![要件 [Must]
環境の分離
検証・本番を分ける
アクセスの分離
検証・本番のアクセス権限を分ける
職務・職責の分離
開発担当とデプロイ担当を分ける](https://image.slidesharecdn.com/azuredevops-ci-cd-terraform-211022041906/85/Azure-DevOps-CI-CD-with-terraform-22-320.jpg)
![要件 [Must]
環境の分離
→ Azureのsubscriptionを分けることで対応
アクセスの分離
→ ActiveDirectoryで対応
職務・職責の分離
→ DevOpsのProjectを分けることで対応](https://image.slidesharecdn.com/azuredevops-ci-cd-terraform-211022041906/85/Azure-DevOps-CI-CD-with-terraform-23-320.jpg)
![要件 [Want]
検証・本番でインフラ環境をなるべく一致させたい
QAコストの削減
terraformをローカルで実行したい
開発の効率化
terraform plan結果をPRのコメント投稿したい
コードレビューの効率化](https://image.slidesharecdn.com/azuredevops-ci-cd-terraform-211022041906/85/Azure-DevOps-CI-CD-with-terraform-24-320.jpg)
![要件 [Want]
検証・本番でインフラ環境をなるべく一致させたい
→ terraform workspaceでDRYにしてみた
terraformをローカルで実行したい
→ 技術スタックをそろえた
terraform plan結果をPRのコメント投稿したい
→ 大変でした(後述)](https://image.slidesharecdn.com/azuredevops-ci-cd-terraform-211022041906/85/Azure-DevOps-CI-CD-with-terraform-25-320.jpg)
![要件 [Want]
Pull requestに含まれるファイルのみterraform applyし
たい
CI/CD時短
ProjectをまたいでPipelineをトリガしたい
自動でproduction環境でterraform plan](https://image.slidesharecdn.com/azuredevops-ci-cd-terraform-211022041906/85/Azure-DevOps-CI-CD-with-terraform-44-320.jpg)
Azure DevOps CI/CD with terraform
- 1. AzureにおけるCI/CDについて terraformを交えて話します 第32回 Tokyo Jazug Night (Online) 株式会社 bitFlyer SRE部 遠地 等一
- 2. 自己紹介 : 遠地 等一(とおち ともかず) - 2021年4月bitFlyerにジョイン - SREやってます - 職歴 : ゲーム業界でサーバ/フロント 不動産業界でSRE 金融業界でSRE(←今ココ) - ※ Azure初心者
- 9. 主な技術スタック Blockchain Webサーバー バックエンド 永続化レイヤー コード VCS/CI/CD
- 16. CI/CDの導入 2019年 IDEからの直デプロイと併用していたが、 Cloud Serviceのデプロイで2回連続や2窓同時で、 Visual Studioがout of memoryで落ちる →あまりに非効率的なので、本番デプロイできるよう に
- 23. 要件 [Must] 環境の分離 → Azureのsubscriptionを分けることで対応 アクセスの分離 → ActiveDirectoryで対応 職務・職責の分離 → DevOpsのProjectを分けることで対応
- 25. 要件 [Want] 検証・本番でインフラ環境をなるべく一致させたい → terraform workspaceでDRYにしてみた terraformをローカルで実行したい → 技術スタックをそろえた terraform plan結果をPRのコメント投稿したい → 大変でした(後述)
- 30. terraform planをローカルで実行したい DevOpsのvariable groupからterraformのlocal valuesへ、 設定をオフロードした。機密情報はKey vaultから参照
- 36. terraform plan結果をPRのコメント投稿したい 調査・実装に工数がかかりました terraformを動かすためのService Principal認証 PRコメント投稿のためのDevOps APIコール認証 (tfnotifyがDevOps非対応) Pull requestに含まれる変更ファイルリストの取得
- 37. terraform plan結果をPRのコメント投稿したい TerraformTaskV1@0 そのままでは使えなかった terraform planなどの標準出力を受け取れない terraformでexternal data sourceを使った場合に認証 が通らない
- 38. terraform plan結果をPRのコメント投稿したい まずterraform自体を動かすために Service Principalの認証を通したい terraformの要求するService Principalの認証情報 export ARM_CLIENT_ID="00000000-0000-0000-0000-000000000000" export ARM_CLIENT_SECRET="00000000-0000-0000-0000-000000000000" export ARM_SUBSCRIPTION_ID="00000000-0000-0000-0000-000000000000" export ARM_TENANT_ID="00000000-0000-0000-0000-000000000000”
- 39. terraform plan結果をPRのコメント投稿したい AzureCLI@2 タスクパラメータ addSpnToEnvironment: true 環境変数経由で servicePrincipalId, servicePrincipalKey, tenantId を参照できるようになる
- 40. terraform plan結果をPRのコメント投稿したい - task: AzureCLI@2 displayName: terraform plan inputs: addSpnToEnvironment: true azureSubscription: ${{ parameters.serviceConnection }} scriptLocation: inlineScript scriptType: bash inlineScript: | export ARM_SUBSCRIPTION_ID=$(az account show --query id --out tsv) export ARM_TENANT_ID=${tenantId} export ARM_CLIENT_ID=${servicePrincipalId} export ARM_CLIENT_SECRET=${servicePrincipalKey} terragrunt init
- 42. terraform plan結果をPRのコメント投稿したい APIコール時の認証に使うHTTPヘッダは、 ローカルとPipelineとで使い分ける必要がある ローカル Authorization: Basic BASE64(Personal Access Token) Pipeline Authorization: Bearer $(System.AccessToken)
- 43. terraform plan結果をPRのコメント投稿したい System.AccessTokenに必要な許可設定 Settings»Repos»Repositories»Security Build ServiceにContribute to pull requestsを許 可 PATに必要な許可設定 Code (Read, write, & manage)
- 44. 要件 [Want] Pull requestに含まれるファイルのみterraform applyし たい CI/CD時短 ProjectをまたいでPipelineをトリガしたい 自動でproduction環境でterraform plan
- 47. ProjectをまたいでPipelineをトリガしたい repositories resourceでは実現できなかった サポートに聞いたらDevOpsのリポジトリをトリガに する使い方は想定されていなかったとのこと resources: repositories: - repository: string # identifier (A-Z, a-z, 0-9, and underscore) type: enum # see the following "Type" topic name: string # repository name (format depends on `type`)
- 48. ツール群を作成 要件を実現するためのツール群を作成: ツール名 説明 merged-pr-id PR IDをcommit hashから取得 pr-files PRに含まれるファイルリストを取得 pr-comment PRにコメント投稿 tf-dirs terraform対象ディレクトリを列挙 tf-workspaces terraform対象workspaceを列挙
- 50. toolchainの動き
- 52. GitHub (Actions)との比較 DevOps GitHub (Actions) API認証(CI/CD) $(System.AccessToken) ローカルとPipelineとでHTTPヘッダ 指定方法が異なる secrets.GITHUB_TOKEN Pull Requestイベント Branch policies»Build Validation追加 on: pull_request Pull Request Idの取得 $(System.PullRequest.PullRequestId) 取れない時はDevOps APIでcommit hashを含むPRを走査 github.event.pull_request.number Pull Requestに含まれる ファイルリストの取得 PRに含まれるすべてのコミットにつ いて変更ファイルを取得 GET /repos/{owner}/{repo}/pulls/{pull_n umber}/files コメント投稿 POST /_apis/git/repositories/{repo}/pullRequ ests/{pull_number}/threads tfnotify使う
- 53. Thank you very much!
- 54. ご質問?
- 55. We’re hiring!