20个最佳实践提升Terraform工作流程

在上一部分，我们一同探讨了构建 Terraform 项目的一些策略，以及使用 Terraform 管理 IaC 的部分最佳实践。今天，我们将继续深入研究将 Terraform 代码提升到新水平的具体要点，希望能够为你和你的团队提供有意义的提示和指导。

标记资源

当出现问题或试图找出基础设施的哪一部分导致云费用激增时，强大且一致的标记策略将提供巨大帮助。您还可以在需要时根据标签制定一些访问控制策略。像定义命名规则一样，尽量保持一致并始终相应地标记资源。

Terraform 参数标签应声明为最后一个参数（如果相关，仅depends_on或生命周期参数应在标签之后定义）。

在进行标记时，可以定义一些适用于提供者管理的所有资源的default_tags。如果使用的提供程序不支持默认标签，则需要手动将这些标签传递到模块并将它们应用到资源。

引入策略即代码（PaC）

随着业务团队和基础设施规模的扩大，对个人用户的信任通常会降低。这时应该制定一些政策来确保我们的系统继续运行且保持安全。制定政策即代码流程使我们能够定义大规模安全和可接受的规则，并自动验证这些规则。

实施机密管理策略

当开始使用 Terraform 时，机密管理可能不是首要任务，但最终还是要回到定义处理机密的策略。

如所有教程所说，切勿以明文形式存储机密并将其提交到版本控制系统中。可以通过使用 TF_VAR 设置环境变量并使用 sensitive = true 标记敏感变量来传递机密。

或者采用更成熟的解决方案，即设置一个机密存储（例如 Hashicorp Vault 或 AWS Secrets Manager）来处理对机密信息的访问。这样，就可以保护静态机密并强制执行加密。还可以选择更高级的功能，例如密钥轮换和审核日志。不过需要注意的是，这种方法通常会为企业带来使用此托管服务的成本。

测试 Terraform 代码

与所有其他代码一样，IaC 代码应该经过相应测试。运行 terraform plan 是验证更改是否能快速按预期工作的最简单方法。接下来，可以对 Terraform 代码执行一些静态分析而无需应用它。单元测试也是验证系统不同部分是否正常运行的一种选择。

另一步骤是将 Terraform linter 集成到 CI/CD 流水线中，并尝试捕获与云提供商、已弃用的语法、强制实施最佳实践等相关的任何潜在错误。

在正式进行以上步骤前，可以通过启动来设置一些集成测试复制沙箱环境，在此环境中验证一切是否按预期工作，收集结果，然后销毁沙箱，并将其应用到生产中。

启用调试/故障排除

当出现问题时，我们必须快速有效地收集所有必要的信息来解决问题。你会发现在这些情况下设置 Terraform 日志级别以进行调试很有帮助。

TF_LOG=DEBUG

还通过设置 TF_LOG_PATH 环境变量将日志保留在文件中。

尽可能构建模块

如果社区中没有适用于你的用例的模块，可以尝试构建自己的模块。一般会从一些基础的东西开始构建，随着基础设施的成熟，你可能需要回到简单的模块并向其添加更多功能。当在另一个环境中复制代码时，需要做的就是从该模块创建一个对象，并使用新环境的正确参数去进行填充。

使用循环和条件

你的代码应该能够创建资源的多个实例，因此建议对可能从一种环境更改为另一种环境的实例使用 count 或 for_each 。这样将能够灵活地使用相同的代码来适应许多不同的用例，并为参数提供通用性。

使用函数

除了循环和条件之外，Terraform 函数对于在代码中实现通用性也至关重要。它们使您的代码更加动态并确保您的配置是 DRY（Don't repeat yourself）的。函数允许您执行各种操作，例如将表达式转换为不同的数据类型、计算长度以及构建复杂变量。

充分利用动态模块

如果没有动态模块，代码就无法达到 DRY 状态。当此功能可用时，能够实现按照您喜欢的方式构建资源的灵活性。例如，某些云提供商没有用于安全组规则的专用资源，并且这些规则通常嵌入在安全组本身中。利用动态模块，你只需要更改输入即可。但如果没有动态模块，每当添加新规则时则需要相应更改配置。

使用 Terraform WorkSpace

请使用 Terraform Workspace，这样你将能够在不同的环境中重复使用相同的配置。

使用生命周期模块（Lifecycle Block）

有时代码中可能有一些复杂的条件。比如，有一个脚本必须在资源标签上更改 Terraform 之外的某些内容（当然并不建议这样做）。这时可以使用生命周期模块来忽略标签上的更改，确保不会回滚到以前的版本。

如果有些资源，由于某种原因它看似工作正常，但你必须在不停机的情况下重新创建它，那么生命周期模块也可以提供帮助。这时可以使用 create_before_destroy=true 来实现此目的。

使用变量验证

Terraform 在验证变量是否接收正确的输入方面做得非常好，但是如果想要限制某些内容并且没有实施 PaC 该怎么办？这时可以使用变量验证。此验证块存在于变量内部，可以参考 Terraform 官方说明[1]了解更多。

灵活利用辅助工具

Terraform 是最常用和最受喜爱的 IaC 工具之一，其社区也是非常庞大且活跃的。与这个社区一起，有许多辅助工具被创造以帮助用户更好地使用 Terraform。当然为我们的工作流程选择和采用正确的工具并不是件简单的事，通常需要一个实验阶段。这里我们总结出一些有用的工具清单供大家参考：

tflint – Terraform linter，用于检查计划无法捕获的错误。
tfenv – Terraform 版本管理器
checkov – Terraform 静态分析工具
terratest – 帮助您对 Terraform 进行自动化测试的 Go 库
pre-commit-terraform – 用于自动化的 pre-commit git hooks
terraform-docs – 从模块快速生成文档
atlantis – Terraform 项目协作工作流程
terraform-cost-estimation – 为您的计划提供成本估算服务

利用 IDE 扩展

如果你在编写 Terraform 代码时使用 Visual Studio Code 或任何其他 IDE，则可以利用其扩展来加快开发过程，并确保代码格式正确。在 vscode 上，您可以使用 Anton Kulikov 构建的 Terraform 扩展。请记住在本地计算机上安装 Terraform 以确保其正常工作。

总结

我们探索了 Terraform 和 IaC 的许多不同最佳实践，分析了处理和构建 Terraform 项目的各种选项，并了解了采用辅助工具如何让我们的生活更轻松。当然这些并不是必须盲目遵循的秘诀，我们希望通过这篇文章，能够成为提供指导和提示并触发你构建自己的最佳 Terraform 工作流程和项目的指南。

原文链接：

https://spacelift.io/blog/terraform-best-practices

参考链接：

1.https://developer.hashicorp.com/terraform/language/values/variables