个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
地形 0.9.5。
我正在整理一组模块,我们的基础架构团队和自动化团队将使用这些模块以标准方式创建资源,然后创建堆栈以提供不同的环境。一切运作良好。
像所有使用 terraform 的团队一样共享状态成为一个问题。我已将 terraform 配置为使用 s3 后端,即版本化和加密,通过 dynamo db 表添加锁。完美的。一切都适用于本地帐户...好吧问题...
我们有多个 aws 帐户,1 个用于 IAM,1 个用于计费,1 个用于生产,1 个用于非生产,1 个用于共享服务等……你知道我要去哪里。我的问题如下。
我在我们的 IAM 账户中以用户身份进行身份验证并担任所需的角色。在我引入 terraform 后端配置以利用 s3 共享状态之前,这一直像梦一样工作。看起来 terraform 中的后端配置需要在 ~/.aws/credentials 中设置默认凭据。看起来这些用户必须是创建 s3 存储桶的帐户的本地用户。
有没有办法以使用提供程序中配置的凭据和角色的方式获取后端配置设置?有没有更好的方法来配置共享状态和锁定?欢迎任何建议:)
更新 : 得到这个工作。我在创建 s3 存储桶的帐户中创建了一个新用户。创建了一个策略,只允许新用户 s3:DeleteObject、GetObject、PutObject、ListBucket 和 dynamodb:* 在特定的 s3 存储桶和 dynamodb 表上。创建了一个自定义凭据文件并添加了默认配置文件,其中包含分配给该新用户的访问和 key 。使用了类似的后端配置
terraform {
required_version = ">= 0.9.5"
backend "s3" {
bucket = "remote_state"
key = "/NAME_OF_STACK/terraform.tfstate"
region = "us-east-1"
encrypt = "true"
shared_credentials_file = "PATH_TO_CUSTOM_CREDENTAILS_FILE"
lock_table = "MY_LOCK_TABLE"
}
}
最佳答案
Terraform 期望后端配置是静态的,并且由于需要在完成任何其他工作之前初始化后端,因此不允许它包含插值变量,因为在配置中的其他地方可能是这样。
因此,使用不同的 AWS 账户多次应用相同的配置可能会很棘手,但可以通过以下两种方式之一进行。
摩擦最小的方法是创建一个 S3 存储桶和 DynamoDB 表,专门用于跨所有环境的状态存储,并使用 S3 权限和/或 IAM 策略来实现精细的访问控制。
采用此策略的组织有时会在单独的“管理”AWS 账户中创建 S3 存储桶,然后将存储桶中各个状态对象的限制性访问权限授予将在其他每个账户中运行 Terraform 的特定角色。
该解决方案的优势在于,一旦在 S3 中正确设置,Terraform 就可以常规使用,而无需任何异常工作流程:在后端配置单个 S3 存储桶,并通过环境变量提供适当的凭据以允许它们变化。后端初始化后,使用 workspaces (在 Terraform 0.10 之前称为“状态环境”)为单个配置的每个目标环境创建单独的状态。
缺点是需要围绕 S3 管理更复杂的访问配置,而不是简单地依赖于整个 AWS 账户的粗略访问控制。混合使用 DynamoDB 也更具挑战性,因为 DynamoDB 上的访问控制没有那么灵活。
Terraform s3 中对此选项有更完整的描述。提供者文档,Multi-account AWS Architecture .
如果不需要复杂的 S3 配置,则可以使用 partial configuration 将复杂性转移到 Terraform 工作流中。 .在此模式下,config 中仅提供后端设置的子集,运行时在命令行中提供其他设置 terraform init .
