Terraform durumunu Azure Depolama’da depolama

Terraform , bulut altyapısının tanımlanmasını, önizlemesini ve dağıtımını sağlar. Terraform kullanarak HCL söz dizimlerini kullanarak yapılandırma dosyaları oluşturursunuz. HCL söz dizimi, Azure gibi bulut sağlayıcısını ve bulut altyapınızı oluşturan öğeleri belirtmenize olanak tanır. Yapılandırma dosyalarınızı oluşturduktan sonra, altyapı değişikliklerinizin dağıtılmadan önce önizlemesini görüntülemenizi sağlayan bir yürütme planı oluşturursunuz. Değişiklikleri doğruladıktan sonra, altyapıyı dağıtmak için yürütme planını uygularsınız.

Terraform durumu, dağıtılan kaynakları Terraform yapılandırmalarıyla mutabık hale getirmek için kullanılır. Durum, Terraform'un hangi Azure kaynaklarını ekleyeceğini, güncelleştireceği veya sileceklerini bilmesini sağlar.

Terraform durumu varsayılan olarak yerel olarak depolanır ve bu durum aşağıdaki nedenlerle ideal değildir:

• Yerel durum, ekipte veya işbirliğine dayalı bir ortamda iyi çalışmaz.
• Terraform durumu hassas bilgiler içerebilir.
• Durumu yerel olarak depolamak, yanlışlıkla silme olasılığını artırır.

Bu makalede şunları öğreneceksiniz:

• Azure Depolama hesabı oluşturma
• Uzak Terraform durumunu depolamak için Azure depolamayı kullanın.
• Durum kilitlemeyi anlama
• Bekleyen şifrelemeyi anlama

1. Ortamınızı yapılandırma

• Azure aboneliği: Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• Terraform'ı yapılandırma: Henüz yapmadıysanız, aşağıdaki seçeneklerden birini kullanarak Terraform'ı yapılandırın:

  • Bash ile Azure Cloud Shell'de Terraform'ı yapılandırma
  • Azure Cloud Shell'de Terraform'ı PowerShell ile yapılandırma
  • Bash ile Windows'ta Terraform'ı yapılandırma
  • Windows'ta Terraform'ı PowerShell ile yapılandırma

2. Uzak durum depolama hesabını yapılandırma

Azure Depolama arka uç olarak kullanmadan önce bir depolama hesabı oluşturmanız gerekir.

Azure depolama hesabı ve kapsayıcısı oluşturmak için aşağıdaki komutları veya yapılandırmayı çalıştırın:

Azure CLI

#!/bin/bash

RESOURCE_GROUP_NAME=tfstate
STORAGE_ACCOUNT_NAME=tfstate$RANDOM
CONTAINER_NAME=tfstate

# Create resource group
az group create --name $RESOURCE_GROUP_NAME --location eastus

# Create storage account
az storage account create --resource-group $RESOURCE_GROUP_NAME --name $STORAGE_ACCOUNT_NAME --sku Standard_LRS --encryption-services blob

# Create blob container
az storage container create --name $CONTAINER_NAME --account-name $STORAGE_ACCOUNT_NAME

PowerShell

$RESOURCE_GROUP_NAME='tfstate'
$STORAGE_ACCOUNT_NAME="tfstate$(Get-Random)"
$CONTAINER_NAME='tfstate'

# Create resource group
New-AzResourceGroup -Name $RESOURCE_GROUP_NAME -Location eastus

# Create storage account
$storageAccount = New-AzStorageAccount -ResourceGroupName $RESOURCE_GROUP_NAME -Name $STORAGE_ACCOUNT_NAME -SkuName Standard_LRS -Location eastus -AllowBlobPublicAccess $false

# Create blob container
New-AzStorageContainer -Name $CONTAINER_NAME -Context $storageAccount.context

Terraform

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
  }
}

provider "azurerm" {
  features {}
}

resource "random_string" "resource_code" {
  length  = 5
  special = false
  upper   = false
}

resource "azurerm_resource_group" "tfstate" {
  name     = "tfstate"
  location = "East US"
}

resource "azurerm_storage_account" "tfstate" {
  name                     = "tfstate${random_string.resource_code.result}"
  resource_group_name      = azurerm_resource_group.tfstate.name
  location                 = azurerm_resource_group.tfstate.location
  account_tier             = "Standard"
  account_replication_type = "LRS"
  allow_nested_items_to_be_public = false

  tags = {
    environment = "staging"
  }
}

resource "azurerm_storage_container" "tfstate" {
  name                  = "tfstate"
  storage_account_name  = azurerm_storage_account.tfstate.name
  container_access_type = "private"
}

Yapılandırmayı olarak create-remote-storage.tfkaydedin.

komutunu terraform initçalıştırın, ardından terraform apply Azure depolama hesabını ve kapsayıcısını yapılandırın.

