Terraform在更改AWS提供程序区域时检测到意外更改
遇到了一个问题,我有一个空资源,它运行一个脚本来创建一个配置。整个TF需要在帐户的每个区域中运行,所以我已经将所有内容设置为使用区域作为变量 这导致terraform在区域2中创建新配置之前,先破坏区域1中的原始空资源配置。其他地形资源只是在区域2创建新资源,并保留区域1中的资源。有没有办法让null资源的行为与其他资源相同Terraform在更改AWS提供程序区域时检测到意外更改,terraform,Terraform,遇到了一个问题,我有一个空资源,它运行一个脚本来创建一个配置。整个TF需要在帐户的每个区域中运行,所以我已经将所有内容设置为使用区域作为变量 这导致terraform在区域2中创建新配置之前,先破坏区域1中的原始空资源配置。其他地形资源只是在区域2创建新资源,并保留区域1中的资源。有没有办法让null资源的行为与其他资源相同 resource "null_resource" "config-s3-remediation" { triggers = { account_name = v
resource "null_resource" "config-s3-remediation" {
triggers = {
account_name = var.account_name
region = var.region
}
depends_on = [
aws_config_config_rule.s3_access_logging_rule,
aws_ssm_document.s3_access_logging_ssm
]
provisioner "local-exec" {
command = "python3 ${path.module}/remediation_config.py add ${self.triggers.region}
}
provisioner "local-exec" {
when = destroy
command = "python3 ${path.module}/remediation_config.py remove ${self.triggers.region}"
}
}
Terraform内部跟踪您在配置中描述的对象与远程系统中使用its的对象之间的关系,its是一种数据结构,保存到本地磁盘或远程系统,以在Terraform运行之间保存数据 首次运行Terraform后,Terraform将保存一个状态快照,其中包括两种关键类型的信息: 在配置中设置的值的副本,如null_资源中的触发器值。 远程系统选择的标识符和其他数据,例如服务器生成的aws_实例id,或aws_SSM_文档资源创建的SSM文档的哈希。 使用该信息,Terraform的未来运行将执行第一次运行时未发生的以下附加操作: 对于与远程系统中的数据相对应的任何资源类型,如aws_ssm_文档,Terraform更准确:aws提供程序将使用远程系统API查找对象,以确保其仍然存在,如果存在,则更新状态数据以匹配远程对象中的当前值。 之后,Terraform将比较您在配置中写入的内容与状态中存储的内容,以确定是否需要采取任何更新或替换操作,以使状态和远程对象与配置匹配。 像aws_ssm_document这样的资源类型与像null_资源这样的资源类型之间的一个关键区别是,状态中的ssm文档对象只是代表aws ssm API中真实对象的代理,而null_资源只存在于Terraform状态中,没有对应的上游对象。因此,Terraform可以注意到它创建的SSM文档不再存在,并在该假设下继续计划创建一个新的SSM文档,但它不能自动确定空的_资源实例 特别是对于AWS,当您更改提供程序配置上的region参数时,实际上是告诉AWS提供程序访问一组完全不同的端点。例如,如果您最初在us-east-1中创建了SSM文档,则州政府将记录该对象的详细信息。如果随后将region更改为us-west-1,Terraform将询问us-west-1 API端点该对象是否存在,并将被告知不存在,因为AWS SSM使用特定于区域的名称空间 如果您接受在us-west-1中创建新SSM文档的计划,那么Terraform将完全失去us-east-1中原始对象的跟踪,因为就Terraform而言,每个资源实例只有一个远程对象,您刚刚告诉Terraform在不同的AWS区域中查找和管理该对象,而不是另外管理一个新的 抛开所有这些背景上下文不谈,这里的关键问题是,您不能仅仅更改AWS提供程序中的region参数,以在新区域中复制对象,因为Terraform不会跟踪每个区域中的单独对象。相反,您需要将每个区域中的对象作为地形中的单独对象进行跟踪 有几种方法可以实现这一点,这取决于它如何适合您的整个系统。一种方法是为每个资源块写入和写入一组单独的资源块:
provider "aws" {
alias = "us-east-1"
region = "us-east-1"
}
provider "aws" {
alias = "us-west-1"
region = "us-west-1"
}
resource "aws_ssm_document" "us-east-1" {
# Attach the resource to the non-default (aliased) provider configuration
provider = aws.us-east-1
# other settings for the document in the us-east-1 region
}
resource "aws_ssm_document" "us-west-1" {
# Attach the resource to the non-default (aliased) provider configuration
provider = aws.us-west-1
# other settings for the document in the us-west-1 region
}
provider "aws" {
alias = "us-east-1"
region = "us-east-1"
}
provider "aws" {
alias = "us-west-1"
region = "us-west-1"
}
module "us-east-1" {
source = "./modules/per-region"
