Začínáme: Konfigurace Terraformu v Azure Cloud Shell pomocí Bashe

Článek
12/03/2021
9 min ke čtení

Terraform umožňuje definici, verzi Preview a nasazení cloudové infrastruktury. Pomocí Terraformu vytvoříte konfigurační soubory pomocí syntaxe HCL. Syntaxe HCL umožňuje určit poskytovatele cloudu , jako je Azure, a elementy, které tvoří vaši cloudovou infrastrukturu. Po vytvoření konfiguračních souborů vytvoříte plán spuštění, který vám umožní zobrazit náhled změn infrastruktury před jejich nasazením. Po ověření změn použijete plán spuštění k nasazení infrastruktury.

Tento článek obsahuje možnosti ověřování v Azure pro použití s Terraformem.

V tomto článku získáte informace o těchto tématech:

Konfigurace Cloud Shell

Zobrazení aktuálního účtu Azure

Principy běžných scénářů ověřování v Terraformu a Azure

Ověřování prostřednictvím účet Microsoft z Cloud Shell (pomocí Bashe nebo PowerShellu)

Ověřování prostřednictvím účet Microsoft z Windows (pomocí Bashe nebo PowerShellu)

Vytvoření objektu služby pomocí Azure CLI

Vytvoření instančního objektu s využitím Azure PowerShellu

Zadání přihlašovacích údajů instančního objektu v proměnných prostředí

Zadání přihlašovacích údajů instančního objektu v bloku poskytovatele Terraformu

1. Konfigurace prostředí

Předplatné Azure: Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

2. Otevření Cloud Shell

Pokud už máte otevřenou Cloud Shell, můžete přeskočit k další části.
Přejděte na Azure Portal.
V případě potřeby se přihlaste ke svému předplatnému Azure a změňte adresář Azure.
Otevřete Cloud Shell.
Pokud jste zásady ještě nepouží Cloud Shell, nakonfigurujte nastavení prostředí a úložiště.
Vyberte prostředí příkazového řádku.

3. Instalace nejnovější verze Terraformu v Azure Cloud Shell

Cloud Shell během několika týdnů od vydání automaticky aktualizuje na nejnovější verzi Terraformu. Pokud ale potřebujete nejnovější verzi dříve, následující kroky vám ukážou, jak stáhnout a nainstalovat aktuální verzi Terraformu.

Určete verzi Terraformu použíovanou v Cloud Shell.
```
terraform version
```
Pokud verze Terraformu nainstalovaná v Cloud Shell není nejnovější verzí, zobrazí se zpráva s oznámením, že verze Terraformu je aktuální.
Pokud vám uvedená verze nevadí, přejděte k další části. V opačném případě pokračujte následujícím postupem.
Přejděte na stránku pro stahování Terraformu.
Posuňte se dolů na odkazy ke stažení pro Linux.
Přesuňte ukazatel myši nad 64bitový odkaz. Toto je odkaz na nejnovější 64bitovou verzi Linux AMD, která je vhodná pro Cloud Shell.
Zkopírujte adresu URL.
Spusťte curl a nahraďte zástupný text adresou URL z předchozího kroku.
```
curl -O <terraform_download_url>
```

Rozbalte ho.

unzip <zip_file_downloaded_in_previous_step>

Pokud adresář neexistuje, vytvořte adresář s názvem bin .
```
mkdir bin
```
Přesuňte terraform soubor do adresáře bin .
```
mv terraform bin/    
```
Ověřte, že stažená verze Terraformu je v cestě první.
```
terraform version
```

4. Ověření výchozího předplatného Azure

Když se přihlásíte k Azure Portal pomocí účet Microsoft, použije se výchozí předplatné Azure pro tento účet.

Terraform se automaticky ověřuje pomocí informací z výchozího předplatného Azure.

Spuštěním příkazu az account show ověřte aktuální účet Microsoft a předplatné Azure.

az account show

Všechny změny, které prostřednictvím Terraformu změníte, budou v zobrazeném předplatném Azure. Pokud chcete, přeskočte zbytek tohoto článku.

5. Ověření Terraformu v Azure

Scénáře ověřování Terraformu a Azure

Terraform podporuje ověřování v Azure pouze prostřednictvím Azure CLI. Ověřování pomocí Azure PowerShell se nepodporuje. Proto zatímco při práci na Terraformu Azure PowerShell použít modul Azure PowerShell, musíte se nejprve ověřit v Azure pomocí Azure CLI.