这允许选项在运行之间有所不同,但由于它需要提供额外的参数,因此大多数采用这种方法的组织将使用包装脚本根据本地约定适本地配置 Terraform。这可以只是一个运行 terraform init 的简单 shell 脚本。有合适的论据。
然后,这允许通过在命令行上提供自定义凭证文件来改变它。在这种情况下,不使用状态环境,而是在环境之间切换需要针对新的后端配置重新初始化工作目录。
该解决方案的优势在于它不会对 S3 和 DynamoDB 的使用施加任何特定限制,只要可以将差异表示为 CLI 选项即可。
缺点是需要不寻常的工作流或包装脚本来配置 Terraform。
关于amazon-s3 - Terraform 共享状态,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44674491/
25
4
0
这个问题在这里已经有了答案: Why don't Java's +=, -=, *=, /= compound assignment operators require casting? (11 个
我搜索了很多,但没有一个链接能帮助我解决这个问题。我得到了 ORA-21500: internal error code, arguments: [%s], [%s], [%s], [%s], [%s
我正在做 RegexOne 正则表达式教程,它有一个 question关于编写正则表达式以删除不必要的空格。 教程中提供的解决方案是 We can just skip all the starting
([\s\S]+|\s?) 中 |\s? 的目的或作用是什么?如果没有它,表达式会不会与 ([\s\S]+) 相同? 最佳答案 这不是完全相同的。 ([\s\S]+|\s?) 会匹配空字符串,而 ([
这个正则表达式有一组还是两组? 我正在尝试使用第二组访问 bookTitle 但出现错误: Pattern pattern = Pattern.compile("^\\s*(.*?)\\s+-\\s+
在 C 中给定一个字符串指针 s,下面的迭代会做什么?即它以什么方式遍历字符串? for (++s ; *s; ++s); 最佳答案 for (++s ; *s;++s) 表示 将指针 s 递增到字符
我正在用一个 node.js 应用程序解析一个大列表并有这段代码 sizeCode = dbfr.CN_DESC.split('\s+-\s*|\s*-\s+') 这似乎不起作用,因为它返回了 [ '
我正在编写一个简单的字符串连接程序。 该程序按照我发布的方式运行。但是,我首先使用以下代码编写它来查找字符串的结尾: while (*s++) ; 但是,这个方法并没有奏效。我传递给它的字符串
这个问题已经有答案了: What does (?和aramchand来自Mohandas Karamchand G 因此,在使用这些匹配来分割字符串后,您最终会得到 {"M", "K", "G"} 注
我正在尝试转换 Map到 List使用 lambda。 本质上,我想将键和值与 '=' 连接起来之间。这看起来微不足道,但我找不到如何去做。 例如 Map map = new HashMap<>();
我正在经历 K & R,并且在递增指针时遇到困难。练习 5.3(第 107 页)要求您使用指针编写一个 strcat 函数。 在伪代码中,该函数执行以下操作: 将 2 个字符串作为输入。 找到字符串
在下面的代码中,pS 和 s.pS 在最后一行是否保证相等?也就是说,在语句S s = S();中,是否可以确定不会构造一个临时的S? #include using namespace std; s
演示示例代码: public void ReverseString(char[] s) { for(int i = 0, j = s.Length-1; i < j; i++, j--){
我一直在寻找类似于 .NET examples 中的示例的 PowerShell 脚本.取一个 New-TimeSpan 并显示为 1 天 2 小时 3 分钟 4 秒。排除其零的地方,在需要的地方添加
def func(s): s = s + " is corrected" return s string_list = ["She", "He"] for s in string_li
我是 python 的新手。当我在互联网上搜索 lambda 时。我在 lambda_functions 中找到了这个声明. processFunc = collapse and (lambda s:
我最近开始学习正则表达式,并试图为上面的问题写一个正则表达式。如果限制只放在一个字母上(例如不超过 2 个“b”),这并不困难。 那么答案就是:a* c*(b|ε)a* c*(b|ε)a* c* 但是
当我运行 npm install 时出现以下错误,但我无法修复它。 我试过:npm install -g windows-build-tools 也没有修复这个错误 ERR! configure
有很多有趣的haskell网上可以找到片段。 This post可以在 this (awesome) Stack Overflow question 下找到. The author写道: discou
我知道以下三行代码旨在将字符串提取到$ value中并将其存储在$ header中。但是我不知道$value =~ s/^\s+//;和$value =~ s/\s+$//;之间有什么区别。 $val
我是一名优秀的程序员,十分优秀!