terraform

Terraformを使ってAWSにWebアプリケーションの実行環境を立てる (EC2立てるまで)

投稿日:

Webアプリケーション実行環境をIaCで管理したい.
Terraformでクラウド構成を作ってAnsibleでミドルウェアをインストールしたい.
BeanstalkやLightsailのようなPaaSではなくTerraformを使ってVPCから自前で作ってみる.
この記事はEC2を立てるまでが範囲.
次の記事でAnsibleを使って立てたEC2にミドルウェアをインストールする.

この記事で紹介する範囲

この記事ではTerraformを使ってAWS上に以下の構成を作るまでを書いてみる.

とはいえTerraformの習得が8割くらいのモチベなので実用性はあまり重視しない.
サブネットをプライベートとパブリックに分けてみたい.
プライベートにDB(MySQL), パブリックにWebサーバ(nginx).
ひとまずALBは配置しない.

Terraformの導入

Ansibleもそうだけれども, アプリを保守している期間って割と長いもので、
その間, 構成管理ツール側のバージョンが上がってしまう傾向がある.
そうすぐに古い書き方が使えなくなることはないが, 警告が出まくって気分がよくない.
構成管理ツールの古いバージョンを残しておきたい, どのバージョンを使うか選びたい, という期待がある.
rbenvやpyenvのようにTerraform自体のバージョンを管理するtfenvをインストールしておき,
この記事を書いた日の最新である 1.0.3 をインストールすることにする.

git secretsの導入

AWSのcredentialsなどを誤ってcommitしてしまう事故を防ぐためにgit secretsを導入する.
commit時に内容を検証してくれて, もしそれらしきファイルがあればリジェクトしてくれる.
どこまで見てくれるのか未検証だけれども入れておく.
Laravelの.env_staging等に書いたcredentialsがどう扱われるか後で検証する.

ディレクトリ構成

勉強用の小さな環境を作るのだけれども, 今後の拡張性については考慮しておきたい.
割と規定されている傾向があるAnsibleと比較して,Terraformは自由な印象.
以下の記事を参考にさせて頂きました.
Terraformなにもわからないけどディレクトリ構成の実例を晒して人類に貢献したい

tfstateの保存先の定義

tfstate は Terraformが管理しているリソースの現在の状態を表すファイル.
terraformは「リソースを記述したファイル」と「現在の状態」の差分を埋めるように処理を行うが,
いちいち「現在の状態」を調べにいくとパフォーマンスが悪化するため, ファイルに保存される.
(確かにAnsibleは毎回「現在の状態」を調べにいっているっぽく,これが結構遅くて毎回イライラする)

デフォルトだとローカルに作られるが, それだとチーム開発で共有できないので,
S3等に作るのが良くあるパターン.
Terraformでは”バックエンド”という概念で扱われる. “バックエンド”を以下のように記述する.

バックエンドの定義はterraformの前段にあり, S3 bucketとDynamoDB tableを手動で作っておく必要がある.
変数を使うことができないのでハードコードしないといけない. 議論があるらしい.
key,secretを書く代わりにprofileを書くことで, 構成管理可能になる.
(同じprofile名をチームで共有しないといけない…)

backendをS3にする際にS3のbucketをどう作るか問題はいろいろ議論があるようで,
いずれ以下の記事を参考にしてよしなにbucketを作れるようにしたい.

dynamodb_tableを設定すると、そこにロックファイルを作ってくれるようになる.
多人数で同じ構成管理を触るときに便利.
Backend の S3 や DynamoDB 自体を terraform で管理するセットアップ方法

credentialsの書き方

ルートにある terraform.tfvarsというファイルを置いておくと、
そこに記述した内容を変数に注入することができる.
“注入”という言葉で良いのか不明だが、定義した変数の初期値を設定してくれる.

credentialsを構成管理に登録するのはご法度.
terraform.tfvarsを構成管理外として何らかの方法で環境にコピーする.
多くのツールで採用されている「よくあるパターン」.

他に,applyコマンドに直接渡したり, 環境変数で指定したりできるが,
Terraform公式は.tfvarsを推奨している.

providerの定義

プロバイダとは, 要は”AWS”,”Azure”,”GCP”.. のような粒度の何か.
Terraformは結構な種類のプロバイダに対応していて「どのプロバイダを使うか」を定義する.
今回はAWSを使う. dev.tfvarsに記述しておいたCredentialsを変数で受けて設定する.

