Question

Я написал простой модуль для предоставления переменной AWS с номером AWS VPC.Он создает таблицы маршрутов, шлюзы, маршруты и т. Д., Но у меня возникли проблемы с сохранением части групп безопасности СУХОЙ, т. Е. С возможностью повторного использования модуля при указании групп безопасности.

Это так близко, как яможно получить:

varibles.tf:

variable "staging_security_groups" {
  type = "list"
  default = [ {
      "name" = "staging_ssh"
      "from port" = "22"
      "to port" = "22"
      "protocol" = "tcp"
      "cidrs" = "10.0.0.5/32,10.0.0.50/32,10.0.0.200/32"
      "description" = "Port 22"
  } ]
}

main.tf:

resource "aws_security_group" "this_security_group" {
  count = "${length(var.security_groups)}"

  name        = "${lookup(var.security_groups[count.index], "name")}"
  description = "${lookup(var.security_groups[count.index], "description")}"
  vpc_id      = "${aws_vpc.this_vpc.id}"

  ingress {
    from_port   = "${lookup(var.security_groups[count.index], "from port")}"
    to_port     = "${lookup(var.security_groups[count.index], "to port")}"
    protocol    = "${lookup(var.security_groups[count.index], "protocol")}"
    cidr_blocks = ["${split(",", lookup(var.security_groups[count.index], "cidrs"))}"]
  }

  egress {
    from_port       = 0
    to_port         = 0
    protocol        = "-1"
    cidr_blocks     = ["0.0.0.0/0"]
  }

  tags {
    Name = "${lookup(var.security_groups[count.index], "name")}"
    environment = "${var.name}"
    terraform = "true"
  }
}

Теперь это нормально, если вы хотите создатьгруппа безопасности на порт :) Что мне действительно нужно , так это , это какой-то способ вызвать ingress количество значений в переменной staging_security_groups[THE SECURITY GROUP].from_port (прошу прощения за выдуманную запись).

Marko Bursac · Answer 1 · 25 марта 2019

Мне удалось создать действительно простой, но динамичный модуль группы безопасности, который вы можете использовать.Идея здесь в том, чтобы иметь возможность добавить любой порт, который вы пожелаете, и добавить к этому порту любой диапазон ips, который вам нравится.Вы даже можете удалить выход из модуля, так как он будет создан по умолчанию, или следовать идее, которую я использовал во входе, чтобы у вас были детальные правила выхода (если вы этого хотите).

module / sg / sg.tf

  data "aws_subnet_ids" "selected" {
  vpc_id = "${var.data_vpc_id}"
}

resource "aws_security_group" "main" {
  name        = "${var.sg_name}-sg"
  vpc_id      = "${var.data_vpc_id}"
  description = "Managed by Terraform"
  ingress     = ["${var.ingress}"]

  lifecycle {
    create_before_destroy = true
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

module / sg / vars.tf

variable "sg_name" {}

variable "data_vpc_id" {}

variable "ingress" {
  type    = "list"
  default = []
}

ingress var должен иметь тип list .Если вы вызываете vpc id вручную, вам не нужен бит данных в модуле, я вызываю мой vpc_id из состояния terraform, которое хранится в s3.

main.tf

module "aws_security_group" {
  source = "module/sg/"

  sg_name     = "name_of_sg"
  data_vpc_id = "${data.terraform_remote_state.vpc.vpc_id}"

  ingress = [
    {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
      description = "Managed by Terraform"
    },
    {
      from_port   = 0
      to_port     = 100
      protocol    = "tcp"
      cidr_blocks = ["10.10.10.10/32"]
      description = "Managed by Terraform"
    },
    {
      from_port   = 2222
      to_port     = 2222
      protocol    = "tcp"
      cidr_blocks = ["100.100.100.0/24"]
      description = "Managed by Terraform"
    },
  ]
}

Вы можете добавить столько входных блоков, сколько вам нужно, у меня есть только 3 для целей тестирования.Надеюсь, что это поможет.
Примечание : Вы можете следовать этой идее для многих ресурсов, таких как RDS, где вам нужно указать параметры в группе параметров или даже в тегах.Приветствия

Brandon Miller · Answer 2 · 01 июня 2018

Вы можете посмотреть, используя aws_security_group_rule вместо того, чтобы встроить свои правилаЗатем вы можете создать такой модуль:

module / sg / sg.tf

resource "aws_security_group" "default" {
  name        = "${var.security_group_name}"
  description = "${var.security_group_name} group managed by Terraform"

  vpc_id = "${var.vpc_id}"
}

resource "aws_security_group_rule" "egress" {
  type              = "egress"
  from_port         = 0
  to_port           = 0
  protocol          = "-1"
  cidr_blocks       = ["0.0.0.0/0"]
  description       = "All egress traffic"
  security_group_id = "${aws_security_group.default.id}"
}

resource "aws_security_group_rule" "tcp" {
  count             = "${var.tcp_ports == "default_null" ? 0 : length(split(",", var.tcp_ports))}"
  type              = "ingress"
  from_port         = "${element(split(",", var.tcp_ports), count.index)}"
  to_port           = "${element(split(",", var.tcp_ports), count.index)}"
  protocol          = "tcp"
  cidr_blocks       = ["${var.cidrs}"]
  description       = ""
  security_group_id = "${aws_security_group.default.id}"
}

resource "aws_security_group_rule" "udp" {
  count             = "${var.udp_ports == "default_null" ? 0 : length(split(",", var.udp_ports))}"
  type              = "ingress"
  from_port         = "${element(split(",", var.udp_ports), count.index)}"
  to_port           = "${element(split(",", var.udp_ports), count.index)}"
  protocol          = "udp"
  cidr_blocks       = ["${var.cidrs}"]
  description       = ""
  security_group_id = "${aws_security_group.default.id}"
}

modules / sg / variables.tf

variable "tcp_ports" {
  default = "default_null"
}

variable "udp_ports" {
  default = "default_null"
}

variable "cidrs" {
  type = "list"
}

variable "security_group_name" {}

variable "vpc_id" {}

Использовать модульв вашем main.tf

module "sg1" {
  source              = "modules/sg"
  tcp_ports           = "22,80,443"
  cidrs               = ["10.0.0.5/32", "10.0.0.50/32", "10.0.0.200/32"]
  security_group_name = "SomeGroup"
  vpc_id              = "${aws_vpc.this_vpc.id}"
}

module "sg2" {
  source              = "modules/sg"
  tcp_ports           = "22,80,443"
  cidrs               = ["10.0.0.5/32", "10.0.0.50/32", "10.0.0.200/32"]
  security_group_name = "SomeOtherGroup"
  vpc_id              = "${aws_vpc.this_vpc.id}"
}

Ссылки:

Почему необязательное исключение ресурса с количеством выглядит следующим образом ( source ):

count             = "${var.udp_ports == "default_null" ? 0 : length(split(",", var.udp_ports))}"

И переменная установлена на:

variable "udp_ports" {
  default = "default_null"
}

Как сохранить использование Terraform aws_security_group DRY

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

module / sg / sg.tf

modules / sg / variables.tf

Использовать модульв вашем main.tf

Ссылки:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как сохранить использование Terraform aws_security_group DRY

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

module / sg / sg.tf

modules / sg / variables.tf

Использовать модульв вашем main.tf

Ссылки:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы