系列文章

👉 Terraform 系列文章

前言

最近在使用 Terraform Cloud 来置备 OCI 的 Always Free Tier, 发现它非常好用，相比 Terraform OSS, 用起来省心多了。

也借此总结学习下：Terraform Cloud 比 Terraform OSS 有哪些增强，这些增强功能面向哪些客户，解决了哪些痛点？

可以作为我们基于 Terraform 开发自己的 IaC 云平台的经验。

Terraform OSS 的功能

Terraform OSS 的功能已经在 之前的文章 里介绍过了。

这里再重复一下：

• IaC
• 工作空间
• 变量
• 运行-计划和应用
• 资源图
• 供应商
• 模块
• 注册表
• 声明式编程
• 云无关
• 表达能力强且高度可扩展
• 协同工作（需要进一步配置）
• 生命周期管理
• 测试
• HCL
• 安全和密钥管理（需要进一步配置）

Terraform Cloud 简介

Terraform Cloud 是 HashiCorp 基于 SaaS 的 Terraform 版本。

Terraform Cloud, 理所当然用于 Terraform OSS 的以上所有功能。

Terraform Cloud vs. Terraform OSS

Terraform Cloud 比 Terraform OSS 有哪些增强？具体如下：

IaC 功能增强

• Remote State: Terraform Cloud 自带开箱即用的 Backend, 方便管理 remote state, 确保部署一致性、共同目标和单一事实来源
• VCS 连接: Terraform Cloud 打通了 Github 等 VCS, 可以无缝使用 VCS + Terraform. 使多个团队成员能够在项目中处理单独的代码流，并通过简单的回滚路径以结构化的方式将变更合并回核心项目中。
• 工作空间管理: Terraform Cloud 提供了更为丰富的工作空间管理功能和 UI
• 安全和密钥管理: Terraform Cloud 基于 Terraform Vault 提供了开箱即用的安全变量（安全和密钥）的存储。
• 远程运行和状态: Terraform Cloud 支持本地运行和远程运行，远程运行无需自己安装 Terraform, 直接使用 Terraform Cloud 提供的 Terraform. 意味着所有部署都是从一个集中位置完成的
• 私有模块注册表: 私有模块存储库允许跨多个工作空间和项目访问模块代码的单个真实源，从而降低差异的可能性，从而提高代码稳定性。

△ Remote State

△ VCS(GitHub) 连接

△ 工作空间管理

△ 安全和密钥管理

△ 远程运行

△ 运行状态

△ 私有模块注册表

团队管理功能增强

• 团队管理: 团队管理是工作空间管理的一个子功能，借助此功能，工作空间管理员可以通过根据其公司的组织结构创建团队来管理云用户的访问级别。这些团队根据反映编码职责或运营职责的组织被授予权限，例如：管理策略，管理工作空间，管理 VCS 设置
• 成本估算: 提供与工作空间中的代码部署关联的成本估算的最佳预估。会明确地显示本次 Run 会增加/减少多少美元的开销。
• 策略即代码: 通过和 HashiCorp Sentinel 的集成，用于自动化治理、安全和基于合规性的策略配置。Sentinel 是一个可嵌入的策略及代码框架。如，您可以定义，如果您要部署到 Dev，则您的任何 EC2 构建实例都不能大于大小 XXX, 如果尝试构建更大的实例，则运行将失败。也可用于执行 CIS 基准和其他合规性框架。
• 配置设计器: 基于 GUI 的工作流程，用于选择、组合、定义变量和创建独特的工作区。降低开发人员使用心智负担，开发人员从预定义的 IaC 模块构建配置；按需预配。

△ 团队管理

△ 成本预估

△ 策略即代码

△ 配置设计器

安全/合规/治理功能增强

• 单点登录 （SSO）: 集成您的企业身份提供商，为您的团队成员提供无缝登录过程。目前，Terraform Cloud 支持以下身份提供程序：

  • Azure AD
  • Okta
  • SAML
• 审计日志: 对于在事件发生后甚至在解决问题时尝试深入研究时启用取证调查是绝对必要的。
• 自托管的代理: 允许 Terraform Cloud 业务使用自托管代理有效地查看私有数据中心。

△ SSO

总结思考🤔

Q: 如果我们也要基于 Terraform OSS 来做一个企业内部的 IaC 云服务，我们应该增强哪些功能？
A: 需要从以下几方面入手：

1. 增强 Terraform 的功能和使用体验

   1. 基于 S3 提供开箱即用的 Backend 和 Remote State
   2. 提供和内部代码仓库（如 GitLab) 的无缝对接
   3. 基于 Terraform Workspace 开发一套友好 UI, 并结合企业实际情况，延伸出入：环境、Project 等概念
   4. 基于 HashiCorp Vault 提供开箱即用的安全和密钥管理功能
   5. 自动创建预配置好 Terraform 的临时 VM 或 Pod 以在云服务上开箱即用地运行 Terraform, 而不需用户在本地运行 Terraform； 同时提供每次 Terraform Apply 后的状态历史
   6. 提供内部私有 Terraform Registry
   7. 开发完整而丰富的 API 接口，供企业内部其他系统（如 DevOps) 集成使用。

2. 丰富团队管理功能：

   1. 丰富完善团队管理功能、设置和 UI
   2. 引入 FinOps 理念：对接主流公有云费用 API， 在 Plan 阶段进行成本估算。
   3. （可选）策略及代码

3. 安全/合规/治理功能增强

   1. 集成企业内部单点登录
   2. 开发审计日志功能
   3. 自托管的代理不需要，因为就在企业内部

💪💪💪

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.