Tento článek vysvětluje, jak ověřit Terraform v Azure pro následující scénáře. Další informace o možnostech ověřování Terraformu v Azure najdete v tématu Ověřování pomocí Azure CLI.

Ověřování přes účet Microsoft pomocí Cloud Shell (s Bashem nebo PowerShellem) a
Ověřování přes účet Microsoft pomocí Windows (s Bashem nebo PowerShellem)
Ověřování prostřednictvím objektu služby:
1. Pokud nemáte objekt služby, vytvořte objekt služby.
2. Ověřování v Azure pomocí proměnných prostředí nebo ověření v Azure pomocí bloku zprostředkovatele Terraform

Ověření v Azure prostřednictvím účet Microsoft

Název účet Microsoft uživatelské jméno (přidružené k e-mailu a jeho přihlašovacím údajům), které se používá k přihlášení služby Microsoft – například Azure. Předplatné účet Microsoft přidružené k jednomu nebo více předplatným Azure a jedno z těchto předplatných je výchozí.

Následující kroky ukazují, jak se interaktivně přihlásit k Azure pomocí účet Microsoft, vypište přidružená předplatná Azure účtu (včetně výchozího) a nastavte aktuální předplatné.

Otevřete příkazový řádek, který má přístup k Azure CLI.
Spusťte příkaz az login bez jakýchkoli parametrů a podle pokynů se přihlaste k Azure.
```
az login
```
Klíčové body:
- Po úspěšném přihlášení se zobrazí seznam předplatných Azure přidružených k přihlášené účet Microsoft az login včetně výchozího předplatného.
Aktuální předplatné Azure potvrdíte spuštěním příkazu az account show.
```
az account show
```
Pokud chcete zobrazit všechny názvy a ID předplatných Azure pro konkrétní účet Microsoft, spusťte příkaz az account list.
```
az account list --query "[?user.name=='<microsoft_account_email>'].{Name:name, ID:id, Default:isDefault}" --output Table
```
Klíčové body:
- Zástupný text <microsoft_account_email> nahraďte e-mailovou účet Microsoft, jejíž předplatná Azure chcete vypište.
- V případě účtu Live , jako je hotmail nebo outlook, možná budete muset zadat plně kvalifikovanou e-mailovou adresu. Pokud je vaše e-mailová adresa například , možná budete muset zástupný admin@hotmail.com symbol nahradit za live.com#admin@hotmail.com .
Pokud chcete použít konkrétní předplatné Azure, spusťte příkaz az account set.
```
az account set --subscription "<subscription_id_or_subscription_name>"
```
Klíčové body:
- Zástupný <subscription_id_or_subscription_name> text nahraďte ID nebo názvem předplatného, které chcete použít.
- Při az account set volání se nezobrazují výsledky přepnutí na zadané předplatné Azure. Můžete ale použít k az account show potvrzení, že se aktuální předplatné Azure změnilo.
- Pokud spustíte příkaz z předchozího kroku, uvidíte, že se výchozí předplatné Azure změnilo az account list na předplatné, které jste zadali pomocí az account set .

Vytvoření instančního objektu

Automatizované nástroje, které nasadí nebo používají služby Azure, jako je Terraform, by měly mít vždy omezená oprávnění. Místo toho, aby se aplikace přihlašoval jako plně privilegovaný uživatel, nabízí Azure instanční objekty.

Nejběžnějším vzorem je interaktivní přihlášení k Azure, vytvoření instančního objektu, otestování instančního objektu a použití tohoto instančního objektu pro budoucí ověřování (interaktivně nebo ze skriptů).

