fbpx

Github Action + TerraformでAzure リソースをプロビジョニングする

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

とある業務にてAzure リソースのプロビジョニングを頻繁に行う必要があり、Terraformを利用してコードを作成しデプロイしていました。しかしながら、Terraformを理解している人が少なく個人に依存し過ぎている傾向がありました。またターミナルからコマンド実行も手間がかかり面倒と感じることがありました。 そこでプロビジョニング作業簡略化を目指しGitHub ActionでTerraformを実行するツールを作成してみましたので今回はその一例を紹介したいと思います。ツールを利用することで誰でも簡単にAzure リソースのプロビジョニングを行うことができます。

ツール要件

  • (今回の例として)Azure Kubernates Service(以下AKS)をデプロイしたい
  • コマンド操作やTerraform,AKS構築に不慣れな人のためにGUIから簡単に操作できるようにしたい
  • ユーザーは必要項目を入力するだけでAKSをプロビジョニングしたい
  • 使い終わったら手軽に削除したい

構成図

  • Github ActionからTerraformを実行しAzureにAKSを作成する(リソースグループも同時に作成)
  • Terraform実行アカウントはAzure サービスプリンシパルを利用する
  • Terraform実行時に生成されるtfstateファイルはBlob Strageに保管する

手順

サービスプリンシパルの作成

サブスクリプションへのContributor権限を持つAzure サービスプリンシパルを作成します。出力結果は後の手順にて利用しますので控えときます。

$ az ad sp create-for-rbac --name "gha-terraform-demo-sp" --role contributor --scopes /subscriptions/{SubID}

{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "displayName": "gha-terraform-demo-sp",
  "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"
}

Azure Blob Storageの作成

Azure Blob Storageとtfstateファイル保管先となるコンテナーも作成します。

// リソースグループ・Blob Storage作成
$ BLOB_STORAGE_NAME=stghaterraformdemo
$ RG_NAME=rg-gha-terraform-demo
$ LOCATION=japaneast

$ az group create --location ${LOCATION} --resource-group ${RG_NAME}
$ az storage account create -n ${BLOB_STORAGE_NAME} -g ${RG_NAME} -l ${LOCATION}

// Blob Storage内にコンテナーを作成する
$ CONNECTION_STRING=$(az storage account show-connection-string -n ${BLOB_STORAGE_NAME} -g ${RG_NAME} --output tsv)
$ CONTAINER_NAME=ghaterraformtfstate
$ az storage container create -n ${CONTAINER_NAME} --connection-string ${CONNECTION_STRING}

Github Secretの登録

GithubにSecretを登録します。サービスプリンシパル作成時に控えた出力結果を使用します。

ARM_CLIENT_ID: <appId>
ARM_CLIENT_SECRET: <password>
ARM_SUBSCRIPTION_ID: <利用するAzure サブスクリプションID>
ARM_TENANT_ID: <tenant>

コードをgithubリポジトリにpushする

以下のディレクトリを作成します。

  • .github/workflows
  • terraform

terraform

ファイル、ディレクトリは以下のように構成します。

  • mainディレクトリ: コードのメイン処理、tfstateファイルの管理設定、プロバイダ、バージョンを定義するファイルを配置する
  • modulesディレクトリ: 作成するリソースをモジュール別に管理し呼び出すモジュールはmain/main.tfで定義する
terraform
├── main
│   ├── backend.tf
│   ├── main.tf
│   ├── provider.tf
│   └── variable.tf
└── modules
    ├── kubernetes
    │   ├── main.tf
    │   └── variable.tf
    └── resource_group
        ├── main.tf
        ├── output.tf
        └── variable.tf

以下のファイルを各ディレクトリに配置します

mainディレクトリ
// backend.tf 
terraform {
   backend "azurerm" {
       resource_group_name  = "rg-gha-terraform-demo" ##Blob Storageが存在するリソースグループ
       storage_account_name = "stghaterraformdemo" ##Blob Storage
       container_name       = "ghaterraformtfstate" ##コンテナ名
   }
}

// provider.tf
terraform {
  required_version = ">= 0.13"

