Terraform 依赖于另一个资源的无效计数参数

Question

尝试在 Terraform 脚本上执行计划或应用时出现以下错误。

Error: Invalid count argument

  on main.tf line 157, in resource "azurerm_sql_firewall_rule" "sqldatabase_onetimeaccess_firewall_rule":
 157:   count               = length(split(",", azurerm_app_service.app_service.possible_outbound_ip_addresses))

The "count" value depends on resource attributes that cannot be determined
until apply, so Terraform cannot predict how many instances will be created.
To work around this, use the -target argument to first apply only the
resources that the count depends on.

我知道这是失败的，因为在创建 app_service 之前它不知道要创建的防火墙规则的数量。我可以使用参数 -target=azurerm_app_service.app_service 运行 apply，然后在创建 app_service 后运行另一个应用。

但是，这对我们的 CI 流程来说不是很好，如果我们想从我们的 Terraform 脚本创建一个全新的环境，我们只想告诉 Terraform 去构建它，而不必告诉它要构建的每个目标按顺序。

在 terraform 中有没有一种方法可以直接说去构建所有需要的东西而不需要添加目标？

下面还有一个出现上述错误的示例 terraform 脚本:

provider "azurerm" {
  version = "=1.38.0"
}

resource "azurerm_resource_group" "resourcegroup" {
  name     = "rg-stackoverflow60187000"
  location = "West Europe"
}

resource "azurerm_app_service_plan" "service_plan" {
  name                = "plan-stackoverflow60187000"
  resource_group_name = azurerm_resource_group.resourcegroup.name
  location            = azurerm_resource_group.resourcegroup.location
  kind                = "Linux"
  reserved            = true

  sku {
    tier = "Standard"
    size = "S1"
  }
}

resource "azurerm_app_service" "app_service" {
  name                = "app-stackoverflow60187000"
  resource_group_name = azurerm_resource_group.resourcegroup.name
  location            = azurerm_resource_group.resourcegroup.location
  app_service_plan_id = azurerm_app_service_plan.service_plan.id

  site_config {
    always_on        = true
    app_command_line = ""
    linux_fx_version = "DOCKER|nginxdemos/hello"
  }

  app_settings = {
    "WEBSITES_ENABLE_APP_SERVICE_STORAGE" = "false"
  }
}

resource "azurerm_sql_server" "sql_server" {
  name                         = "mysqlserver-stackoverflow60187000"
  resource_group_name = azurerm_resource_group.resourcegroup.name
  location            = azurerm_resource_group.resourcegroup.location
  version                      = "12.0"
  administrator_login          = "4dm1n157r470r"
  administrator_login_password = "4-v3ry-53cr37-p455w0rd"
}

resource "azurerm_sql_database" "sqldatabase" {
  name                             = "sqldatabase-stackoverflow60187000"
  resource_group_name              =  azurerm_sql_server.sql_server.resource_group_name
  location                         =  azurerm_sql_server.sql_server.location
  server_name                      =  azurerm_sql_server.sql_server.name
  edition                          = "Standard"
  requested_service_objective_name = "S1"
}

resource "azurerm_sql_firewall_rule" "sqldatabase_firewall_rule" {
  name                = "App Service Access (${count.index})"
  resource_group_name = azurerm_sql_database.sqldatabase.resource_group_name
  server_name         = azurerm_sql_database.sqldatabase.name
  start_ip_address    = element(split(",", azurerm_app_service.app_service.possible_outbound_ip_addresses), count.index)
  end_ip_address      = element(split(",", azurerm_app_service.app_service.possible_outbound_ip_addresses), count.index)
  count               = length(split(",", azurerm_app_service.app_service.possible_outbound_ip_addresses))
}

Answer 1

要在没有错误消息中描述的 -target 解决方法的情况下进行这项工作，需要根据 Terraform 只能从配置中获知的值而不是提供者生成的值来重新定义问题在申请时。

接下来的诀窍是弄清楚 Azure API 使用您的配置中的哪些值来决定要返回多少 IP 地址，并改为依赖那些 .我不太了解 Azure，无法给你一个具体的答案，但我在 Inbound/Outbound IP addresses 上看到了这似乎是 Azure 应用服务的操作细节，而不是您可以自己控制的东西，因此不幸的是，这个问题可能无法解决。

如果确实无法从配置中预测possible_outbound_ip_addresses 中有多少个地址，另一种方法是将您的配置分成两部分，其中一部分相互依赖。第一个将配置您的应用程序服务和任何其他有意义的管理，然后第二个可能使用 the azurerm_app_service data source检索有关假定已经存在的应用程序服务的数据，并根据它制定防火墙规则。

无论哪种方式，您都需要运行 Terraform 两次以使必要的数据可用。使用 -target 的一个优点是您只需要在初始引导期间执行一次有趣的工作流程，因此您可以在 CI 之外执行初始创建以获取初始创建的对象，然后使用 CI对于持续的变化。只要应用服务对象永远不会被替换，后续的 Terraform 计划就已经知道设置了多少 IP 地址，因此应该能够正常完成。