Terraform CI/CD 自動化 — OpenTaco(Digger) Backendless モードで PR ベースのワークフローを実現する

Transcript

1. OpenTaco(Digger) Backendless モードで PR ベースの Terraform ワークフローを実現する ode Terraform CI/CD

   自動化

2. 目次 1. Terraform 運用の課題（ドリフト） 2. 解決策：PR ベースのワークフロー 3. OpenTaco(Digger) とワークフローの実際

   4. ドリフト検知の自動化 5. 他ツールとの比較・採用判断 6. 注意点・まとめ

3. こんな問題ありませんか？

4. こんな問題ありませんか？ 🔀 ローカルで apply したのにコードのマージを忘れ、意図しないドリフトが発生

5. こんな問題ありませんか？ 🔀 ローカルで apply したのにコードのマージを忘れ、意図しないドリフトが発生 🖱️ コンソールから手動変更してドリフトが発生した

6. こんな問題ありませんか？ 🔀 ローカルで apply したのにコードのマージを忘れ、意図しないドリフトが発生 🖱️ コンソールから手動変更してドリフトが発生した 👻 誰がいつ何を apply

   したか追跡できない

7. ドリフトとは？ コードと実態の差分のこと 次の plan で意図しない差分が出る原因になる Terraform コード: desired_count = 2

   AWS 実態: desired_count = 4 ← 手動で変更された

8. ドリフトがあると何が困る？

9. ドリフトがあると何が困る？ 😱 他の人が plan すると身に覚えのない差分が大量に出る

10. ドリフトがあると何が困る？ 😱 他の人が plan すると身に覚えのない差分が大量に出る 🗣️ チームへの聞き取りが始まり、作業が中断される

11. ドリフトがあると何が困る？ 😱 他の人が plan すると身に覚えのない差分が大量に出る 🗣️ チームへの聞き取りが始まり、作業が中断される ⏪ そのまま apply

    すると、誰かの作業が巻き戻ってしまう

12. ドリフトがあると何が困る？ 😱 他の人が plan すると身に覚えのない差分が大量に出る 🗣️ チームへの聞き取りが始まり、作業が中断される ⏪ そのまま apply

    すると、誰かの作業が巻き戻ってしまう 🚫 怖くて apply できない → 緊急時に Terraform で更新ができない

13. ドリフトがあると何が困る？ 😱 他の人が plan すると身に覚えのない差分が大量に出る 🗣️ チームへの聞き取りが始まり、作業が中断される ⏪ そのまま apply

    すると、誰かの作業が巻き戻ってしまう 🚫 怖くて apply できない → 緊急時に Terraform で更新ができない 🔄 結局コンソールで手作業 → さらにドリフトが増える悪循環

14. 解決策: PR ベースのワークフロー PR 作成 plan 自動実行 PR コメントで 結果確認

    digger apply とコメント apply 成功 → 自動マージ Terraform の変更を PR 経由で管理する

15. OpenTaco ( 旧名: Digger) とは モード 概要 追加インフラ Backendless GitHub

    Actions のみで完結 不要 Orchestrator サーバー or SaaS でジョブ管理 必要 Backendless モード なら追加インフラなしで導入可能 Terraform の PR ワークフローを自動化する OSS ツール

16. 実際の画面: plan 結果 PR を作成すると plan が自動実行され、結果が PR コメントに投稿される

17. 実際の画面: plan 成功後の案内 plan 成功後、apply や unlock のコマンド案内が表示される

18. 実際の画面: apply → 自動マージ digger apply をコメントすると apply が実行され、成功後に PR

    が自動マージされる

19. これならプロマネの方も ブラウザでポチポチ Terraform 適用できるのでは...!?

20. PR ベースで管理するメリット

21. PR ベースで管理するメリット 🔍 透明性・追跡性の向上 plan 結果が PR コメントに残る → レビュー記録が自然に蓄積（Slack

    だと流れるし、長くて貼り付けもつ らい） 誰がいつ何を apply したか PR に残る apply 成功後に自動マージ → マージ忘れが起きない

22. PR ベースで管理するメリット 🔍 透明性・追跡性の向上 plan 結果が PR コメントに残る → レビュー記録が自然に蓄積（Slack

    だと流れるし、長くて貼り付けもつ らい） 誰がいつ何を apply したか PR に残る apply 成功後に自動マージ → マージ忘れが起きない 🌐 運用ハードルの低下 チームで共有・レビューできる → plan を見てから apply の判断 ブラウザだけで Terraform 適用 → 環境構築なしで誰でも操作できる

23. ドリフト検知も自動化 Yes No 定期実行 plan 差分あり? Issue 自動作成 修復コマンドで対応 何もしない

    GitHub Actions のスケジュール実行（cron 的なもの）で毎日定期実行 → 手動変更を検出 → Issue + Slack 通知

24. 実際の画面: ドリフト検知 Issue ドリフトが検出されると Issue が自動作成され、修復コマンドの案内もコメントされる

25. 実際の画面: ドリフト修復 Issue 上で digger plan → digger apply を実行して修復できる（コードが正でAWS

    側がずれている場 合） 。AWS 側が正の場合はコードを修正してPR 経由で反映する

26. 他ツールとの比較 ツール 実行環境 追加インフラ 特徴 OpenTaco (Backendless) GitHub Actions 不要

    無料で手軽 Atlantis 専用サーバー 必要 実績豊富 Terraform Cloud HashiCorp SaaS 不要 公式。大規模は有料 tfaction GitHub Actions 不要 日本発 OSS 「まずサーバーなしで始めたい」なら OpenTaco Backendless が最も手軽

27. apply 先行・自動マージ方式 方式 リスク merge → apply apply 失敗時にコードとインフラが乖離。修正のたびに PR

    が必要で main が荒れる apply → merge ✅ マージコンフリクトの可能性（低リスク） apply は失敗する可能性がある（権限不足、リソース競合等） apply 成功を確認してからマージする方が安全 Digger の auto_merge で自動化

28. 注意点・ハマりどころ ⚠️ no-backend: true と disable-locking: true はセットで必要 🔧 branch

    フィルタは Backendless では効かない → 設定ファイルを動的生成 🛠️ ドリフト修復は Backendless 未実装 → CLI 直接実行で回避 💾 plan ファイルは S3 に保存（レビュー済み plan の適用を保証） 今は気にしないで大丈夫です。 まずは導入してハマったら見るぐらいで、詳細は最後に紹介する記事に書きました

29. まとめ 🚀 ローカルからの apply が不要に → マージ忘れが構造的に発生し ない 📋 plan

    結果のレビュー記録が PR に蓄積 🔎 ドリフト検知で手動変更を毎日自動チェック 🌐 ブラウザだけで Terraform の apply が可能 💰 GitHub Actions だけで完結、追加インフラなし・無料で実現

30. 詳細はこちら 📝 記事: OpenTaco(Digger) Backendless モードで Terraform PR 自動化 🌮

    公式: https://opentaco.dev/ ご清聴ありがとうございました