読者です 読者をやめる 読者になる 読者になる

Terraformで循環参照のエラーが出た時

これは、リソースを変数で参照して整合性?を保とうとしたときに良くなる。

variable "env" {
  type = "string"
  default = "dev"
}
variable "service" {
  type = "string"
  default = "foo"
}

resource "aws_cloudfront_origin_access_identity" "origin_access" {
  comment = "access-identity-${var.env}-${var.service}.s3.amazonaws.com"
}

data "template_file" "s3_policy" {
  template = "${file("s3-bucket-policy.json")}"

  vars {
    bucket_name            = "${var.env}-${var.service}"
    origin_access_identity = "${aws_cloudfront_origin_access_identity.origin_access.id}"
  }
}

resource "aws_s3_bucket" "foo" {
  bucket = "${var.env}-${var.service}"
  acl    = "private"
  policy = "${data.template_file.s3_policy.rendered}"

  tags {
    Name        = "${var.env}-${var.service}"
    Environment = "${var.env}"
    ServiceName = "${var.service}"
  }
}

となっている場合、循環参照が発生する。

❯ terraform plan
Error configuring: 1 error(s) occurred:

* Cycle: data.template_file.s3_policy, aws_s3_bucket.foo, aws_cloudfront_origin_access_identity.origin_access

もう、わけわかんないし辛い気持ちになるけど、Terraformには便利な機能がある。

依存グラフの出力である。

terraform graph -draw-cycles | dot -Tpng > graph.png

f:id:ringo6119:20170322163153p:plain

-draw-cyclesをつけると赤くなるので、分かりやすい。 後は、その依存関係を解決していけば良いだけ。

今回のケースは、aws_cloudfront_origin_access_identityでバケット名を参照しているが、バケット名は"${var.env}-${var.service}"で置き換え可能なため、

resource "aws_cloudfront_origin_access_identity" "origin_access" {
  comment = "access-identity-${var.env}-${var.service}.s3.amazonaws.com"
}

とすると直る。

f:id:ringo6119:20170322163152p:plain

References

Terraformでテンプレートを使ってポリシーを定義する

Terraformにはテンプレート機能がある。よく使われるのは、ポリシーの設定などで、ヒアドキュメントで記述されるようなものを、別ファイルに記述し変数を与えて埋めていく。

ポリシーを定義する

例えば、ユーザやグループにポリシーを設定するために、まずポリシーを定義する。 ここで、 bucket_name は変数になっている。ポリシーの意味は ${bucket_name} 以下にあるオブジェクトに対しての操作を全て許可するというもの。リソースの最後に /* をつけないとバケットの操作1になってしまうので注意。 これを、 s3_bucket_policy.tpl.json というファイルに保存しておこう。拡張子を json とかにしておいたほうがシンタックスハイライトの恩恵が受けられる(と個人的には思う)。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": [
        "arn:aws:s3:::${bucket_name}/*",
      ]
    }
  ]
}

IAM Policy リソースの定義

次に、リソースを定義しよう。 今までは policy<<EOF ... EOF などを書いてポリシーを埋め込んでいたと思う。 ココも変数にする。

resource "aws_iam_policy" "developer" {
    name = "developer_policy"
    path = "/developer"
    description = "Developer IAM policy"
    policy = "${data.template_file.foo.rendered}"
}

Template データの定義

最後にテンプレートの定義をしていこう。datatemplate_fileを定義する。 template には最初で作成したファイルを指定する。fileメソッドを使うとファイルを引っ張って来ることができ、引数にはパス、ファイル名を与えよう。最初に作成したファイル名はs3_bucket_policy.tpl.jsonなので、それを指定する。

テンプレート内にbukcet_nameという変数があったが、それをここで埋める。 varsのマップを記述すると、そのままテンプレートに渡され、埋められる。

data "template_file" "foo" {
  template = "${file("s3_bucket_policy.tpl.json")}"

  vars {
    bucket_name = "bar"
  }
}

bukcet_name をTerraformで作成したバケットにしたい場合は、varsに変数を与えればいい。

resource "aws_s3_bucket" "bar" {
  bucket = "dev-var-bucket"
  acl    = "private"
}

data "template_file" "foo" {
  template = "${file("s3_bucket_policy.tpl.json")}"

  vars {
    bucket_name = "${aws_s3_bucket.bar.bucket}"
  }
}

Appendix

AWS_IAM_POLICY_DOCUMENT resource

AWS IAMポリシーの作成はHCLで記述できることを @mia_0032 さんから教えていただきました。 Terraform version 0.7.0 から aws_iam_policy_document リソースが入っていた(CHANGELOG)。

New Data Source: aws_iam_policy_document (#6881)

