Intro
최근 AWS에 관해 공부를 하다가 AWS 유튜브 채널에 상당히 좋은 내용들이 많아 들으며 일부 내용을 발췌하면서 조금 이해하기 쉽게, 간략하게 정리할 예정이다. 시간이 된다면 전문을 한번 보는것을 추천한다.
(출처 : https://www.youtube.com/watch?v=9PTdO7DM6XQ&t=1580s)
운영을 고려한 Terraform 구조화
엔터프라이즈급 특히 대규모 인프라를 구축할 경우 고려해야할 세 가지 Terraform을 잘 쓸 수 있는지 알아BOZA
관리 범위 쪼개기
처음 Terraform을 접하는 테린이 (필자..)의 경우 하나의 폴더에 리소스를 추가하면서 시작하게 된다.
이럴 경우 큰 단점이 있는데
terraform plan,terraform apply시간이 오래걸림- 팀 규모가 커지면, 병목 현상이 일어나기 쉽다
그렇다면 BestPractice는 뭘까?
MS단위로 쪼개는걸 베이스로 한다.
동일 코드 기반의 인프라 구성
-
환경 별 리소스 차이를 최소화하라.
환경 별로 다를 수 있는거 알지만, 최소한 Prod 에 있는 리소스는 모든 환경별로 기본적으로 포함 하고 있어야한다.
-
당연하겠지만 동일 코드로 DEV -> STG -> PROD 환경으로 단계적으로 승격한다.
-
terraform workspaces: 분리된 tfstate 공간을 제공한다. ex)terraform workspaces select dev,terraform workspaces select qa.. -
그러나 실수하기 매우 쉽기 때문에 테라폼 apply를 자동화 한 경우에만 쓰는걸 권장한다.
재사용 가능한 공용모듈
- 일관된 인프라 관리가쉬워 지고 신규 서비스 추가가 용이하다.
- 주로 VPC, ECS, EKS, ALB , ServerGroup 은 공용모듈로 사용하기 때문에 작성시 재사용성을 항상 고려해야한다.
Terraform 폴더 구조
메인 레포의 폴더 구조를 설명하자면, 아래와 같다.
- 주로 메인 레포와 MS 레포로 대분류를 한다.
- 환경을 별도 account 로 관리하기 때문에 account별로 중분류를 한다.
- account 별 region 별로 소분류를 한다.
- 사용하는 MS 모듈 호출만 한다. (버저닝 필요)
- vpc- vpc는 remote storage(s3)에 저장하면 vpc에서 만든 서브넷ID 등을 다른 폴더에서 참조해서 사용할 수 있다.
그리고 MS 레포의 폴더링 구조는 모든 리소스를 포함하는걸 기본으로 한다.
iam은 글로벌리소스인데 ms모듈에 있는게 맞아?
- ms에서 이게 빠지거나..담당자 바뀌다보면 어딧는지 못찾아..
- nameing 규칙만 잘 지켜줘..
Terraform 모듈 코드 테스트
모듈을 테스트 가능한가? 인프라에 반영해봐야 아는거 아냐??
- 공용모듈만 새로운 버전으로 업뎃 했을때 A MS는 되고 B MS는 안되면 어떡할려?
- region 에 따라 안될수도 있음 (특히 중국 region)
- terraform 버전에 따라 다를 수 있음
이런걸 미리 테스트 해봐야 된다.
아니 그니까 어떤 테스트가 가능한데??
코드 테스트
- Linting
- 정적 코드 분석으로 잠재적 버그 찾기!
-terraform fmt
-terraform validate - Dry-run
-terraform plan - 단위/통합 테스트
- CI 툴 사용
ex) InSpec , awspec(젤 많이씀!) , terratest(go)
- 보안 준수 검수