Bash
Azure PowerShell

Pokud chcete vytvořit instanční objekt, přihlaste se k Azure. Po ověření v Azure prostřednictvím účet Microsoftse vraťte sem.
Pokud vytváříte objekt služby z Git Bashe, nastavte MSYS_NO_PATHCONV proměnnou prostředí. (Tento krok není nutný, pokud používáte Cloud Shell.)
```
export MSYS_NO_PATHCONV=1    
```
Klíčové body:
- Proměnnou prostředí MSYS_NO_PATHCONV můžete nastavit globálně (pro všechny terminálové relace) nebo místně (pouze pro aktuální relaci). Vzhledem k tomu, že vytvoření objektu služby není něco, co často dělají, nastaví ukázka hodnotu pro aktuální relaci. Pokud chcete tuto proměnnou prostředí nastavit globálně, přidejte do ~/.bashrc souboru nastavení .
Pokud chcete vytvořit instanční objekt, spusťte příkaz AZ AD SP Create-for-RBAC.
```
az ad sp create-for-rbac --name <service_principal_name> --role Contributor
```
Klíčové body:
- Můžete nahradit <service-principal-name> vlastním názvem pro vaše prostředí nebo parametr úplně vynechat. Pokud parametr vynecháte, hlavní název služby se vygeneruje na základě aktuálního data a času.
- Po úspěšném dokončení az ad sp create-for-rbac zobrazí několik hodnot. appIdHodnoty, password a tenant se používají v dalším kroku.
- Pokud dojde ke ztrátě, heslo nelze načíst. V takovém případě byste měli heslo uložit na bezpečném místě. Pokud zapomenete heslo, můžete resetovat přihlašovací údaje instančního objektu.
- V tomto článku se používá instanční objekt s rolí přispěvatele . Další informace o Role-Based Access Control (RBAC) a rolích najdete v článku role RBAC: předdefinované role.
- Výstup z vytváření instančního objektu zahrnuje citlivé přihlašovací údaje. Ujistěte se, že tyto přihlašovací údaje nezahrnete do kódu, nebo zkontrolujte pověření do správy zdrojového kódu.
- Další informace o možnostech Vytvoření instančního objektu pomocí Azure CLI najdete v článku Vytvoření instančního objektu Azure pomocí Azure CLI.

Otevřete příkazový řádek PowerShellu.
spusťte Připojení-AzAccount.
```
Connect-AzAccount
```
Klíčové body:
- Po úspěšném přihlášení Connect-AzAccount zobrazí informace o výchozím předplatném.
- Poznamenejte si, TenantId jak je potřeba k používání instančního objektu.
Aktuální předplatné Azure ověříte spuštěním rutiny Get-AzContext.
```
Get-AzContext
```
Pokud chcete zobrazit všechna povolená předplatná Azure pro přihlášené účet Microsoft, spusťte rutinu Get-AzSubscription.
```
Get-AzSubscription
```
Pokud chcete použít konkrétní předplatné Azure, spusťte rutinu set-AzContext.
```
Set-AzContext -Subscription "<subscription_id_or_subscription_name>"
```
Klíčové body:
- <subscription_id_or_subscription_name>Zástupný symbol nahraďte identifikátorem nebo názvem předplatného, které chcete použít.
Spusťte rutinu New-AzADServicePrincipal a vytvořte nový instanční objekt.
```
$sp = New-AzADServicePrincipal -DisplayName <service_principal_name>    
```
Klíčové body:
- Můžete nahradit <service-principal-name> vlastním názvem pro vaše prostředí nebo parametr úplně vynechat. Pokud parametr vynecháte, hlavní název služby se vygeneruje na základě aktuálního data a času.
- Role přispěvatele je výchozí rolí a má úplná oprávnění ke čtení a zápisu do účtu Azure. V tomto článku se používá instanční objekt s rolí přispěvatele . Další informace o Role-Based Access Control (RBAC) a rolích najdete v článku role RBAC: předdefinované role.
Zobrazit ID objektu služby.
```
$sp.ApplicationId
```
Klíčové body:
- Poznamenejte si ID aplikace instančního objektu, aby bylo nutné použít instanční objekt.
Převeďte automaticky vygenerované heslo na text.
```
$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret)
$UnsecureSecret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)
$UnsecureSecret
```
Klíčové body:
- Poznamenejte si heslo, aby bylo nutné použít instanční objekt.
- Pokud dojde ke ztrátě, heslo nelze načíst. V takovém případě byste měli heslo uložit na bezpečném místě. Pokud zapomenete heslo, můžete resetovat přihlašovací údaje instančního objektu.

Zadání přihlašovacích údajů instančního objektu v proměnných prostředí

Jakmile vytvoříte instanční objekt, můžete zadat jeho přihlašovací údaje k Terraformu prostřednictvím proměnných prostředí.