  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "3.18.0"
    }
  }
}

provider "azurerm" {
  features {}
}

// main.tf
module "rg" {
source = "../modules/resource_group"


name = "rg-${var.id}"
location = var.location
}


module "aks" {
source = "../modules/kubernetes"


# common kubernetes config
location = var.location
resource_group_name = module.rg.name
name = "aks-${var.id}"
kubernetes_version = var.kubernetes_version
network_plugin = "azure"
ip_versions = ["IPv4"]


# default node_pool config
default_node_pool_auto_scaling = true
default_node_pool_node_count = 3
default_node_pool_vm_size ="Standard_E4a_v4"
default_node_pool_max_count = 5
default_node_pool_min_count = 1


# second node_pool config
second_node_pool_enabled = var.second_node_pool_enabled ? 1 : 0
second_node_pool_auto_scaling = true
second_node_pool_node_count = 3
second_node_pool_vm_size = "Standard_DS2_v2"
second_node_pool_max_count = 5
second_node_pool_min_count = 1


depends_on = [module.rg.rg]
}

// variable.tf
variable "id" {}
variable "location" {}

variable "kubernetes_version" {
    default = null
}

variable "second_node_pool_enabled" {
    type = bool
    default = false
}
modules/resource_group
// main.tf
resource "azurerm_resource_group" "rg" {
  name     = var.name
  location = var.location
}

// output.tf
output "name" {
  value     = azurerm_resource_group.rg.name
}


// variable.tf
variable "name" {}

variable "location" {}
modules/kubernates
// main.tf
resource "azurerm_kubernetes_cluster" "aks" {

    name                = var.name
    location            = var.location
    resource_group_name = var.resource_group_name
    dns_prefix          = "aks-${var.name}-dns"
    kubernetes_version  = "${var.kubernetes_version}"

    default_node_pool {
        name                   = "nodepool"
        zones                  = ["1","2","3"]
        node_count             = var.default_node_pool_node_count
        vm_size                = var.default_node_pool_vm_size
        max_pods               = "200"
        enable_auto_scaling    = var.default_node_pool_auto_scaling
        # If enable_auto_scaling is set to true, max_count and min_count is required.
        max_count              = var.default_node_pool_max_count
        min_count              = var.default_node_pool_min_count
    }
    network_profile {
        network_plugin     = var.network_plugin
        ip_versions        = var.ip_versions
    }

    identity {
        type = "SystemAssigned"
    }
}

resource "azurerm_kubernetes_cluster_node_pool" "secondnodepool" {
    count = var.second_node_pool_enabled
    name                   = "nodepool2"
    kubernetes_cluster_id  = azurerm_kubernetes_cluster.aks.id
    node_count             = var.second_node_pool_node_count
    vm_size                = var.second_node_pool_vm_size
    max_pods               = "200"
    enable_auto_scaling    = var.second_node_pool_auto_scaling
    # If enable_auto_scaling is set to true, max_count and min_count is required.
    max_count              = var.second_node_pool_max_count
    min_count              = var.second_node_pool_min_count
}

// variable.tf
variable "location" {}

variable "resource_group_name" {}

variable "kubernetes_version" {
    default = "1.26.3"
}

variable "name" {}

variable "default_node_pool_node_count" {
  default = 3
}

variable "default_node_pool_vm_size" {
  default = "Standard_DS2_v2"
}

variable "default_node_pool_max_count" {
  default = 3
}

variable "default_node_pool_min_count" {
  default = 3
}

variable "default_node_pool_auto_scaling" {
    default = false
}

variable "second_node_pool_enabled" {
  default = 0
}

variable "second_node_pool_node_count" {
  default = 3
}

variable "second_node_pool_vm_size" {
  default = "Standard_DS2_v2"
}

variable "second_node_pool_max_count" {
  default = 3
}

variable "second_node_pool_min_count" {
  default = 3
}

variable "second_node_pool_auto_scaling" {
    default = false
}

variable "network_plugin" {
    default = "azure"
}

variable "ip_versions" {
    default = ["IPv4"]
}

variable "network_policy" {
    default = null
}

.github/workflows

実行するworkflowファイルを配置します。今回はAKSのデプロイ/削除をしたいので2つのworkflowファイルを作成します。

deploy.yaml
name: Deploy gha-terraform-demo

on:
  workflow_dispatch:
    inputs:
      common_name:
        description: リソースid
        required: true
        type: string 
        default: gha-terraform-demo
      aks_version:
        description: AKSのバージョン
        required: true
        type: string   
        default: 1.26.3
      add_node_pool:
        description: ノードプールを追加する
        required: false
        type: boolean