これのメリットをちょっと考えてみると次のような感じだと思う。

  • HCLのシンタックスハイライトを使ってポリシーを書ける
  • plan 実行時にある程度の構文チェックができる
  • 書くものが減りすこしスッキリする(テンプレートの方式だと、 json ファイル、 data ソース、 aws_iam_policy リソースを用意しないといけない)

結構、多くのメリットがありそう。

ぼくがポリシーを書くときは、AWSコンソールで直接ポリシーを作成して、検証しながらJSONを組み立てていく。整ったところで、JSONをコピーし、変数になる部分の記述を変換してテンプレートを仕上げている。

JSONのポリシーをHCLに変換してくれる何かがほしい。 ちょっと調べてみた感じだとありそう(kvz/json2hcl)。

References

Terraform で変数を使う

Terrafromでは変数が利用でき、variableを定義して、値を注入する。 一番シンプルな例は次の通り。

provider "aws" {
  region = "ap-northeast-1"
}

variable "foo" {}

resource "aws_s3_bucket" "s3_bucket" {
  bucket = "${var.foo}"
  acl = "private"
}

variablefoo を宣言し、S3バケットのところで ${var.foo} 利用している。

値の注入方法

値の指定方法は次の4通りある。

  1. 実行時に指定
  2. コマンド引数による指定
  3. 環境変数による指定
  4. 設定ファイルによる指定

実行時に指定

変数を宣言した後に、terraform planなどを実行すると、コンソールでどんな値を指定するか聞かれるので、そこで指定する。

❯ terraform plan
var.foo
  Enter a value: bar

...

+ aws_s3_bucket.s3_bucket
...
    arn:                 "<computed>"
    bucket:              "bar"
    force_destroy:       "false"
...

Plan: 1 to add, 0 to change, 0 to destroy.

コマンド引数による指定

コマンド実行時 -var オプションを利用して値を指定する。 試しに terraform plan -var 'foo=test-bucket' を実行してみると、ちゃんと注入されている。

環境変数による指定

TF_VAR_ のプレフィックスを付けて環境変数を設定すると、その値が変数にロードされる。 TF_VAR_foo='env-test' terraform plan を実行すると同様の結果が得られる。

設定ファイルによる指定

変数の値を指定する設定ファイルを作成し、-var-fileで指定すると同様のことが出来る。

vars.tfvars

foo = "tfvars-file"

terraform plan -var-file=vars.tfvars を実行すると同様の結果が得られる。

変数戦略/設計

Terrafromは *.tf ファイルを全て読み込むので、 変数定義をvariables.tfなどに記述しておき、 実行時に-var-fileで値ファイルを指定して環境などを切り替えると良いかもしれない。

  • terrafrom plan -var-file=dev.tfvars
  • terrafrom plan -var-file=prod.tfvars

ディレクトリとか、ファイルはこんな感じにすると雰囲気はつかめると思う。

main.tf

provider "aws" { region = "ap-northeast-1" }
resource "aws_s3_bucket" "s3_bucket" {
  bucket = "${var.foo}"
  acl = "private"
}

variables.tf

variable "foo" {}

dev.tfvars

foo="dev-var"

prod.tfvars

foo="prod-var"

その他Tips

default を記述するとファイルを指定しなくてもそれになる。 また、type などで型も指定できる。 descriptionで、変数の説明もかけるので書いたほうがいい。

variable "foo" {
  type = "string"
  default = "default-var"
  description = "Sample Variable"
}

References

Terraform でループして複数のリソースを作成する

TerraformでListの変数を使ってループさせたい時がある。 例えば、ユーザアカウントを複数作りたいとき。

以下のようなリソース定義を必要な分だけ書かないといけない。10個あったら10個。メッチャ大変。

resource "aws_iam_user" "developer" {
  name = "foo"
  path = "/developer"
}

普通に考えて、変数を定義してループさせたくなる。 まず変数を定義する。あとは、コイツを上手く回す方法を考える。

variables "developer" {
  default = ["aoki0", "aoki1", "aoki2"]
}

リソースを複数作成する

リソースにはcountというパラメータがあり、この値を指定するとn個のリソースを作成してくれる。便利。

resource "aws_iam_user" "developer" {
  connt = 3
  name = "aoki"
  path = "/developer"
}

すると、3つの aws_iam_user が作成される。

+ aws_iam_user.developer.0
    arn:           "<computed>"
    force_destroy: "false"
    name:          "aoki"
    path:          "/developer"
    unique_id:     "<computed>"

+ aws_iam_user.developer.1
    arn:           "<computed>"
    force_destroy: "false"
    name:          "aoki"
    path:          "/developer"
    unique_id:     "<computed>"

+ aws_iam_user.developer.2
    arn:           "<computed>"
    force_destroy: "false"
    name:          "aoki"
    path:          "/developer"
    unique_id:     "<computed>"

Plan: 3 to add, 0 to change, 0 to destroy.

