来自 for_each 的多个模块输出的 Terraform NSG 规则
Terraform NSG rules from multiple module outputs with for_each
正在寻找有关我面临的以下问题的指导...
我们在我们的 .tfvars 中定义地图,使用 for_each 引用这些地图以部署我们的模块。这已经运行了一段时间......但是,我们最近部署了一个集群环境。所以,我们现在有两个应用程序服务器,在 .tfvars 中定义:
app_servers tfvars 中的映射:
app_servers = {
sr-app-1 = {
size = "Standard_E2s_v3"
admin_username = "azureuser"
data_disks = [64]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 64
web_server = "sr-web-1"
},
sr-app-2 = {
size = "Standard_E2s_v3"
admin_username = "azureuser"
data_disks = [64]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 64
web_server = "sr-web-2"
}
}
db_servers tfvars 中的映射
db_servers = {
sr-fdb-1 = {
size = "Standard_D4s_v3"
admin_user = "azureuser"
data_disks = [64, 64, 128]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 128
app_server = "sr-app-1"
etl_server = "sr-etl-1"
}
sr-sdb-1 = {
size = "Standard_D4s_v3"
admin_user = "azureuser"
data_disks = [64, 64, 128]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 128
app_server = "sr-app-1"
etl_server = "sr-etl-1"
}
}
我们正在使用底层 linux_vm 模块中的 outputs.tf 为我们的 NSG 规则(在模块外,在 main.tf 中)填充 source_address_prefixes。因为我们在 db_servers 地图(下图)上使用 for_each,所以我们无法访问 app_servers 地图。因此,我们向 db_servers 映射添加了一个键,以识别每个 app_servers 的特定模块 运行,(见上文 db_servers 映射):
outputs.tf(在 linux_vm 模块内):
output "linux_vm_ip" {
value = azurerm_network_interface.uks_network_interface.private_ip_address
}
output "linux_vm_nsg" {
value = azurerm_network_security_group.uks_network_security_group.name
}
main.tf:
module "fico_db_vm" {
for_each = var.db_servers
source = "../modules/compute/windows_vm"
source_image_id = var.db_image_id
vm_name = each.key
vm = each.value
subnet_name = "back-end-01"
resource_group = azurerm_resource_group.rg_uks_fico_db.name
data_disks = each.value["data_disks"]
enable_management_locks = true
}
resource "azurerm_network_security_rule" "fico-db-sr-1433" {
for_each = var.db_servers
name = "nsr-${var.location}-${var.environment}-${var.directorate}-${var.business_unit}-sql"
priority = 100
direction = "Inbound"
access = "Allow"
protocol = "*"
source_port_range = "*"
destination_port_range = "1433"
source_address_prefixes = [module.fico_app_vm[each.value.app_server].linux_vm_ip, module.fico_etl_vm[each.value.etl_server].windows_vm_ip]
destination_address_prefix = "VirtualNetwork"
resource_group_name = azurerm_resource_group.rg_uks_fico_db.name
network_security_group_name = module.fico_db_vm[each.key].windows_vm_nsg
}
这在我们的 SBOX/DEV 环境中运行良好,这些环境都是单实例 - 但是,我们现在已经将集群应用程序部署到我们的测试环境中。我想不出将辅助应用服务器 IP 添加到上述 NSG 规则的好方法。
最初我尝试在 db_servers 映射中添加一个新键 (app_server2),以便可以以相同的方式进行引用:
source_address_prefixes = [module.fico_app_vm[each.value.app_server].linux_vm_ip, module.fico_app_vm[each.value.app_server2].linux_vm_ip, module.fico_etl_vm[each.value.etl_server].windows_vm_ip]
它在测试中按预期工作,但这不可行,因为当 运行在我们现有的 SBOX/DEV 环境中使用与 app_server2 相同的代码时,Terraform 计划会抱怨不可行定义...
我曾尝试将 app_server2 添加到 SBOX/DEV tfvars 作为“null”或只是一个空值,但这也让人抱怨,因为地图似乎不能是 empty/null?
也许我太深奥了,看不到明显的解决方案,任何 advice/guidance 将不胜感激。
我最终通过在我的地图中删除对其他地图的引用来解决这个特定问题...
相反,我在 main.tf
中添加了一些局部变量
locals {
app_vm_ips = [
for key, val in module.fico_app_vm :
module.fico_app_vm[key].linux_vm_ip
]
web_vm_ips = [
for key, val in module.fico_web_vm :
module.fico_web_vm[key].linux_vm_ip
]
etl_vm_ips = [
for key, val in module.fico_etl_vm :
module.fico_etl_vm[key].windows_vm_ip
]
}
然后我在 azurerm_network_security_group_rule 资源中使用这些局部变量,如下所示:
resource "azurerm_network_security_rule" "fico-db-sr-1433" {
for_each = var.db_servers
name = "nsr-${var.location}-${var.environment}-${var.directorate}-${var.business_unit}-sql"
priority = 100
direction = "Inbound"
access = "Allow"
protocol = "*"
source_port_range = "*"
destination_port_range = "1433"
source_address_prefixes = concat(local.app_vm_ips, local.etl_vm_ips)
destination_address_prefix = "VirtualNetwork"
resource_group_name = azurerm_resource_group.rg_uks_fico_db.name
network_security_group_name = module.fico_db_vm[each.key].windows_vm_nsg
}
正在寻找有关我面临的以下问题的指导...
