[테라폼으로 시작하는 IaC] HCL 블록 및 변수 선언 문법

[테라폼으로 시작하는 IaC] IaC와 테라폼 개요, 테라폼 기본 명령어

포스팅 내용은 "테라폼으로 시작하는 IaC" 도서를 읽고 요약한 내용입니다. 본 포스팅은 위 포스팅 내용에서 이어집니다.

 

Chapter 3 - (2) 선언 블록

HCL이란?

HashiCorp사에서 IaC와 구성 정보를 명시하기 위해 개발된 오픈소스 도구.

 

테라폼 버전

표기 방식 : semantic versioning ( Major.Minor.Patch )

terraform, module에서 버전 사용 가능.

• Major 버전 : 내부 동작의 API가 변경 또는 삭제되거나 하위 호환이 되지 않는 버전
• Minor 버전 : 신규 기능이 추가되거나 개선되고 하위 호환이 가능한 버전
• Patch 버전 : 버그 및 일부 기능이 개선된 하위 호환이 가능한 버전

required_version : 테라폼 버전을 명시한다. 테라폼 버전에 대한 변경 내역은 다음 링크에서 확인 가능 : Changelog

required_providers : 테라폼 블록에서 각 프로바이더의 이름에 소스 경로와 버전을 명시한다.

 

1. terraform 블록

테라폼의 구성을 명시한다. 다른 사람과 함께 작업할 때는 버전을 명시적으로 선언하고 필요한 조건을 입력하여 실행 오류를 최소화할 것을 권장한다.

 

2. backend 블록

테라폼 실행 시 저장되는 state(상태 파일)의 저장 위치를 선언한다. 테라폼에서는 하나의 백엔드만 허용한다. 협업을 고려한다면 상태 저장 파일을 공유할 수 있는 외부 백엔드 저장소가 필요하며 이는 동시에 여러 작업자가 접근해 사용할 수 있는 공유 스토리지와 같은 개념을 갖는다. state의 안전한 보관을 고려한다면 고가용성과 백업이 지원되는 저장소를 고려할 수 있다.

• state 잠금 동작
  공유되는 백엔드에 state가 관리되면 테라폼이 실행되는 동안 .terraform.tfstate.lock.info 파일이 생성되어 해당 state를 동시에 사용하지 못하도록 잠금처리를 한다.
• 백엔드 설정 변경
  백엔드가 설정되면 Init 명령어를 수행해 state의 위치를 재설정해야 한다. 새로운 백엔드 위치 설정 시, 두가지 옵션이 존재한다.

1. 이전 구성 유지 (default) : -migrate-state는 terraform.tfstate의 이전 구성에서 최신의 state 스냅샷을 읽고 기록된 정보를 새 구성으로 전환한다.
2. 새로 초기화 : -reconfiguresms init를 실행하기 전에 terraform.tfstate 파일을 삭제해 테라폼을 처음 사용할 때처럼 이 디렉터리를 초기화하는 동작이다.

3. resource 블록

선언된 항목을 생성하는 동작을 수행한다.

resource "<리소스 유형>" "<이름>" {
    <인수> = <값>
}

리소스 유형은 프로바이더에 종속성을 갖는다. 특정 프로바이더 유형만 추가해도 terraform init을 수행하면 해당 프로바이더를 설치한다.

3-1. 종속성

테라폼의 종속성은 resource, module 선언으로 프로비저닝되는 각 요소의 생성 순서를 구분 짓는다.

• 암시적 종속성 : 기본적으로 다른 리소스에서 값을 참조해 불러올 경우 생성 선후 관계에 따라 자동으로 연관 관계가 정의된다.
• 명시적 종속석 : depends_on 메타인수를 활용하여 강제로 리소스 간 종속성을 부여한다.

3-2. 리소스 속성 참조

리소스 구성에서 참조 가능한 값은 인수와 속성이다. 리소스가 생성될 때, 사용자가 입력한 ‘인수’를 받아 실제 리소스가 생성되면 일부 리소스는 자동으로 기본갑이나 추가되는 ‘속성’이 부여된다.

• Arguments(인수): 리소스 생성 시 사용자가 선언하는 값.
• Attributes(속성): 사용자가 설정하는 것은 불가능하지만 리소스 생성 이후 획득 가능한 리소스 고유 값

# 리소스 참조
<리소스 유형>.<이름>.<인수>
<리소스 유형>.<이름>.<속성>

3-3. 수명 주기

리소스의 기본 수명주기를 작업자가 의도적으로 변경하는 메타인수. 테라폼의 기본 수명주기는 삭제 후 생성이다.

1. create_before_destroy
   : true로 선언되면 수정된 리소스를 먼저 생성 후 삭제된다. 단, 생성되는 리소스가 기존 리소스로 인해 생성이 실패되거나 삭제 시 함께 삭제될 수 있으니 주의해야 한다.
2. prevent_destroy
   : 작업자가 의도적으로 특정 리소스의 삭제를 방지하고 싶은 경우에 사용한다. 그러나, 테라폼 수명주기(삭제→생성)에 따라 수행되는 리소스에 prevent_destroy가 활성화되어 있으면 해당 리소스 구성 수정 후 terraform apply 시 실패하게 된다.
3. ignore_changes
   : 리소스 요소의 인수를 지정해 수정 계획에 변경 사항이 반영되지 않도록 한다. 모든 변경 사항을 무시하고 싶다면 ignore_changes = all로 설정할 수 있다.
4. precondition
   : 리소스 생성 이전에 입력된 인수 값을 검증하는 데 사용하여 프로비저닝 이전에 미리 약속된 값 이외의 값 또는 필수로 명시해야 하는 인수 값을 검증한다. 프로비저닝해야 하는 클라우드 인프라의 VM을 생성할 때 내부적으로 검증된 이미지의 id를 사용하는지, 스토리지 암호화 설정이 되어있는지 등을 확인하고 사전에 잘못된 프로비저닝을 실행할 수 없도록 구성할 수 있다.
5. postcondition
   : 프로비저닝 변경 이후 결과를 검증함과 동시에 의존성을 갖는 다른 구성의 변경을 막는다. 특히 프로비저닝 이후에 생성되는 속성값이 있으므로 영향을 받는 다른 리소스가 생성되기 전에 예상되지 않은 프로비저닝 작업을 방지할 수 있다.

