【Terraform学习】保护敏感变量(Terraform配置语言学习)

最新推荐文章于 2024-04-15 00:49:07 发布
最新推荐文章于 2024-04-15 00:49:07 发布
阅读量703 收藏
点赞数 1
分类专栏: terraform 文章标签: 数据库 前端 服务器 terraform
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerotoall/article/details/132185562
版权

实验步骤

创建 EC2 IAM 角色

  • 导航到IAM

  • 左侧菜单中,单击角色 。单击创建角色该按钮以创建新的 IAM 角色

  • 在创建角色部分,为角色选择可信实体类型

    • AWS 服务

    • 使用案例:EC2

创建IAM

 

 

  • 单击下一步

    • 添加权限:现在,您可以看到策略列表。按名称AdministratorAccess搜索权限并添加。

    • 单击下一步

    • 角色名称:输入 TERRAFORM_EC2

    • 已成功按名称 TERRAFORM_EC2 创建了一个 IAM 角色。

  • 注意:您可以使用其他名称创建角色,然后将其附加到 EC2 实例

启动 EC2 实例

  • 请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域。

  • 顶部菜单导航到 EC2

  • 左侧面板,单击"实例",然后单击"启动新实例"

(1)控制台启动实例

控制台启动实例

 

 

(2)选择系统镜像

选择系统镜像

 

(3)选择实例类型

选择实例类型

  

 

(4)配置实例

  • 实例数:输入 1

  • IAM角色:从列表中选择我们在上面创建的 IAM 角色

  • 将所有其他设置保留为默认值。单击"下一步:添加存储"

(5)添加存储

添加存储

  

(6)添加标签 

  • 添加标签:点击添加标签按钮

    • 键:Name

    • 值:MyEC2Instance

    • 点击下一步:配置安全组

(7) 配置安全组

  • 添加 SSH:

  . 选择类型: 选择 SSH
  . 协议:TCP
  . 端口范围:22
  . 源:选择"任何位置"

  • 点击下一步 审核和启动

(8) 审核启动

  • 检查所有选定的设置,无误点击启动

  • 选择现有密钥对,确认并单击启动实例

 

现有密钥

环境配置

  • SSH 连接到 EC2 实例

  • 以下命令切换到root权限

    • sudo su

  • 以下命令安装本实验所需软件

    • yum install git -y

  • 安装 Terraform: 地址

下载仓库代码模版部署

  • 您需要使用 git clone https://github.com/hashicorp/learn-terraform-sensitive-variables.git 命令将代码模版拉取到EC2实例中

  • 确保您这些文件在同一位置

  • 通过运行以下命令初始化 Terraform

    • terraform init

    • 注意:terraform init检查所有插件依赖项下载它们

  • 查看生成计划,请运行以下命令

    • terraform plan

  • 创建在 main.tf 配置文件中声明的所有资源 ,请运行以下命令

    • terraform apply

  • 您将能够看到将要创建的资源,通过输入 yes 批准所有资源的创建

  • terraform apply 命令最多可能需要 2 分钟才能创建资源

重构数据库凭据

  • 文本编辑器中打开main.tf。在文件底部附近,找到定义数据库的块重构此配置

  • 首先,variables.tf中声明数据库管理员用户名和密码的输入变量

variable "db_username" {
  description = "Database administrator username"
  type        = string
  sensitive   = true
}

variable "db_password" {
  description = "Database administrator password"
  type        = string
  sensitive   = true
}

  • 请注意,您已将变量声明为sensitive。现在更新main.tf以引用这些变量

resource "aws_db_instance" "database" {
  allocated_storage = 5
  engine            = "mysql"
  instance_class    = "db.t2.micro"
-  username          = "admin"
-  password          = "notasecurepassword"
+  username          = var.db_username
+  password          = var.db_password

  db_subnet_group_name = aws_db_subnet_group.private.name

  skip_final_snapshot = true
}

  • 如果您现在要执行部署,Terraform 会提示您输入这些新变量的值,因为您尚未为它们分配默认值。但是,手动输入值非常耗时且容易出错

  • 接下来,您将使用两种不同的方法来设置敏感变量值

使用tfvars文件设置值

  • Terraform 支持使用变量定义文件设置变量值。您可以使用多个变量定义文件,使用单独的文件来设置敏感值或机密值

  • 创建一个新文件secret.tfvars,用于为新变量赋值

db_username = "admin"
db_password = "insecurepassword"

  • 应用这些更改

    • terraform apply -var-file="secret.tfvars"

  • 因为您已将新变量标记为敏感变量,所以当您运行计划、应用或销毁命令时,Terraform 会输出<sensitive value>

使用环境变量设置值

  • 当Terraform运行时,它会在您的环境中查找与模式匹配的变量,并将这些值分配给配置中相应的Terraform变量

  • 使用环境变量为数据库管理员用户名和密码分配值

    • export TF_VAR_db_username=admin TF_VAR_db_password=adifferentpassword

  • 现在,运行terraform apply,Terraform 会将这些值分配给您的新变量

引用敏感变量

  • 在 Terraform 配置中使用敏感变量时,可以像使用任何其他变量一样使用它们

  • 将以下输出值添加到outputs.tf

output "db_connect_string" {
  description = "MySQL database connection string"
  value       = "Server=${aws_db_instance.database.address}; Database=ExampleDB; Uid=${var.db_username}; Pwd=${var.db_password}"
}