以下,変数の定義方法, デフォルト値の設定方法を示している.
.tfvarsに記述した同名の変数について,terraformが値を設定してくれる.

エントリポイント

Terraformのエントリポイントはルートに置いた”main.tf”.
ディレクトリ構成を凝らないのであれば、main.tf に全てをベタ書きすることもできる.
今回、devやstg, prod のような環境ごとにルートを分ける構成を作りたいのだが、
main.tf 自体は環境ごとに差異が無いことを前提にしている.

./shared/main.tf というファイルを作成し、
各環境ごとの main.tf を ./shared/main.tf の Symbolic Link とする.

main.tf でリソースの定義はおこなわない. 同階層の./modules にモジュール定義があるが,
main.tf は ./modules以下の各モジュールに変数を渡すだけ.

VPCの作成とEC2の作成を各モジュールに分割した.
各モジュールのOutputのスコープはモジュールまでなので、
例えばEC2モジュールからVPCモジュールのVPC IDを直接受け取れない.
main.tf はモジュールの上に位置するため、このようにモジュール間で変数を共有できる.

VPCモジュール

./shared/modules/vpc以下にVPCモジュールを構成するファイルを配置する.

スコープがVPCモジュールに閉じたローカル変数を定義する.
以下のようにしておくと、モジュール内から local.vpc_cidr.dev のように値を取得できる.

VPCを1個作る. VPCのCIDRは10.1.0.0/16.

作ったVPC内にサブネットを2個作る. 1つはPrivate用. もう1つはPublic用.
PrivateサブネットのCIDRは10.1.2.0/24. PublicサブネットのCIDRは10.1.1.0/24.
AZは両方同じで “ap-northeast-1a”.
map_public_ip_on_launchをtrueとしておくと,
そこで立ち上げたEC2に自動的にpublic ipが振られる.

VPCに紐づくInternet Gatewayを作る.

Privateサブネットからインターネットに繋ぐために、
PublicサブネットにNAT Gatewayを作りたい.
NAT Gateway用のEIPを作る.

PublicサブネットにNAT Gatewayを作る.
EIPは上で作成したものを使う.

ルートテーブル. いろいろなところで書かれていた内容を試してようやく動くものができた.
VPCにはデフォルトで「メインルートテーブル」が作られる.
メインルートテーブルはいじっていない.

以下、Private, Publicサブネットそれぞれのためのルートテーブルを定義している.
PublicサブネットからInternet Gatewayに繋ぐ. PrivateサブネットからNAT Gatewayに繋ぐ.

EC2モジュール

./shared/modules/ec2以下にEC2モジュールを構成するファイルを配置する.

スコープがEC2モジュールに閉じたローカル変数を定義する.
main.tfからVPCモジュールのOutputをEC2モジュールに渡す必要があるが、
渡すデータを受けるためにEC2モジュール側で変数を定義しておく必要がある.

EC2にアクセスするための鍵ペア.
既に鍵ペアを持っているものとし、その公開鍵を渡す.
以下のようにすると、HostからSSHの-iオプションで秘密鍵を指定して接続できるようになる.

EC2に設定するセキュリティグループを作る.
この記事では, Private, Publicともに、インバウンドをSSHのみとした.
次の記事でPublicにHTTPを通す.
アウトバウンドとして全て通すようにしないとインスタンスから外にアクセスできなくなる(ハマった).

ネットワークインターフェース.
セキュリティグループはEC2インスタンスではなくネットワークインターフェースに紐づく.
EC2(aws_instance)のsecurity_groupsに書けなくてハマった.

最後にEC2.

実行

作った.tfファイルを再生して環境を構築する.
validateでデバッグして、大体できたらplan(DryRun)で変更が正しそうか確認してみた.
が、評価しなければわからないものについてはDryRunではわからず、
結局applyが途中で止まって解決しないといけない.

ansibleと異なり冪等性が言われていなくて、applyで間違った構成を作ってしまうと、
その先、その構成を修正したとしても上手くいかないことがある.

出来たとして、Publicに立ったEC2のパブリックIPv4をメモる.

疎通確認

Host ->(SSH)-> Web ->(SSH)-> DB を試す. DBから外に繋がるか試す.
SSH Agent Forwardを使うと、Web EC2に秘密鍵を置かないで済む.
Web側のssh configにForwardAgent yesを指定しておく.

いざ.

できた..

-terraform
-

Copyright© ikuty.com , 2024 AllRights Reserved Powered by AFFINGER4.