Bash
Azure PowerShell

Upravte ~/.bashrc soubor přidáním následujících proměnných prostředí.

export ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
export ARM_TENANT_ID="<azure_subscription_tenant_id>"
export ARM_CLIENT_ID="<service_principal_appid>"
export ARM_CLIENT_SECRET="<service_principal_password>"

Chcete-li spustit ~/.bashrc skript, spusťte source ~/.bashrc (nebo jeho zkrácený ekvivalent . ~/.bashrc ). Můžete také ukončit a znovu otevřít Cloud Shell, aby se skript spouštěl automaticky.
```
. ~/.bashrc
```
Po nastavení proměnných prostředí můžete ověřit jejich hodnoty následujícím způsobem:
```
printenv | grep ^ARM*
```

Klíčové body:

Stejně jako u libovolné proměnné prostředí můžete pro přístup k hodnotě předplatného Azure z Terraformu skriptu použít následující syntaxi: ${env.<environment_variable>} . Chcete-li například získat přístup k ARM_SUBSCRIPTION_ID hodnotě, zadejte ${env.ARM_SUBSCRIPTION_ID} .
Vytvoření a použití plánů provádění Terraformu provede změny v předplatném Azure přidruženém k instančnímu objektu. Tato skutečnost může být někdy matoucí, pokud jste se přihlásili k jednomu předplatnému Azure a proměnné prostředí odkazují na druhé předplatné Azure. Pojďme se podívat na následující příklad, který vám vysvětlí. Řekněme, že máte dvě předplatná Azure: SubA a SubB. Pokud je aktuální předplatné Azure SubA (určeno prostřednictvím az account show ), zatímco proměnné prostředí odkazují na SubB, všechny změny provedené v terraformu jsou v SubB. proto byste se museli přihlašovat ke svému předplatnému SubB, abyste mohli spustit příkazy rozhraní příkazového řádku Azure nebo příkazy Azure PowerShell pro zobrazení změn.

Chcete-li nastavit proměnné prostředí v určité relaci prostředí PowerShell, použijte následující kód. Zástupné symboly nahraďte odpovídajícími hodnotami pro vaše prostředí.

$env:ARM_CLIENT_ID="<service_principal_app_id>"
$env:ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
$env:ARM_TENANT_ID="<azure_subscription_tenant_id>"
$env:ARM_CLIENT_SECRET="<service_principal_password>"

Spuštěním následujícího příkazu PowerShellu ověříte proměnné prostředí Azure:
```
gci env:ARM_*
```
Pokud chcete nastavit proměnné prostředí pro každou relaci PowerShellu, vytvořte profil PowerShellu a nastavte proměnné prostředí v rámci vašeho profilu.

Klíčové body:

Stejně jako u libovolné proměnné prostředí můžete pro přístup k hodnotě předplatného Azure z Terraformu skriptu použít následující syntaxi: ${env.<environment_variable>} . Chcete-li například získat přístup k ARM_SUBSCRIPTION_ID hodnotě, zadejte ${env.ARM_SUBSCRIPTION_ID} .
Vytvoření a použití plánů provádění Terraformu provede změny v předplatném Azure přidruženém k instančnímu objektu. Tato skutečnost může být někdy matoucí, pokud jste se přihlásili k jednomu předplatnému Azure a proměnné prostředí odkazují na druhé předplatné Azure. Pojďme se podívat na následující příklad, který vám vysvětlí. Řekněme, že máte dvě předplatná Azure: SubA a SubB. Pokud je aktuální předplatné Azure SubA (určeno prostřednictvím az account show ), zatímco proměnné prostředí odkazují na SubB, všechny změny provedené v terraformu jsou v SubB. proto byste se museli přihlašovat ke svému předplatnému SubB, abyste mohli spustit příkazy rozhraní příkazového řádku Azure nebo příkazy Azure PowerShell pro zobrazení změn.

Zadání přihlašovacích údajů instančního objektu v bloku poskytovatele služby Terraformu

Blok poskytovatele Azure definuje syntaxi, která umožňuje zadat ověřovací informace předplatného Azure.

terraform {
  required_providers {
    azurerm = {
      source = "hashicorp/azurerm"
      version = "~>2.0"
    }
  }
}

provider "azurerm" {
  features {}

  subscription_id   = "<azure_subscription_id>"
  tenant_id         = "<azure_subscription_tenant_id>"
  client_id         = "<service_principal_appid>"
  client_secret     = "<service_principal_password>"
}

# Your code goes here

Upozornění

Možnost zadat přihlašovací údaje předplatného Azure v konfiguračním souboru Terraformu může být pohodlná – zejména při testování. Nedoporučuje se ale ukládat přihlašovací údaje v nedůvěryhodném textovém souboru, který můžou zobrazit nedůvěryhodní uživatelé.

Řešení potíží s Terraformu v Azure

Řešení běžných problémů při použití Terraformu v Azure

Další kroky

Vytvoření skupiny prostředků Azure