  • 现在应用此更改。Terraform 将引发错误,因为输出来自敏感变量

    • terraform apply

  • 现在将数据库连接字符串输出标记为sensitive使 Terraform 将其隐藏

output "db_connect_string" {
  description = "MySQL database connection string"
  value       = "Server=${aws_db_instance.database.address}; Database=ExampleDB; Uid=${var.db_username}; Pwd=${var.db_password}"
+  sensitive   = true
}

  • 应用此更改以查看 Terraform 现在将数据库连接字符串输出。

    • terraform apply

## ...
Outputs:

db_connect_string = <sensitive>

状态中的敏感值

  • 使用本地状态文件运行 Terraform 命令时,Terraform 会将状态存储为纯文本(包括变量值),即使您已将其标记为sensitive

  • Terraform 需要将这些值存储在您的状态中,以便它可以告诉您自上次应用配置以来是否更改了它们

terraform.tfstate
      "value": "Server=terraform-20210113192204255400000004.ct4cer62f3td.us-east-1.rds.amazonaws.com; Database=ExampleDB; Uid=admin; Pwd=adifferentpassword",
            "password": "adifferentpassword",
## ...

  • 由于 Terraform 状态可能包含敏感值,因此必须确保状态文件的安全以避免泄露此数据

向往风的男子
关注
专栏目录
Terraform变量使用
m0_56014908的博客
03-30 761
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
terraform-practices:学习Terraform的实践
03-21
地形实践 学习Terraform的实践
learning-terraform:学习Terraform的东西
03-08
学习平台 我在学习Terraform时所做的东西 剧本 提示与技巧 注释/等
terraform-basics:通过AWS学习Terraform的基础知识
04-14
地貌基础 通过Azure学习Terraform的基础知识 运行terraform init以下载相应的提供程序插件 1:terraform第一个工作脚本来创建单个VM 在单独的文件variable.tf中创建的变量 Azure帐户连接的connections.tf文件 仅适用于“输出”介绍。 运行“ terraform plan”和“ terraform apply”以创建资源。 2:在变量中添加列表并创建多个VM 以下是已完成任务的列表: 添加列表类型的计数变量 计算列表的长度。 每个虚拟机都有其自己的存储和nic,因此相应更改了脚本以遍历每个索引 元素介绍 输出进行了相应的调整。 已添加输出日志文件 运行“ terraform plan”和“ terraform apply”以创建资源。 3:添加地图变量,在terraform中使用连接功能 以下是已完成任务的列表: 添加
Terraform学习总结(1)——Terraform 简介
热门推荐
科技D人生
12-02 2万+
前言 在 DevOps 实践中,基础设施即代码如何落地是一个绕不开的话题。像 Chef,Puppet 等成熟的配置管理工具,都能够满足一定程度的需求,但有没有更友好的工具能够满足我们绝大多数的需求?笔者认为 Terraform 是一个很有潜力的工具,目前各大云平台也都支持的不错,尤其是使用起来简单明了。本文会简单的介绍一下 Terraform 相关的概念,然后通过一个小 demo 带大家一起进入 Terraform 的世界。说明:本文的演示环境为 ubuntu 16.04。 Terraform 是什么?
Terraform 学习总结(3)——Terraform 命令详解
科技D人生
04-12 8964
前言 Terraform 是用于安全有效地构建,更改和版本控制基础结构的工具。Terraform可以管理现有和流行的服务提供商以及定制的内部解决方案。配置文件向 Terraform 描述了运行单个应用程序或整个数据中心所需的组件。Terraform 生成执行计划,以描述达到预期状态所需执行的操作,然后执行该计划以构建所描述的基础结构。随着配置的更改,Terraform 能够确定更改的内容并创建可以应用的增量执行计划。Terraform 可以管理的基础结构包括低级组件,例如计算实例,存储和网络,以及高级组件
terraform-gke-starter:用于配置GKE的入门Terraform存储库
03-09
- **HCL**:代表使用了HashiCorp Configuration Language,Terraform配置语言。 **文件结构** 在`terraform-gke-starter-main`目录下,通常会包含以下文件和目录: - `main.tf`:主Terraform配置文件,包含了...
partinfra-terraform:参与基础结构的Terraform配置
02-04
2. **Terraform的HCL**:Terraform使用HashiCorp配置语言(HCL),这是一种简洁且强大的声明性语言。HCL允许用户定义资源、变量、数据源和提供者,以创建和管理基础设施。 3. **基础设施社区**:"partinfra-...
Go-从Terraform配置生成变量文件的简单工具
08-14
2. **Terraform变量**:变量允许用户在运行时动态地改变配置,增强了灵活性。它们可以在配置文件中声明,也可以在外部文件(如`.tfvars`)中定义。 3. **Go语言**:Google开发的Go语言,以其高效的性能、简洁的语法...
2021/08/01 Terraform 从入门到精通(一)
