terraformer 饥荒（《Terraform 101 从入门到实践》 Terraform在公有云GCP上的应用）

时间2025-06-02 12:12:09分类IT科技浏览4158

导读：《Terraform 101 从入门到实践》这本小册在南瓜慢说官方网站和GitHub两个地方同步更新，书中的示例代码也是放在GitHub上，方便大家参考查看。...

《Terraform 101 从入门到实践》这本小册在南瓜慢说官方网站和GitHub两个地方同步更新，书中的示例代码也是放在GitHub上，方便大家参考查看。

Terraform支持的公有云有很多，如AWS 、Azure 、Google、Alibaba等。将Terraform应用于公有云，才最能发挥其强大的功能。

初始化GCP项目

创建一个新项目

首先我们需要初始化一个GCP项目。GCP给开发者提供了免费试用的服务，我们可以在不花钱的情况下学习GCP的功能。

要使用GCP ，我们需要创建一个项目，它所有的资源都是在项目之下管理的：

创建Service Account

在实际开发中，我们不能使用自己的账号在做操作，最好的方式是创建一个服务账号（Service Account），这应该也是所有云平台都推荐的方式。创建位置如下：

输入账号名字：

选择角色，为了方便，我直接选择Owner，会拥有所有权限，但实际应用肯定不能这样，要做好隔离：

创建密钥文件

对于Service Account，不是通过用户名密码来授权的，而是通过密钥文件，创建如下：

选择新建一个密钥，并格式为json 。创建后，会自动下载key文件。

设置gcloud SDK

Key文件拿到后，我们可以设置环境变量：GOOGLE_APPLICATION_CREDENTIALS：

$ export GOOGLE_APPLICATION_CREDENTIALS=/Users/larry/Software/google-cloud-sdk/pkslow-admin-for-all.json

激活Service Account：

$ gcloud auth activate-service-account admin-for-all@pkslow.iam.gserviceaccount.com --key-file=${GOOGLE_APPLICATION_CREDENTIALS}

设置SDK的项目ID：

$ gcloud config set project pkslow

检查一下设置是否正确：

$ gcloud auth list Credentialed Accounts ACTIVE ACCOUNT * admin-for-all@pkslow.iam.gserviceaccount.com To set the active account, run: $ gcloud config set account `ACCOUNT` $ gcloud config list [core] account = admin-for-all@pkslow.iam.gserviceaccount.com disable_usage_reporting = True project = pkslow Your active configuration is: [default]

使用gcloud创建Pub/Sub

SDK设置好后，就可以使用了，我们使用它来创建Pub/Sub试试。创建主题和订阅：

$ gcloud pubsub topics create pkslow-test Created topic [projects/pkslow/topics/pkslow-test]. $ gcloud pubsub subscriptions create pkslow-sub --topic=pkslow-test Created subscription [projects/pkslow/subscriptions/pkslow-sub].

检查是否创建成功：

$ gcloud pubsub topics list --- name: projects/pkslow/topics/pkslow-test $ gcloud pubsub subscriptions list --- ackDeadlineSeconds: 10 expirationPolicy: ttl: 2678400s messageRetentionDuration: 604800s name: projects/pkslow/subscriptions/pkslow-sub pushConfig: {} topic: projects/pkslow/topics/pkslow-test

在浏览器查看，发现已经成功创建了：

Terraform创建Pub/Sub

下载Terraform插件

我们需要安装GCP的Terraform插件来管理GCP资源：

# 设置插件目录 $ export TERRAFORM_PLUGIN=/Users/larry/Software/terraform/plugins # 创建目录 $ mkdir -p ${TERRAFORM_PLUGIN}/registry.terraform.io/hashicorp/google/4.0.0/darwin_amd64 $ cd ${TERRAFORM_PLUGIN}/registry.terraform.io/hashicorp/google/4.0.0/darwin_amd64 # 下载 $ wget https://releases.hashicorp.com/terraform-provider-google/4.0.0/terraform-provider-google_4.0.0_darwin_amd64.zip # 解压 $ unzip terraform-provider-google_4.0.0_darwin_amd64.zip

准备Terraform代码

需要提供Terraform代码理管理Pub/Sub ，更多细节请参考： Terrafrom GCP.