我们在我们的 .tfvars 中定义地图,使用 for_each 引用这些地图以部署我们的模块。这已经运行了一段时间......但是,我们最近部署了一个集群环境。所以,我们现在有两个应用程序服务器,在 .tfvars 中定义:
app_servers tfvars 中的映射:
app_servers = {
sr-app-1 = {
size = "Standard_E2s_v3"
admin_username = "azureuser"
data_disks = [64]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 64
web_server = "sr-web-1"
},
sr-app-2 = {
size = "Standard_E2s_v3"
admin_username = "azureuser"
data_disks = [64]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 64
web_server = "sr-web-2"
}
}
db_servers tfvars 中的映射
db_servers = {
sr-fdb-1 = {
size = "Standard_D4s_v3"
admin_user = "azureuser"
data_disks = [64, 64, 128]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 128
app_server = "sr-app-1"
etl_server = "sr-etl-1"
}
sr-sdb-1 = {
size = "Standard_D4s_v3"
admin_user = "azureuser"
data_disks = [64, 64, 128]
zone_vm = "1"
zone_disk = ["1"]
os_disk_size = 128
app_server = "sr-app-1"
etl_server = "sr-etl-1"
}
}
我们正在使用底层 linux_vm 模块中的 outputs.tf 为我们的 NSG 规则(在模块外,在 main.tf 中)填充 source_address_prefixes。因为我们在 db_servers 地图(下图)上使用 for_each,所以我们无法访问 app_servers 地图。因此,我们向 db_servers 映射添加了一个键,以识别每个 app_servers 的特定模块 运行,(见上文 db_servers 映射):
outputs.tf(在 linux_vm 模块内):
output "linux_vm_ip" {
value = azurerm_network_interface.uks_network_interface.private_ip_address
}
output "linux_vm_nsg" {
value = azurerm_network_security_group.uks_network_security_group.name
}
main.tf:
module "fico_db_vm" {
for_each = var.db_servers
source = "../modules/compute/windows_vm"
source_image_id = var.db_image_id
vm_name = each.key
vm = each.value
subnet_name = "back-end-01"
resource_group = azurerm_resource_group.rg_uks_fico_db.name
data_disks = each.value["data_disks"]
enable_management_locks = true
}
resource "azurerm_network_security_rule" "fico-db-sr-1433" {
for_each = var.db_servers
name = "nsr-${var.location}-${var.environment}-${var.directorate}-${var.business_unit}-sql"
priority = 100
direction = "Inbound"
access = "Allow"
protocol = "*"
source_port_range = "*"
destination_port_range = "1433"
source_address_prefixes = [module.fico_app_vm[each.value.app_server].linux_vm_ip, module.fico_etl_vm[each.value.etl_server].windows_vm_ip]
destination_address_prefix = "VirtualNetwork"
resource_group_name = azurerm_resource_group.rg_uks_fico_db.name
network_security_group_name = module.fico_db_vm[each.key].windows_vm_nsg
}
这在我们的 SBOX/DEV 环境中运行良好,这些环境都是单实例 - 但是,我们现在已经将集群应用程序部署到我们的测试环境中。我想不出将辅助应用服务器 IP 添加到上述 NSG 规则的好方法。
最初我尝试在 db_servers 映射中添加一个新键 (app_server2),以便可以以相同的方式进行引用:
source_address_prefixes = [module.fico_app_vm[each.value.app_server].linux_vm_ip, module.fico_app_vm[each.value.app_server2].linux_vm_ip, module.fico_etl_vm[each.value.etl_server].windows_vm_ip]
它在测试中按预期工作,但这不可行,因为当 运行在我们现有的 SBOX/DEV 环境中使用与 app_server2 相同的代码时,Terraform 计划会抱怨不可行定义...
我曾尝试将 app_server2 添加到 SBOX/DEV tfvars 作为“null”或只是一个空值,但这也让人抱怨,因为地图似乎不能是 empty/null?
也许我太深奥了,看不到明显的解决方案,任何 advice/guidance 将不胜感激。
我最终通过在我的地图中删除对其他地图的引用来解决这个特定问题...
相反,我在 main.tf
中添加了一些局部变量locals {
app_vm_ips = [
for key, val in module.fico_app_vm :
module.fico_app_vm[key].linux_vm_ip
]
web_vm_ips = [
for key, val in module.fico_web_vm :
module.fico_web_vm[key].linux_vm_ip
]
etl_vm_ips = [
for key, val in module.fico_etl_vm :
module.fico_etl_vm[key].windows_vm_ip
]
}
然后我在 azurerm_network_security_group_rule 资源中使用这些局部变量,如下所示:
resource "azurerm_network_security_rule" "fico-db-sr-1433" {
for_each = var.db_servers
name = "nsr-${var.location}-${var.environment}-${var.directorate}-${var.business_unit}-sql"
priority = 100
direction = "Inbound"
access = "Allow"
protocol = "*"
source_port_range = "*"
destination_port_range = "1433"
source_address_prefixes = concat(local.app_vm_ips, local.etl_vm_ips)
destination_address_prefix = "VirtualNetwork"
resource_group_name = azurerm_resource_group.rg_uks_fico_db.name
network_security_group_name = module.fico_db_vm[each.key].windows_vm_nsg
}