Önemli noktalar:

• Azure depolama hesapları genel olarak benzersiz bir ad gerektirir. Depolama hesabı adlarıyla ilgili sorunları giderme hakkında daha fazla bilgi edinmek için bkz . Depolama hesabı adlarıyla ilgili hataları giderme.
• Terraform durumu düz metinde depolanır ve gizli diziler içerebilir. Durum yanlış güvenliyse sistemlere yetkisiz erişim ve veri kaybına neden olabilir.
• Bu örnekte Terraform, Erişim Anahtarı kullanarak Azure depolama hesabında kimlik doğrulaması yapar. Üretim dağıtımında azurerm arka ucu tarafından desteklenen kullanılabilir kimlik doğrulama seçeneklerini değerlendirmeniz ve kullanım örneğiniz için en güvenli seçeneği kullanmanız önerilir.
• Bu örnekte, bu Azure depolama hesabına genel ağ erişimine izin verilir. Üretim dağıtımında, depolama güvenlik duvarı, hizmet uç noktası veya özel uç nokta kullanarak bu depolama hesabına erişimi kısıtlamak önerilir.

3. Terraform arka uç durumunu yapılandırma

Arka uç durumunu yapılandırmak için aşağıdaki Azure depolama bilgilerine ihtiyacınız vardır:

• storage_account_name: Azure Depolama hesabının adı.
• container_name: Blob kapsayıcısının adı.
• key: Oluşturulacak durum deposu dosyasının adı.
• access_key: Depolama erişim anahtarı.

Bu değerlerin her biri Terraform yapılandırma dosyasında veya komut satırında belirtilebilir. Değer için access_key bir ortam değişkeni kullanmanızı öneririz. Ortam değişkeni kullanmak anahtarın diske yazılmasını engeller.

Depolama erişim anahtarını almak ve bir ortam değişkeni olarak depolamak için aşağıdaki komutları çalıştırın:

Azure CLI

ACCOUNT_KEY=$(az storage account keys list --resource-group $RESOURCE_GROUP_NAME --account-name $STORAGE_ACCOUNT_NAME --query '[0].value' -o tsv)
export ARM_ACCESS_KEY=$ACCOUNT_KEY

PowerShell

$ACCOUNT_KEY=(Get-AzStorageAccountKey -ResourceGroupName $RESOURCE_GROUP_NAME -Name $STORAGE_ACCOUNT_NAME)[0].value
$env:ARM_ACCESS_KEY=$ACCOUNT_KEY

Terraform

Terraform, hassas bilgilerin terminal içinde görüntülenmesini engeller. Erişim anahtarını almak için Azure CLI veya Azure PowerShell kullanmanız önerilir.

Önemli noktalar:

• Azure Depolama hesabı erişim anahtarını daha fazla korumak için Azure Key Vault'ta depolayın. Ortam değişkeni daha sonra aşağıdakine benzer bir komut kullanılarak ayarlanabilir. Azure Key Vault hakkında daha fazla bilgi için Azure Key Vault belgelerine bakın.

  export ARM_ACCESS_KEY=$(az keyvault secret show --name terraform-backend-key --vault-name myKeyVault --query value -o tsv)
  

Yapılandırma bloğuyla Terraform backend yapılandırması oluşturun.

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>3.0"
    }
  }
  backend "azurerm" {
      resource_group_name  = "tfstate"
      storage_account_name = "<storage_account_name>"
      container_name       = "tfstate"
      key                  = "terraform.tfstate"
  }

}

provider "azurerm" {
  features {}
}

resource "azurerm_resource_group" "state-demo-secure" {
  name     = "state-demo"
  location = "eastus"
}

değerini Azure depolama hesabınızın adıyla değiştirin <storage_account_name> .

Yapılandırmayı başlatmak için aşağıdaki komutu çalıştırın:

terraform init

Yapılandırmayı çalıştırmak için aşağıdaki komutu çalıştırın:

terraform apply

Artık durum dosyasını Azure Depolama blobunda bulabilirsiniz.

4. Durum kilitlemeyi anlama

Azure Depolama blobları, durum yazan herhangi bir işlemden önce otomatik olarak kilitlenir. Bu düzen eşzamanlı durum işlemlerini engeller ve bu da bozulmaya neden olabilir.

Daha fazla bilgi için Terraform belgelerindeki Durum kilitleme bölümüne bakın.

Azure portalı veya diğer Azure yönetim araçları aracılığıyla blobu incelediğinizde kilidi görebilirsiniz.

5. Bekleyen şifrelemeyi anlama

Azure blobunda depolanan veriler kalıcı hale gelmeden önce şifrelenir. Terraform gerektiğinde durumu arka uçtan alır ve yerel bellekte depolar. Bu düzeni kullanırsanız, durum hiçbir zaman yerel diskinize yazılır.

Azure Depolama şifrelemesi hakkında daha fazla bilgi için bkz. Bekleyen veriler için Azure Depolama hizmet şifrelemesi.

Azure'da Terraform sorunlarını giderme

Azure'da Terraform kullanırken karşılaşılan yaygın sorunları giderme

Sonraki adımlar

Azure'da Terraform kullanma hakkında daha fazla bilgi edinin