しかし、2つの課題がある。 - 生成する数(3)をハードコーディングしてる - name が全部同じ

変数に指定されたリストの長さを取得する

Terraformには length というリストの長さを取得する関数がある。 こいつを、利用してリスト長分のリソースを作成する。

resource "aws_iam_user" "developer" {
  count = "${ length( var.developer ) }"
  name = "aoki"
  path = "/developer"
}

いい感じ。

+ aws_iam_user.developer.0
+ aws_iam_user.developer.1
+ aws_iam_user.developer.2
Plan: 3 to add, 0 to change, 0 to destroy.

リストの要素を利用する

リストの要素を取得するには element という関数、 現在のインデックスを取得するには count.index が使える。 これを、埋め込みたい箇所に "${}" でくくって記述する。

resource "aws_iam_user" "developer" {
  count = "${ length( var.developer ) }"
  name = "${element(var.developer, count.index)}"
  path = "/developer"
}

ちゃんと、値も個数も設定ファイルから取得できた。

+ aws_iam_user.developer.0
    name:          "aoki0"
+ aws_iam_user.developer.1
    name:          "aoki1"
+ aws_iam_user.developer.2
    name:          "aoki2"
Plan: 3 to add, 0 to change, 0 to destroy.

あとは、nameも上手く取得したい。

MapのListも使える

変数の値を次のようにして、Listで回せばイロイロできそう。

ips = [
  { name = "foo", ip = "aaa.bbb.ccc.ddd/32", description = "foo IP" },
  { name = "bar", ip = "bbb.bbb.ccc.ddd/32", description = "bar IP" },
  { name = "baz", ip = "ccc.bbb.ccc.ddd/32", description = "baz IP" }
]

と、いいたいところなんですが、GitHubにIssueが上がっていて、現在(2016/11/29)使えない😢。

zipmap

対処療法として、二つのListを用意してzipmapで無理やり結合する。

# tfvars
names = ["foo", "bar", "baz"]
ips = [
 "aaa.bbb.ccc.ddd/32",
 "bbb.bbb.ccc.ddd/32",
 "ccc.bbb.ccc.ddd/32"
]

zipmap は二つのリストをzippingする。 たとえば、前述したnamesipsをzipすると、

{
  foo = "aaa.bbb.ccc.ddd/32",
  bar = "bbb.bbb.ccc.ddd/32",
  baz = "ccc.bbb.ccc.ddd/32"
}

となる。

はやくIssueが解決されて欲しい。

References

PebbleのWatchFaceを作ってみた

去年、PebbleがFitBitに買収されてたので、在庫が無くなる前にPebble Time Roundを買った。 今までは、Pebble Timeを使っていたんだけど、四角いし厚いしいまいちオシャレじゃないなーと思ってたのでよい機会。

毎年、正月休みに新しい何かを触ってみようと思っていて、去年はSwiftでTODOアプリを作り、TravisCIでビルド(ココが一番時間かかった記憶がある)した。ので、今年の正月休みはPebbleのWatchFaceを作ってみた。

公式のチュートリアルをなぞっただけで、特別なことはやっていないんだけども、デザインを自分で考えるのは楽しい。機能としては、日付け、時間、天気、気温、電池残量を表示するだけ。

CloudPebbleを使って開発したんだけれども、これが結構よくできていて、コーディングからビルド、エミュレータの起動、gitのコミット・プッシュまで出来る。 でも、ブラウザアプリはキーバインドが衝突したり、ブラウザバックしちゃったりするのが嫌いなので、nativefierというツールでデスクトップアプリ化した。 フレームレスウィンドウが好きなのでついでに、クローンしてパッチを当てた。

f:id:ringo6119:20170109174157p:plain

WatchFace側はC言語、アプリ側?はJavaScriptで書いた。C言語のほうがロウエナジーだってどこかに書いてあったからそうしたけど、計測はしてない。

TravisCIでビルドしてGitHubのリリースに置こうと思ったけど上手く動かず。python2系とnpm3系が必要でインストールとか面倒くいので別の機会に。 ビルドするためのdockerイメージも作ろうしたけども同じ理由でまた今度。

反省点じゃないけれども、やってみたいことが色々出てきた。

  • OpenWeatherMapは精度が悪いので、Yahoo天気とか何かにしたい
  • 設定画面でAPIトークンや、天気機能のON/OFFを切り替えたい
  • 色を変えられるようにしたい
  • font-awesomeを使って天気や電池、接続情報をアイコンで表現したい
  • 同じようなことをやっているコードのリファクタリング・抽象化

f:id:ringo6119:20170109174230p:plain

いやー、C言語って難しいね。

References