providers = {
# The default (unaliased) "aws" provider configuration
# in this instance of the module will be the us-east-1
# configuration declared above.
aws = aws.us-east-1
}
}
module "us-west-1" {
source = "./modules/per-region"
providers = {
# The default (unaliased) "aws" provider configuration
# in this instance of the module will be the us-west-1
# configuration declared above.
aws = aws.us-west-1
}
}
同样的方法也适用于提供者配置中控制Terraform正在使用哪一组API端点的任何其他内容。对于AWS,使用引用不同AWS帐户的凭据通常会导致相同的情况,因为AWS中的许多对象是按帐户或按区域按帐户命名的。一般来说,Terraform无法区分远程系统中删除的对象与现在配置为询问不存在对象的不同端点的对象之间的区别。Terraform使用其,这是一种保存到本地磁盘或远程系统的数据结构,用于在Terraform运行之间保存数据 首次运行Terraform后,Terraform将保存一个状态快照,其中包括两种关键类型的信息: 在配置中设置的值的副本,如null_资源中的触发器值。 远程系统选择的标识符和其他数据,例如服务器生成的aws_实例id,或aws_SSM_文档资源创建的SSM文档的哈希。 使用该信息,Terraform的未来运行将执行第一次运行时未发生的以下附加操作: 对于与远程系统中的数据相对应的任何资源类型,如aws_ssm_文档,Terraform更准确:aws提供程序将使用远程系统API查找对象,以确保其仍然存在,如果存在,则更新状态数据以匹配远程对象中的当前值。 之后,Terraform将比较您在configura中编写的内容 设置状态中存储的内容,以确定是否需要执行任何更新或替换操作,以使状态和远程对象与配置匹配。 像aws_ssm_document这样的资源类型与像null_资源这样的资源类型之间的一个关键区别是,状态中的ssm文档对象只是代表aws ssm API中真实对象的代理,而null_资源只存在于Terraform状态中,没有对应的上游对象。因此,Terraform可以注意到它创建的SSM文档不再存在,并在该假设下继续计划创建一个新的SSM文档,但它不能自动确定空的_资源实例 特别是对于AWS,当您更改提供程序配置上的region参数时,实际上是告诉AWS提供程序访问一组完全不同的端点。例如,如果您最初在us-east-1中创建了SSM文档,则州政府将记录该对象的详细信息。如果随后将region更改为us-west-1,Terraform将询问us-west-1 API端点该对象是否存在,并将被告知不存在,因为AWS SSM使用特定于区域的名称空间 如果您接受在us-west-1中创建新SSM文档的计划,那么Terraform将完全失去us-east-1中原始对象的跟踪,因为就Terraform而言,每个资源实例只有一个远程对象,您刚刚告诉Terraform在不同的AWS区域中查找和管理该对象,而不是另外管理一个新的 抛开所有这些背景上下文不谈,这里的关键问题是,您不能仅仅更改AWS提供程序中的region参数,以在新区域中复制对象,因为Terraform不会跟踪每个区域中的单独对象。相反,您需要将每个区域中的对象作为地形中的单独对象进行跟踪 有几种方法可以实现这一点,这取决于它如何适合您的整个系统。一种方法是为每个资源块写入和写入一组单独的资源块:
provider "aws" {
alias = "us-east-1"
region = "us-east-1"
}
provider "aws" {
alias = "us-west-1"
region = "us-west-1"
}
resource "aws_ssm_document" "us-east-1" {
# Attach the resource to the non-default (aliased) provider configuration
provider = aws.us-east-1
# other settings for the document in the us-east-1 region
}
resource "aws_ssm_document" "us-west-1" {
# Attach the resource to the non-default (aliased) provider configuration
provider = aws.us-west-1
# other settings for the document in the us-west-1 region
}
provider "aws" {
alias = "us-east-1"
region = "us-east-1"
}
provider "aws" {
alias = "us-west-1"
region = "us-west-1"
}
module "us-east-1" {
source = "./modules/per-region"
providers = {
# The default (unaliased) "aws" provider configuration
# in this instance of the module will be the us-east-1
# configuration declared above.
aws = aws.us-east-1
}
}
module "us-west-1" {
source = "./modules/per-region"
providers = {
# The default (unaliased) "aws" provider configuration
# in this instance of the module will be the us-west-1
# configuration declared above.
aws = aws.us-west-1
}
}
同样的方法也适用于提供者配置中控制Terraform正在使用哪一组API端点的任何其他内容。对于AWS,使用引用不同AWS帐户的凭据通常会导致相同的情况,因为AWS中的许多对象是按帐户或按区域按帐户命名的。Terraform通常无法区分在远程系统中删除的对象与现在配置为询问不存在对象的不同端点之间的区别。切换变量区域时是否使用不同的状态?你能解释一下你现在是如何运行计划和应用它的吗?你在切换var.region时使用的是不同的状态吗?你能解释一下你是如何运行这个计划的吗?这是一个非常彻底的答案。非常感谢,这正是我想要的信息。这是一个非常彻底的答案。非常感谢,这正是我想要的信息。