はてなブックマーク

はじめに Terraformを使って複数の環境を扱う代表的な方法として、環境ごとにディレクトリを分けつつ、そこから共通のmoduleを呼び出すというものがあります。 本記事ではこれとは異なり、moduleを使わずに複数の環境を取り扱うファイル構成例と、運用して感じている利点について紹介します。 なお、Terraformで取り扱う対象としてAWSを前提とした記述が各所に登場します。ご了承ください。 動作環境 Terraform v1.5.3 AWS Provider v5.9.0 moduleを使って複数環境を扱うファイル構成例 moduleを使わない構成を紹介する前に、まずmoduleを使う構成例を簡単に解説します。 ファイル構成は概ね以下の通りになるかと思います。 -- <project-name>/ -- envs/ -- dev/ -- backend.tf -- providers

こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 当社はプロダクトのコンテナイメージをAmazon ECRに保存しています。 今回、コスト削減の一環でECRに溜まっていく不要イメージを削除することにしました。 その際、ecrmを定期的に実行して削除するようにしました。 ecrmとは ecrmは「使用されていない」ECRのイメージを削除するOSSです。 ECRのライフサイクルポリシーは、世代数や、イメージがpushされてからの日数などに基づいて古いイメージを削除してくれますが、ECSタスク等で使用中のイメージを削除してしまう懸念があります。 ecrmはそうしたこと無く、安全に古いイメージを削除することのできる大変ありがたいOSSです。 詳細な仕様はecrmを紹介するブログを参照ください。 定期削除の構成図 ecrmはCodeBuild上で実行することにしまし

こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 Terraform AWS Provider v4.33.0より、IAM Identity Center(AWS SSO)のグループとユーザーが作成できるようになりました！ 当社は以前からIAM Identity Centerを利用しており、これまではマネジメントコンソールによる管理だったのですが、今回早速Terraform化しましたので、そこで得られた知見を元にしたサンプルコードを紹介します。 なお、Identity Centerの許可セット(IAMポリシー情報)などは以前からAWS Providerで対応済みですが、それらリソースは本記事のスコープ外となります。ご承知おきください。 環境 Terraform 1.1.7 AWS Provider 4.33.0 工夫したポイント 各ユーザーがどのグループに

こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 当社はインフラにAWSを使っており、ALBのログはS3バケットに保存するようにしています。 S3に保存したALBログはAthenaなどを使って分析することもできるのですが、Datadogに送ることで非常に簡単に可視化することができ、パフォーマンス分析などに大いに役立っています。 下図のような、Datadogにログを送るLambdaのことをDatadog公式ではDatadog Forwarderと呼んでいます。 このDatadog Forwarderおよび一連の関連リソースを構築する手段として、Datadog公式からはCloudFormationテンプレートが提供されています。また、このCloudFormationテンプレートをTerraformでラップして使用する方法についても解説されています。 当社はIa

TerraformでAWS Chatbotを作成したいけれど、Terraform Registryを見てもそれらしきresource typeが無いとお嘆きの方へ。以下のmoduleを利用することで作成できます。 サンプルコード module "chatbot_slack_configuration_sample" { source = "waveaccounting/chatbot-slack-configuration/aws" version = "1.1.0" configuration_name = "config-name" guardrail_policies = ["arn:aws:iam::aws:policy/ReadOnlyAccess"] # 任意だが明示的に指定することを推奨。理由は後述。 iam_role_arn = aws_iam_role.chatbot.a

GitHub ActionsやCircle CIなどのCI/CD環境でecspressoを使ってECSにデプロイ(ecspresso register/run/deploy)を行う際のAWS IAMポリシーのサンプルです。 ここに記載するポリシーは、タスク実行ロールやタスクロールのポリシーではありません。 ecspressoの全てのコマンドをフォローしていません。例えばecspresso execは実行できません。コンテナの中に入って自由にコマンドを打てるecspresso execを実行可能な権限を、CI/CD環境に預けるユースケースを想定していないため。 環境 ecspresso 2.0.2 ポリシー例 { "Version" : "2012-10-17", "Statement" : [ { "Sid" : "RegisterTaskDefinition", "Effect" : "

はじめに terraform refreshコマンドについて解説している日本語記事があまり見当たらなかっため、挙動を調べてみました。 【追記】terraform apply -refresh-onlyについて Terraform v0.15.4から、terraform apply -refresh-onlyが使用できるようになりました。 terraform refreshの場合、確認表示が行われず一気に実行されますが、terraform apply -refresh-onlyであれば通常のapplyと同様に確認表示が行われ、yes入力後に実行されます。 -refresh-onlyオプションの使用が推奨されているので、そちらを使うようにしてください。 環境 Terraform v0.14.3 refreshのまとめ 実体の内容に沿って、stateが更新されます。実体側が更新されることはありま