2025 年私の Terraform に関するふりかえり / ゆるSRE勉強会 #14

Transcript

1. 2025 年私の Terraform に関する ふりかえり @r_takaishi / ゆる SRE 勉強会

   2025-12-18

2. 自己紹介 • @r_takaishi / 髙石 諒 @ フライル • ソフトウェアエンジニア

   / ポッドキャスター • OSS ◦ takaishi/tfclean ◦ takaishi/tftargets ◦ takaishi/tfdiff ◦ reproio/terraform-j2md
3. None

4. 今年の取り組み • tftargets, tfdiff を作った • ルートモジュール分割にトライした • 静的検査にトライした

5. 作ったツール • takaishi/tftargets: モジュール間の依存関係を考慮した plan/apply 対象リ ストアップ • takaishi/tfdiff: HCL

   の構造を考慮したルートモジュール間の差分出力

6. なぜ tftargets が必要だったか • Terraform のルートモジュールを細かく分割した ◦ planの時間短縮や未変更箇所に対する不要なplan抑制 • ルートモジュール設計、いろいろある

   ◦ 環境単位（プロダクション/ステージング） ◦ さらに細かくレイヤー単位（ネットワーク/ストレージ/アプリケーション） → ルートモジュール分割に伴いある課題解決が必要

7. ルートモジュールの課題 : plan対象の検知 • どのルートモジュールについて plan するか判断したい • ステージング用ルートモジュールに変更 →

   ステージングだけ plan • プロダクションルートモジュールに変更 → プロダクションだけ plan • 共通モジュールにのみ変更 → 両方で plan が必要 GitHub Actions のpath-filterでは難しい

8. takaishi/tftargets とは • PRの変更差分を解析し、plan対象とす るべきルートモジュール一覧を出力す る • ルートモジュールからのモジュール呼 び出しを解析 →

   plan対象の検知の問題を解決

9. tftargets の成果 • 公開してしばらく経った時、Issue がきた • 数十のアカウント・数百のモジュールを管理しており、シェルスクリプトで 対応している • tftargets

   でシェルスクリプトを取り除けるが動かないケースがある • エラーを修正して使ってもらえた

10. ルートモジュール分割してみてどうだったか • 粒度を小さくしすぎたのか、混乱が生じている ◦ 依存関係や apply の順序など考慮することが増えてしまった ◦ もう少し荒く分けた方がよかったかも •

    案外 plan 時間は短縮されなかった ◦ terragrunt で依存関係にあるモジュールを順番に plan するとそこそこ時間がかかる

11. tfdiff： 環境間の差分確認 • プロダクション/ステージングでルートモジュールを分けて管理し、あまり共 通モジュールがないリポジトリ • 環境間の差分を確認したい • diffコマンドはプレーンテキスト比較 •

    Terraform の構造を考慮していない

12. tfdiff とは • HCL の構造を考慮したルートモジュール間の差分出力 • リソースの有無の違いを検出 ◦ ステージングでは定義したが、プロダクションで定義し忘れている •

    引数の値の違いを検出 ◦ ステージング・プロダクション両方にリソースがあるが、引数の値が異なる

13. tfdiff とは • 片方でのみ定義して、もう片方で定義し忘れている場合を考えます。

14. tfdiff とは • このとき、tfdiff は以下のように差分として検出します。

15. tfdiff の利用 • リソース差分がないかをアドホックにチェック • CI に組み込んで変更漏れを検知したい（今後の課題）

16. 静的検査の取り組み • tflint のカスタムルール実装 • checkov のカスタムポリシー実装

17. tflint: allowed_account_ids の必須化 • 間違ったアカウントに apply しないためのガードレールの一つ • これはエラーになる

18. tflint: allowed_account_ids の必須化 • 間違ったアカウントに apply しないためのガードレールの一つ • これはエラーにならない

19. tflint: gp2 を指定している場合 Warning • 試験的に導入中

20. tflint: モジュール間の循環参照を禁止する • モジュール間の循環参照はエラーで はない • 可読性の低下に繋がる可能性あり • https://github.com/takaishi/tflint -ruleset-takaishi

21. checkov のカスタムポリシー • plan ファイルを見てリソース名が命名規則に従っているか検査 • https://future-architect.github.io/coding-standards/documents/forA WSResource/AWSインフラリソース命名規約.html

22. 静的検査にトライしてみて • tflint ◦ Go でカスタムルールを書けるのはうれしい • checkov ◦ plan

    ファイルのチェックなので新規追加・変更時にしか検知できない ◦ 既存リソースで命名規則に従っていないものを洗い出せればよりよい ▪ tflint だと変数を使った名前の検査ができない？

23. まとめ • takaishi/tftargets: モジュール間の依存関係を考慮した plan/apply 対象リ ストアップ • takaishi/tfdiff: HCL

    の構造を考慮したルートモジュール間の差分出力 • ルートモジュール分割 • 静的検査にトライ(tflint, checkov) 似たような課題で困っている方がいたら使ってもらえると嬉しいです！

24. SRE 採用中！ありがとうございました！