテスト 概要 • 設定が組織のポリシーに準拠していることをテストする テストの例 • 「ManagedBy = terraform」タグが付いていないリソースがないか

    • デプロイが⾦曜⽇に⾏われていないか ツール • OPA,Sentinel

19. 19 Sentinel https://developer.hashicorp.com/terraform/tutorials/policy/sentinel-policy Nameタグの強制 インスタンスタイプの制限

20. 課題2 20

21. 課題2 共通モジュールの変更が怖い 状況 • よく使う構成を共通モジュール化して、各システムで利⽤している 問題 • 共通モジュール変更時の影響範囲がわからず、更新するのが怖い 対策 •

    ユニットテスト • コントラクトテスト • インテーグレーションテスト 21

22. ユニット ＝ 再利⽤可能なモジュール Terraformのテスト単位(ユニット) 22

23. 23 ユニットテスト 概要 • 個々のTerraformモジュールの機能を検証する テスト例 • 正しいCIDRブロックを持つサブネットを作成するか • 作成されるS3バケットの命名規則が正しいか

    ツール‧機能 • Terratest • terraform test(terraformネイティブ機能)

24. 24 terraform test https://developer.hashicorp.com/terraform/tutorials/configuration-language/test ランダム⽂字列を作成するヘルパースクリプト S3バケットの命名規則が正しいか ファイルに変更がないか

25. 25 コントラクトテスト 概要 • モジュール間のインターフェースや依存関係を検証する テスト例 • EC2モジュールのVariable AMI IDが正しい形式になっているか

    • EC2インスタンスのパブリックDNSが想定通りの設定になっているか ツール‧機能 • Input variable validation(terraformネイティブ機能) • Preconditions/postconditions(terraformネイティブ機能)

26. 26 Input variable validation https://developer.hashicorp.com/terraform/language/expressions/custom-conditions?ajs_aid=9d245d2d-3c8b- 4c44-828a-9e32ec71ad57&product_intent=terraform#input-variable-validation AMI IDが正しい形式か

27. 27 インテグレーションテスト 概要 • 複数のTerraformモジュールやリソースが正しく連携して動作することを確認する テスト例 • VPC、EC2、RDSを組み合わせたアプリケーションスタックが正しく構築されるか ツール‧機能 •

    Terratest • terraform test(terraformネイティブ機能)

28. 課題3 28

29. 課題3 全体的な機能をテストしたい インフラ全体が動作するのか確認したい 29

30. 30 E2Eテスト 概要 • 実際のクラウド環境にインフラストラクチャをデプロイし、全体的な機能を確認する テスト例 • エンドポイントに対して、HTTPリクエストして正常なレスポンスが返ってくるか ツール‧機能 •

    Terratest • terraform test(terraformネイティブ機能) • Check blocks(terraformネイティブ機能)

31. 31 Check Blocks https://developer.hashicorp.com/terraform/language/checks サイトから正常なレスポンスが返ってくるか

32. terraform testでも出来そうだけど なぜCheck Blocksを使うの？ 32

33. 33 なぜCheck blocksを使うか テストのたびに、⼀時的に全リソー スを作成するのは現実的ではない →既存の環境に対してテストを実⾏ する   既存リソースに対してのテストは、Check blocksが適している

    https://dev.classmethod.jp/articles/terraform-test-check/

34. 34 Check blocksの利点 • Terraformライフサイクルの外側でのチェックが⾏いやすい - 例)AWS Budgetsの予算を超過していないか、ACMでインポートした証明書の有効期限は切れ ていないか •

    実⾏時間が短い(terraform testと違い⼀時的なリソース作成が⾏わない) • HCP TerraformのContinuous validationを利⽤できる - 定期的にCheck blocksを実⾏する機能 https://dev.classmethod.jp/articles/terraform-test-check/

35. まとめ 35

36. 36 セッションの振り返り • Terraformのテストを導⼊することで、⾃信をもってリソース変更ができるよ うになります • 静的解析‧ポリシーテスト → セキュリティとガバナンス向上 •

    モジュール関連のテスト → 共通モジュールの管理負荷軽減 - ユニットテスト - コンストラクトテスト - インテグレーションテスト • E2Eテスト → インフラの全体的な信頼性向上

37. 37 最後に、明⽇からやれること 静的解析をCI/CDやpre-commitに導⼊してみましょう！ • 個⼈的にはCheckovおすすめ • すでにSnykお使いならSnyk IaC • ツールの⽐較ブログ

    - A Deep Dive Into Terraform Static Code Analysis Tools: Features and Comparisons

38. お知らせ 38

39. 39 Terraformのことなら、ClassMethodへ！ • Terraformの豊富な導⼊実績 • HCP Terraform等、各種SaaS製品を販売 • HashiCorp Ambassadors在籍

    • DevelopersIOブログも!!→ - Terraformの使い⽅ - AWSマルチアカウント環境での活⽤ - TerraformのCI/CD

40. 40 IaC導⼊⽀援 設計、コーディング、トレーニング等に幅広く対応 https://classmethod.jp/aws/services/iac/

41. None
42. None

43. 参考 書籍: 詳解Terraform(主に9章) HashiCorp Blog: Testing HashiCorp Terraform 43