gpt4 book ai didi

azure - 无法在 Terraform 中同时创建多个 Azure 防火墙规则集

转载 作者:行者123 更新时间:2023-12-03 07:04:05 25 4
gpt4 key购买 nike

我的 Terraform 代码的架构大致如下:

module "firewall_hub" {
# This creates the Azure Firewall resource

source = "/path/to/module/a"
# attribute = value...
}

module "firewall_spoke" {
# This creates, amongst other things, firewall rule sets

source = "/path/to/module/b"
hub = module.firewall_hub
# attribute = value...
}

module "another_firewall_spoke" {
# This creates, amongst other things, firewall rule sets

source = "/path/to/module/c"
hub = module.firewall_hub
# attribute = value...
}

即,Azure 防火墙资源在 module.firewall_hub 中创建,用作 module.firewall_spokemodule.another_firewall_spoke 的输入> 创建必要的资源并将防火墙规则集注入(inject)防火墙资源。重要的是,规则集在分支模块之间是互斥的,并且被设计成它们的优先级不重叠。

当我尝试部署此代码(构建或销毁)时,Azure 抛出错误:

Error: deleting Application Rule Collection "XXX" from Firewall "XXX (Resource Group "XXX"): network.AzureFirewallsClient#CreateOrUpdate: Failure sending request: StatusCode=0 -- Original Error: autorest/azure: Service returned an error. Status= Code="AnotherOperationInProgress" Message="Another operation on this or dependent resource is in progress. To retrieve status of the operation use uri: https://management.azure.com/subscriptions/XXX" Details=[]

我的工作假设是,即使规则集是互斥的,也不能同时针对同一防火墙发出防火墙规则集的多个创建/更新/删除请求。事实上,如果您在部署失败后等待一分钟左右并重新启动它(无需更改任何 Terraform 代码或手动更新 Azure 中的资源),它将愉快地继续运行,不会出现错误并成功完成。

为了测试我的假设,我尝试通过强制模块序列化来解决这个问题:

module "another_firewall_spoke" {
# This creates, amongst other things, firewall rule sets

source = "/path/to/module/c"
hub = module.firewall_hub
# attribute = value...

depends_on = [module.firewall_spoke]
}

但是,不幸的是,按照我的模块的编写方式这是不可能的:

Providers cannot be configured within modules using count, for_each or depends_on.

如果没有重写我的模块(不是一个选项),是否可以解决这个竞争条件 - 如果这是问题 - 或者你会认为它是 azurerm 提供程序的错误(即,它应该识别 API 错误响应并等待轮到它,直到超时)?

(Terraform v1.1.7、azurerm v2.96.0)

最佳答案

根据 @silent 向 this answer 举报,我能够使用其中描述的方法解决比赛。

类似这样的事情:

module "firewall_hub" {
# This creates the Azure Firewall resource

source = "/path/to/module/a"
# attribute = value...
}

module "firewall_spoke" {
# This creates, amongst other things, firewall rule sets
# Has an output "blockers" containing resources that cannot be deployed concurrently

source = "/path/to/module/b"
hub = module.firewall_hub
# attribute = value...
}

module "another_firewall_spoke" {
# This creates, amongst other things, firewall rule sets

source = "/path/to/module/c"
hub = module.firewall_hub
waits_for = module.firewall_spoke.blockers
# attribute = value...
}

因此,技巧是让您的模块导出一个输出,其中包含需要首先部署的所有依赖资源的列表。然后,这可以作为后续模块的输入,通过线程传递到需要 depends_on 值的实际资源。

也就是说,在我的模块深处,资源有:

resource "some_resource" "foo" {
# attribute = value...

depends_on = [var.waits_for]
}

使用此方法时需要记住两个重要注意事项:

  1. 模块中的 wait_for 变量必须类型为 anylist(any) 不起作用,因为 Terraform 将此解释为同类列表(很可能不是)。

  2. 奇怪的是,在我看来,depends_on 子句要求您显式使用列表文字(即 [var.waits_for] 而不仅仅是 var .waits_for),即使如果您正在线程处理的变量是一个列表。这不会在我的脑海中进行类型检查,但显然 Terraform 不仅可以接受它,而且它期望它!

关于azure - 无法在 Terraform 中同时创建多个 Azure 防火墙规则集,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/71750621/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com