版本文件version.tf:

terraform { required_version = "= 1.0.11" required_providers { google = { source = "hashicorp/google" version = "= 4.0.0" } } }

主文件main.tf:

provider "google" { project = "pkslow" } resource "google_pubsub_topic" "pkslow-poc" { name = "pkslow-poc" } resource "google_pubsub_subscription" "pkslow-poc" { name = "pkslow-poc" topic = google_pubsub_topic.pkslow-poc.name labels = { foo = "bar" } # 20 minutes message_retention_duration = "1200s" retain_acked_messages = true ack_deadline_seconds = 20 expiration_policy { ttl = "300000.5s" } retry_policy { minimum_backoff = "10s" } enable_message_ordering = true }

初始化和变更

指定插件目录初始化：

$ terraform init -plugin-dir=${TERRAFORM_PLUGIN}

使变更生效，就会在GCP上创建对应的资源：

$ terraform apply -auto-approve

如果没有发生错误，则意味着创建成功，我们检查一下：

$ gcloud pubsub topics list --- name: projects/pkslow/topics/pkslow-poc $ gcloud pubsub subscriptions list --- ackDeadlineSeconds: 20 enableMessageOrdering: true expirationPolicy: ttl: 300000.500s labels: foo: bar messageRetentionDuration: 1200s name: projects/pkslow/subscriptions/pkslow-poc pushConfig: {} retainAckedMessages: true retryPolicy: maximumBackoff: 600s minimumBackoff: 10s topic: projects/pkslow/topics/pkslow-poc

注意：我们并没有提供任何密码或密钥，那Terraform怎么可以直接操作我的GCP资源呢？因为它会根据环境变量GOOGLE_APPLICATION_CREDENTIALS来获取。

发送和接收消息

我们通过gcloud来发送消息到Pub/Sub上：

$ gcloud pubsub topics publish pkslow-poc --message="www.pkslow.com" messageIds: - 3491736520339885 $ gcloud pubsub topics publish pkslow-poc --message="Larry Deng" messageIds: - 3491738650256958 $ gcloud pubsub topics publish pkslow-poc --message="Hi, pkslower" messageIds: - 3491739306095970

从Pub/Sub拉取消息：

$ gcloud pubsub subscriptions pull pkslow-poc --auto-ack

我们还能在GCP界面上监控对应的队列，十分方便：

通过Google Cloud Storage(GCS)管理Terraform的状态State

管理Terraform状态文件的最佳方式是通过云端的统一的存储，如谷歌云就用GCS 。

首先要创建一个Bucket：

$ gsutil mb -p pkslow -l us-west1 -b on gs://pkslow-terraform Creating gs://pkslow-terraform/... $ gsutil ls gs:// gs://pkslow-terraform/

然后在Terraform文件中配置对应的信息：

terraform { backend "gcs" { bucket = "pkslow-terraform" prefix = "state/gcp/pubsub" } }

初始化后，就会在Bucket上创建对应的目录：

$ terraform init -plugin-dir=${TERRAFORM_PLUGIN}

变更生效：

$ terraform apply -auto-approve

我们在浏览器查看一下，发现已经成功状态了对应的状态文件：

通过远程的云端，不仅可以存入状态文件，也可以从状态文件读取数据，如一些输出变量。比如模块A创建了一个VM ，而我们可能通过这种方式获取它的IP ，以便在其它模块使用。大致的配置如下：

data "terraform_remote_state" "foo" { backend = "gcs" config = { bucket = "terraform-state" prefix = "prod" } } resource "template_file" "bar" { template = "${greeting}" vars { greeting = "${data.terraform_remote_state.foo.greeting}" } }