 

 

Chapter 3 - (3) 데이터 소스

테라폼으로 정의되지 않은 외부 리소스 또는 저장된 정보를 테라폼 내에서 참조할 때 사용한다.

data "<리소스 유형>" "<이름>" {
    <인수> = <값>
}

# 데이터 소스 참조
data.<리소스 유형>.<이름>.<속성>

 

 

Chapter 3 - (4) 입력 변수(variable)

인프라를 구성하는 데 필요한 속성 값을 정의해 코드의 변경 없이 여러 인프라를 생성하는 것이 목적이다. 프로비저닝 실행 시에 원하는 값으로 변수에 정의할 수 있다.

variable "<이름>" {
    <이름> = <값>
}

메타인수

• default : 변수에 할당되는 기본값 정의
• type : 변수에 허용되는 값 유형의 정의
• description : 입력 변수의 설명
• validation : 변수 선언의 제약조건을 추가해 유효성 검사 규칙을 정의
• sensitive : 민감한 변수 값임을 알리고 테라폼의 출력문에서 값 노출을 제한
• nullable : 변수에 값이 없어도 됨을 지정

유효성 검사

입력변수 블록 내 valiation 블록을 사용해 사용자 지정 유효성 검사가 가능하다. validation 블록에서 condition에 지정되는 규칙이 true 또는 false를 반환해야 하며, error_message는 condition 값의 결과가 false인 경우 출력되는 메시지를 정의한다. valudation 블록은 중복으로 선언할 수 있다. regrex 함수는 문자열에 정규식을 적용하고 일치하는 문자열을 반환하고, 여기에 can 함수를 함께 사용하면 정규식에 일치하지 않는 경우의 오류를 검출한다.

 

변수 참조

variable은 코드 내에서 var.<이름>으로 참조된다.

 

민감한 변수 취급

변수 선언에 sensitive=ture를 추가한다. 추가 시, 테라폼의 계획 출력에서 참조되는 변수 값이 (sensitive)로 감춰지는 것을 확인할 수 있다. 민감한 변수로 지정해도 terraform.tfstate 파일에는 결과물이 평문으로 기록되므로 State 파일의 보안에 유의해야 한다.

 

변수 우선순위

숫자가 작을수록 우선순위도 낮다.

1. 실행 후 입력 (변수에 값이 선언되지 않아 CLI에서 입력)
2. variable 블록의 default 값
3. 환경 변수 (TF_VAR_변수이름)
   • 시스템 환경 변수의 접두사에 TF_VAR_가 포함되면 그 뒤의 문자열의 변수 이름으로 인식한다.

   # Unix/Linux/macOS
   export TF_VAR_my_var=var1
   
   # Windows Powershell
   $Env:TF_VAR_my_var="var1"

4. terraform.tfvars에 정의된 변수 선언
5. *. auto.tfvars에 정의된 변수 선언
6. *.auto. tfvars.json에 정의된 변수 선언
7. CLI 실행 시 -var 인수에 지정 또는 -var-file로 파일 지정

terraform plan -var=my_var=var7

terraform plan -var=my_var=var7 -var=my_var=var8

terraform plan -var=my_var=var7 -var-file=my_var=var9

.tfvars 확장자로 생성된 파일에 변수를 미리 기입하면 실행 시 입력해야 하는 변수 값을 하나의 파일에서 관리할 수 있다. Terraform Cloud에서 변수 정의 시, terraform.tfvars 파일 생성되어 사용자가 의도한 입력변수 값이 덮여 쓰이지 않도록 *.auto.tfvars 형태의 파일을 지원한다.

 

 

Chapter 3 - (5) local (지역 값)

외부에서 입력되지 않고, 코드 내에서만 가공되어 동작하는 값을 선언한다. 입력 변수와 달리 선언된 모듈 내에서만 접근 가능하고, 변수처럼 실행 시에 입력받을 수 없다. 값이나 표현식을 반복적으로 사용할 수 있으나, 빈번하게 여러 곳에서 사용되는 경우 실제 값에 대한 추적이 어려워져 유지 관리 측면에 부담이 발생할 수 있다. locals에 선언한 로컬 변수 이름은 전체 루트 모듈 내에 유일해야 한다.

 

 

Chapter 3 - (6) 출력 (output)

• 루트 모듈에서 사용자가 확인하고자 하는 특정 속성 출력
• 자식 모듈의 특정 값을 정의하고 루트 모듈에서 결과를 참조
• 서로 다른 루트 모듈의 결과를 원격으로 읽기 위한 접근 요소 (ex: 자바의 getter)

sensitive의 경우 값이 출력되지 않으므로 디버깅 목적보다는 다른 모듈에서 참조하기 위한 목적에서 활용된다.