How to get rid of terraform plan diffs

私がterraform planの
差分に怯えなくなった訳  
オイシックス・ラ・大地（株）@morihaya55
Photo by Alexandr Podvalny on Unsplash: https://unsplash.com/photos/WOxddhzhC1w
LT at Terraform meetup tokyo #1
2019-08-01

本日の流れ
● Who am I ?
● 結論を最初に言うと「出力を読もう」
● 差分具体例
● 差分を取り込もう
● まとめ

簡単な自己紹介
林如弥(Yukiya Hayashi) @morihaya55
● これまで、インフラエンジニアとしてSier、ゲーム会
社等を経験してきました
● terraform歴は直近のシステムで4ヶ月程
● 今は安全・安心な野菜をお届けするオイラ大地の
システムの運用、改善をするSREです

最初に結論を言います

結論
terraform planの差分は
「ちゃんと出力を読めば怖く
ない」＞＜/

...だけだと怒られが発生し
ますので

差分例: Security Group
~ resource "aws_security_group" "digdag" {
id = "sg-07ee4c2hogehoge"
~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = "SSH Allow from private"
- from_port = 22
- ipv6_cidr_blocks = []
- prefix_list_ids = []
- protocol = "tcp"
- security_groups = []
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ description = null
+ from_port = 65432
+ ipv6_cidr_blocks = []
+ prefix_list_ids = []
+ protocol = "tcp"
+ security_groups = []
+ self = false
+ to_port = 65432
},
]
注: ID,サブネットは適当なものに変換してます

よく（？）ある
AWSのSGを手動で
更新したケース
「あー、あの時は急いでたからさー(^^;」

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ from_port = 65432
+ protocol = "tcp"
+ self = false
+ to_port = 65432
},
]

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ from_port = 65432
+ protocol = "tcp"
+ self = false
+ to_port = 65432
},
]
削除される内容

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ from_port = 65432
+ protocol = "tcp"
+ self = false
+ to_port = 65432
},
]
適用される内容

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ from_port = 65432
+ protocol = "tcp"
+ self = false
+ to_port = 65432
},
]
適用される内容削除される内容

ここまで見ての通り
そして

２つ目のルールは
完全に一致

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
削除される内容
このルールが
消えるだけ

ここでTerraformの
仕組みのおさらい

Terraform超ざっくり図
クラウドサービス 
(実際の状態) 
tfstateファイル
(Terraformが管理
する状態)
参考: https://www.terraform.io/docs/state/
tfファイル
(コードとして宣言し
た状態)
管理/開発者
書く

tfstateファイル
(Terraformが管理
する状態)
tfファイル
た状態)
管理/開発者
plan/apply指示

tfstateファイル
(Terraformが管理
する状態)
tfファイル
た状態)
管理/開発者
コードを読み込み

tfstateファイル
(Terraformが管理
する状態)
tfファイル
た状態)
管理/開発者
突き合せ

tfstateファイル
(Terraformが管理
する状態)
tfファイル
た状態)
管理/開発者
コードとして宣言した状態に、
実際の状態を変更する

差分がある＝
コードが正しい or
実際の状態が正しい

差分を見て、
どちらが正しいのか判断す
る必要がある

コードが正しいなら
（これが普通）
terraform apply

実際の状態が正しいなら
コードに取り込む必要があ
る

ここでもう一度
plan の差分を見ましょう

~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
+ {
+ cidr_blocks = [
+ "10.150.0.0/16",
]
+ from_port = 65432
+ protocol = "tcp"
+ self = false
+ to_port = 65432
},
]
適用される内容削除される内容
再掲

あれ？
よく見るとこの出力、
ほぼHCLでは？

差分からコードへ - 1
~ ingress = [
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- from_port = 22
- protocol = "tcp"
- self = false
- to_port = 22
},
- {
- cidr_blocks = [
- "10.150.0.0/16",
]
- description = ""
- from_port = 65432
- protocol = "tcp"
- self = false
- to_port = 65432
},
再掲

差分からコードへ - 2
{
cidr_blocks = [
"10.150.0.0/16",
]
description = ""
from_port = 65432
ipv6_cidr_blocks = []
prefix_list_ids = []
protocol = "tcp"
security_groups = []
self = false
to_port = 65432
},
ingress = [
{
cidr_blocks = [
"10.150.0.0/16",
]
description = "SSH Allow from private"
from_port = 22
ipv6_cidr_blocks = []
prefix_list_ids = []
protocol = "tcp"
security_groups = []
self = false
to_port = 22
},
再掲

‘~’と’-’を置換で消して
コードへ反映し、
terraform fmtで整える
だけ！

No changes !
Mission Complete!

と言うのが簡単な
パターン
(こんなのばかりなら楽)

簡単じゃないケースもある
● モジュールが対応してない
● プロバイダのバージョンが不足
● 不具合　etc...

立ち向かうには...
● terraform state list/show/pull/push...
● terraform show
● terraform console
● terraform import ...

正直難しいケースもあるけど
Slackで相談してみては？！

結論(再掲)
terraform planの差分は
「ちゃんと出力を読めば怖く
ない」＞＜/
(基本的には）

How to get rid of terraform plan diffs

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

Similaire à How to get rid of terraform plan diffs

Similaire à How to get rid of terraform plan diffs (20)

Plus de Yukiya Hayashi

Plus de Yukiya Hayashi (20)

Dernier

Dernier (20)

How to get rid of terraform plan diffs