【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中!
【25卒向け】AI×バーチャル面接の募集を開始いたしました!
【導入実績 500社以上】AWS 構築・運用保守・監視サービス
【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス
【WordPress 専用】クラウドサーバー『ウェブスピード』
【格安】Webサイト セキュリティ自動診断「クイックスキャナー」
【低コスト】Wasabi オブジェクトストレージ 構築・運用サービス
【予約システム開発】EDISONE カスタマイズ開発サービス
【100URLの登録が0円】Webサイト監視サービス『Appmill』
【中国現地企業に対応】中国クラウド / サーバー構築・運用保守
【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」
[Terraform]異なるtfstateに記述されているリソースの情報を参照する
目次
インフラエンジニアの寺岡です。
TerraformのHCLを記述する際に便利なものに
terraform_remote_stateというデータソースがあります。
今回はこちらの紹介をしてみようと思います。
■terraform_remote_stateとは
異なるtfstateに記述されているリソースの情報を参照したい。
そんなときに利用すると便利なデータソースです。
そもそもTerraformにはtfstateという
terraform applyでデプロイを実行したときに
作成されたリソース情報が記録されているファイルがあります。
Terraformでインフラを構築する際に
複数の環境(踏み台/本番/開発など)がある場合は
terraform applyが他の環境に影響を及ぼさないように
環境ごとにtfstateを分けるのが鉄則です。
tfstateを分けた場合
踏み台環境で作成したリソースの情報を
本番環境でリソースを作成するときに参照したいということがあります。
その際に便利なのが「terraform_remote_state」です。
■どんなときに使うのか
AWSになりますが以下に1つ例を記載します。
サーバにSSHで接続する際は踏み台サーバを経由する前提とした場合
セキュリティグループとルールをTerraformで作成しようとするとどのようになるでしょうか。
まずは踏み台サーバ用のVPCとセキュリティグループ + ルールを作成すると思います。
bastion.tf
terraform {
backend "s3" {
bucket = "terraform-tfstate"
key = "terraform-blog/bastion.tfstate"
region = "ap-northeast-1"
}
}
resource "aws_vpc" "bastion" {
cidr_block = "10.0.0.0/16"
enable_dns_hostnames = true
tags {
Name = "vpc-bastion"
}
}
resource "aws_security_group" "bastion" {
name = "bastion-sg"
description = "for bastion server"
vpc_id = "${aws_vpc.bastion.id}"
tags {
Name = "bastion-sg"
}
}
resource "aws_security_group_rule" "prod_sg_rule" {
security_group_id = "${aws_security_group.bastion.id}"
type = "ingress"
from_port = "22"
to_port = "22"
protocol = "tcp"
cidr_blocks = "XXX.XXX.XXX.XXX"
}
backendの設定でtfstateをbastion.tfstateという名前でS3に置いていますが
VPCとセキュリティグループ + 特定IPからの許可ルールを追加しているだけなのでこれは大丈夫です。
では、踏み台から「接続される側」の設定はどのようになるでしょうか。
production.tf
terraform {
backend "s3" {
bucket = "terraform-tfstate"
key = "terraform-blog/prod.tfstate"
region = "ap-northeast-1"
}
}
resource "aws_vpc" "prod" {
cidr_block = "10.0.0.0/16"
enable_dns_hostnames = true
tags {
Name = "vpc-prod"
}
}
resource "aws_security_group" "prod" {
name = "prod-sg"
description = "for production server"
vpc_id = "${aws_vpc.prod.id}"
tags {
Name = "prod-sg"
}
}
resource "aws_security_group_rule" "prod_sg_rule" {
security_group_id = "${aws_security_group.prod.id}"
type = "ingress"
from_port = "22"
to_port = "22"
protocol = "tcp"
source_security_group_id = "${何を指定すれば良い???}"
}
踏み台サーバからのSSH接続を許可したい場合は
踏み台用のセキュリティグループからのアクセスを許可する必要があるので
source_security_group_idで踏み台用のセキュリティグループのIDを指定する必要があります。
ただし、backendの記述で踏み台サーバとtfstateが分かれているので
このままでは、セキュリティグループのIDを参照することができません。
■どのように使うのか
できないことがわかったところで参照できるようにしたいと思います。
まずはbastion.tf側でoutputの設定を追加する必要があります。
bastion.tf
terraform {
backend "s3" {
bucket = "terraform-tfstate"
key = "terraform-blog/bastion.tfstate"
region = "ap-northeast-1"
}
}
resource "aws_vpc" "bastion" {
cidr_block = "10.0.0.0/16"
enable_dns_hostnames = true
tags {
Name = "vpc-bastion"
}
}
resource "aws_security_group" "bastion" {
name = "bastion-sg"
description = "for bastion server"
vpc_id = "${aws_vpc.bastion.id}"
tags {
Name = "bastion-sg"
}
}
resource "aws_security_group_rule" "prod_sg_rule" {
security_group_id = "${aws_security_group.bastion.id}"
type = "ingress"
from_port = "22"
to_port = "22"
protocol = "tcp"
cidr_blocks = "XXX.XXX.XXX.XXX"
}
## 追加
output "security_group_id" {
value = "${aws_security_group.bastion.id}"
}
異なるtfstateから値を参照する場合は
参照させたい値を事前にoutputで出力しておく必要があります。
今回は踏み台用セキュリティグループのIDを参照したいので
aws_security_group.bastion.idを出力しておきます。
この状態でproduction.tfからterraform_remote_stateで値を参照できます。
production.tf
terraform {
backend "s3" {
bucket = "terraform-tfstate"
key = "terraform-blog/prod.tfstate"
region = "ap-northeast-1"
}
}
resource "aws_vpc" "prod" {
cidr_block = "10.0.0.0/16"
enable_dns_hostnames = true
tags {
Name = "vpc-prod"
}
}
resource "aws_security_group" "prod" {
name = "prod-sg"
description = "for production server"
vpc_id = "${aws_vpc.prod.id}"
tags {
Name = "prod-sg"
}
}
resource "aws_security_group_rule" "prod_sg_rule" {
security_group_id = "${aws_security_group.prod.id}"
type = "ingress"
from_port = "22"
to_port = "22"
protocol = "tcp"
source_security_group_id = "${data.terraform_remote_state.bastion.security_group_id}"
}
## 追加
data "terraform_remote_state" "bastion" {
backend = "s3"
config {
bucket = "terraform-tfstate"
key = "terraform-blog/bastion.tfstate"
region = "ap-northeast-1"
}
}
terraform_remote_stateというデータソースを使って
S3に保存している踏み台用のtfstateを読み込みます。
値はoutputで指定した名前で参照できるので
source_security_group_idに指定する値は
data.terraform_remote_state.bastion.security_group_idになります。
■まとめ
terraform_remote_stateは割とよく使うので覚えておいて損はないです。
これでtfstateを分けても問題ないですね!
1
読み込み中...1 
【2024.6.30 CentOS サポート終了】CentOS サーバー移行ソリューション
【25卒向け】AI×バーチャル面接の募集を開始いたしました!
【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!
この記事をかいた人
About the author
関連サービス
Service