qq_42227818的博客
09-06 3207
课程结构 学习的目标 能够理解、使用和应用地形 知道什么时候使用不同的功能 在AWS中使用terraform 使用地形与Packer创建自定义图像 能够使用terraform应用DevOps技术 2. Terraform introduction infratstucture as code 假设您是云提供商的客户,您想启动一些机器,您可以进入web控制台,你可以开始启动一些新实例,但你必须手动操作,你总是需要通过一些表单,点击一些按钮,然后你就可以启动一个实例。Terraform允许你做同样的事情,
terraform-getting-started:Terraform-入门课程
04-11
terraform-getting-started Terraform-Ned Bellavance的多元视角入门课程。 要求 或 存取金钥编号(金钥) 秘密访问密钥(秘密) 执照 版权(c)
django-extra-sensitive-variables:全局审查 Django 错误报告中的一组默认变量名称
06-22
Django 额外敏感变量 extra_sensitive_variables是 Django 的第三方异常过滤器。 这允许您全局审查 Django 错误报告中的一组默认变量名称,而不管函数是否缺少@sensitive_*装饰器。 基本上,任何与settings.EXTRA_SENSITIVE_VARIABLES或settings.EXTRA_SENSITIVE_POST_PARAMETERS提供的名称匹配的变量都将被审查。 安装 通过 pip 安装包 pip install django-extra-sensitive-variables 通过覆盖settings.py DEFAULT_EXCEPTION_REPORTER_FILTER告诉 Django 使用额外敏感变量过滤器 DEFAULT_EXCEPTION_REPORTER_FILTER = 'extra_sensitive_va
Terraform入门教程,示例展示管理Docker和Kubernetes资源
chinaherolts2008的博客
07-05 340
1 简介 最近工作中用到了Terraform,权当学习记录一下,希望能帮助到其它人。 Terraform是一个可快速部署、方便管理IT基础架构配置的工具,它的理念是Infrastructure as Code,一切资源都是代码。如虚拟机、网络、DNS等,这些都通过代码来管理sql教程部署,而不是人工手动的去创建、删除等。它能大大减少人为操作的风险,能快速部署多套环境,适应多种硬件资源,特别适合云环境:AWS、GCP、Azure、阿里云等。 它通过丰富的Providers来管理多种类型的java.
【重要】Terraform官网发布的培训计划时间表
HashiCorpChina
07-09 336
2018年7月之后的在线培训计划:https://www.hashicorp.com/trainingAs you evaluate attending a HashiCorp training, it may be valuable to understand the motivations and intentions for our work overall and the training...
Terraform 语法 本地变量
小楼一夜听春雨,深巷明朝卖杏花
10-29 4031
可以通过locals关键子,语句块里面去声明我所需要的变量。在引用的时候是local.变量名。上面就是本地变量的使用方法。本地变量都是通过locals语句块来操作的。本地变量是方便我们测试,或者默认值初始化的时候是非常好用的。本地变量声明和使用就和我们之前定义的变量就不太一样了。变量分为局部变量和全局变量,上面是局部变量
Terraform学习Terraform配置变量Terraform配置语言学习
zerotoall的博客
07-28 804
Terraform学习Terraform配置变量Terraform配置语言学习) provider "aws" { - region = "us-west-2" + region = var.aws_region }
Terraform 实战:Terraform入门
人邮异步社区
04-15 5185
Terraform是一种部署技术,任何想要通过基础设施即代码(Infrastructure as Code,IaC)方法来置备和管理基础设施的人,都可以使用这种技术。基础设施指的主要是基于云的基础设施,不过从技术上讲,任何能够通过应用程序编程接口(Application Programming Interface,API)进行控制的东西都可以算作基础设施。基础设施即代码是通过机器可读的定义文件来管理和置备基础设施的过程的。我们使用IaC来自动完成原本要由人手动完成的过程。 所谓置备,指的是基础设施部署,而
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
最新发布
2401_84240431的博客
04-15 825
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Terraform 实战 | 万字长文
NewTyun的博客
04-12 5526
新钛云服已为您服务1456天(万字长文,建议PC 端观看效果更佳)Terraform 是什么Terraform(https://www.terraform.io/)是 HashiCorp 旗下的一款开源(Go 语言开发)的 DevOps 基础架构资源管理运维工具,可以看下对应的 DevOps 工具链:Terraform 可以安全高效的构建、更改和合并多个云厂商的各种服务...
将雾格式配置转换为Terraform变量文件的方法
4. 转换过程:fog_to_terraform工具会解析指定的雾文件,提取AWS相关的凭据信息,然后将这些信息格式化为Terraform变量的形式并输出到terraform.tfvars文件中。在输出的变量文件中,访问密钥和秘密访问密钥被转换为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值