jobs:
  terraform:
    name: 'Terraform'
    env:
      ARM_CLIENT_ID: ${{ secrets.ARM_CLIENT_ID }}
      ARM_CLIENT_SECRET: ${{ secrets.ARM_CLIENT_SECRET }}
      ARM_SUBSCRIPTION_ID: ${{ secrets.ARM_SUBSCRIPTION_ID }}
      ARM_TENANT_ID: ${{ secrets.ARM_TENANT_ID }}
      TF_VAR_location: Japan East

      TF_VAR_id: ${{ inputs.common_name }}
      TF_VAR_kubernetes_version: ${{ inputs.aks_version }}
      TF_VAR_second_node_pool_enabled: ${{ inputs.add_node_pool }}


    runs-on: ubuntu-latest
 
    defaults:
      run:
        shell: bash

    steps:
    - name: Checkout
      uses: actions/checkout@v2

    - name: 'Setup Terraform CLI'
      uses: hashicorp/setup-terraform@v1
      with:
        terraform_version: 1.4.6

    - name: 'Terraform init'
      run: terraform init  -backend-config=key=${TF_VAR_id}.tfstate
      working-directory: terraform/main

    - name: 'Terraform plan'
      run: terraform plan -lock=false
      working-directory: terraform/main

    - name: 'Terraform apply'
      run: terraform apply -auto-approve -lock=false
      working-directory: terraform/main
destroy.yaml
name: Destroy gha-terraform-demo

on:
  workflow_dispatch:
    inputs:
      common_name:
        description: リソースid
        required: true
        type: string 
        default: gha-terraform-demo

jobs:
  terraform:
    name: 'Terraform'
    env:
      ARM_CLIENT_ID: ${{ secrets.ARM_CLIENT_ID }}
      ARM_CLIENT_SECRET: ${{ secrets.ARM_CLIENT_SECRET }}
      ARM_SUBSCRIPTION_ID: ${{ secrets.ARM_SUBSCRIPTION_ID }}
      ARM_TENANT_ID: ${{ secrets.ARM_TENANT_ID }}
      TF_VAR_location: Japan East

      TF_VAR_id: ${{ inputs.common_name }}

    runs-on: ubuntu-latest
 
    defaults:
      run:
        shell: bash

    steps:
    - name: Checkout
      uses: actions/checkout@v2

    - name: 'Setup Terraform CLI'
      uses: hashicorp/setup-terraform@v1
      with:
        terraform_version: 1.4.6

    - name: 'Terraform init'
      run: terraform init  -backend-config=key=${TF_VAR_id}.tfstate
      working-directory: terraform/main


    - name: 'Terraform destroy'
      run: terraform destroy -auto-approve
      working-directory: terraform/main

Github ActionでWorkflowを実行する

作成したworkflowを実行します。[Run workflow]を押下し必要項目を入力し実行します。しばらくしたらJobが起動し成功(緑)/失敗(赤)の結果が確認できます。

  • リソースid: 作成するAzure リソースにユニークな名前をつけます
  • AKSのバージョン:使いたいAKS バージョンを指定します
  • ノードプールを追加する:オプション機能としてノードプールを追加するかチェックします

Azure上にリソースが作成されていることが確認できます。

使い終わったら削除用workflowを実行してリソースを削除します。

ひとこと

ツールの導入によりプロビジョニングの手順が劇的に簡略化され、その過程で生じる手間やエラーが大幅に削減されました。また作業の効率化に寄与するだけでなく正確性も向上させる効果もあります。

この取り組みを通じて今後もこのような自動化ツールを導入することで作業の効率化や正確性向上を実現したいと思います。

新規CTA