0. 前言

Terraform 的基礎(chǔ)用法請(qǐng)參考另一篇文章赵抢。

對(duì)于復(fù)雜的架構(gòu)，最好的辦法就是直接調(diào)用已有的官方module，不必自己重復(fù)造輪子吆倦。當(dāng)官方的module 不滿足需求说订，或者需要改造的時(shí)候抄瓦，就需要我們自己來(lái)寫(xiě)定制化的module了潮瓶。

換而言之，使用單一模塊來(lái)實(shí)現(xiàn)反復(fù)調(diào)用钙姊，多個(gè)模塊組合調(diào)用（模塊1的輸出是模塊2的輸入）毯辅。

1. AWS 例子

在AWS 環(huán)境，創(chuàng)建一個(gè)VM煞额。

1.1 目錄結(jié)構(gòu)：

.
├── dev
│   ├── main.tf
│   └── provider.tf
└── modules
    ├── ec2
    │   ├── instance.tf
    │   └── variables.tf
    └── vpc
        ├── networking.tf
        ├── output.tf
        └── variables.tf

modules目錄下面兩個(gè)子目錄代表了兩個(gè)模塊思恐，分別用于創(chuàng)建網(wǎng)絡(luò)和虛擬機(jī)，variables.tf 和 output.tf 代表了輸入和輸出膊毁，用于模塊的調(diào)用和模塊的交互胀莹。dev目錄下tf 文件用于調(diào)用module。

1.2 模塊文件介紹

1.2.1 vpc部分

下面所有的代碼都可以從官網(wǎng)的例子中拷貝婚温，比如搜索“terraform vpc”描焰，然后找示例。

創(chuàng)建VPC 以及子網(wǎng)

# file modules/vpc/networking.tf

resource "aws_vpc" "main" {
  cidr_block       = "${var.vpc_cidr}"

  tags = {
    Name = "RoyVPC"
  }
}

resource "aws_subnet" "main" {
  vpc_id     = "${aws_vpc.main.id}"
  cidr_block = "${var.subnet_cidr}"

  tags = {
    Name = "bastion"
  }
}

當(dāng)前模塊要調(diào)用的變量栅螟。

# file modules/vpc/variables.tf

variable "vpc_cidr" {
  default = "10.0.0.0/16"
}

variable "subnet_cidr" {
  default = "10.0.1.0/24"
}

其它模塊要用到荆秦，需要output 輸出。

# file modules/vpc/output.tf

output "subnet_id" {
  value = "${aws_subnet.main.id}"
}

1.2.2 ec2部分

這部分創(chuàng)建虛擬機(jī)嵌巷。

# file modules/ec2/instance.tf

resource "aws_instance" "web" {
  ami           = "${var.ami_id}"
  instance_type = "${var.instance_type}"
  subnet_id     = "${var.subnet_id}"
  key_name      = "royzeng"

  tags = {
    Name = "RoyBastion"
  }
}

本模塊中用到的變量

# file ec2/variables.tf

variable "instance_type" {
  default = "t2.micro"
}
variable "ami_id" {}
variable "subnet_id" {}

沒(méi)有output萄凤，這是功能測(cè)試，不需要向下一個(gè)模塊傳遞變量搪哪。

1.3 模塊調(diào)用

# file dev/provider.tf
provider "aws" {
  region     = "us-east-1"
}

上面的部分可以不寫(xiě)靡努，但不寫(xiě)的話，運(yùn)行時(shí)會(huì)提醒輸入晓折。

# file  dev/main.tf
module "my_vpc" {
  source      = "../modules/vpc"
  vpc_cidr    = "192.168.0.0/16"
  subnet_cidr = "192.168.1.0/24"
}

module "my_ec2" {
  source        = "../modules/ec2"
  ami_id        = "ami-0756fbca465a59a30"
  instance_type = "t2.micro"
  subnet_id     = "${module.my_vpc.subnet_id}"
}

這個(gè)文件就是調(diào)用了兩個(gè)模塊惑朦，source 定義了從哪里調(diào)用模塊，把變量輸入進(jìn)去漓概。需要注意的是第二個(gè)模塊漾月，變量里面需要輸入前一個(gè)模塊的輸出結(jié)果，它的調(diào)用格式是

  subnet_id     = "${module.my_vpc.subnet_id}"

表示變量 subnet_id 從模塊的實(shí)例 my_vpc 中調(diào)用 subnet_id胃珍，而這個(gè)值要從output 去找梁肿。這表明了兩個(gè)模塊的聯(lián)系。（模塊 my_vpc 的輸出是模塊 my_ec2 的輸入）

1.4 驗(yàn)證

$ cd dev
$ terraform init
....
$ terraform apply --auto-approve

1.5 實(shí)際的例子

上面的例子缺了很多組件觅彰，在實(shí)踐中是沒(méi)法用的吩蔑。下面以帶有公有子網(wǎng)和私有子網(wǎng) (NAT) 的 VPC 來(lái)舉例。

vpc-pub-pri

從這張圖可以看出填抬，有太多的組件要部署和配置烛芬，網(wǎng)絡(luò)方面就包括 VPC，subnets, route table, internet gateway, NAT gateway∽嘎Γ可以用已有模塊來(lái)完成仆潮，不用自己寫(xiě)代碼。（搜索 Terraform VPC module遣臼，找到官方模塊）性置。

下面的例子可以用在生產(chǎn)環(huán)境中：調(diào)用官方vpc模塊，部署一系列的組件揍堰；調(diào)用自定義的模塊來(lái)創(chuàng)建 instance（vm）蚌讼。官方模塊的輸出可以看說(shuō)明，也可以看output.tf 源碼个榕。

# file main.tf
provider "aws" {
  region     = "eu-west-3"
}

module "my_vpc" {
  source = "terraform-aws-modules/vpc/aws"
  version = "~> 2.0"

  name = "roy-vpc"
  cidr = "10.0.0.0/16"

  azs             = ["eu-west-3a",]
  private_subnets = ["10.0.101.0/24",]
  public_subnets  = ["10.0.1.0/24",]

  enable_dns_hostnames   = true
  enable_nat_gateway     = true
  enable_vpn_gateway     = false

  tags = {
    Terraform   = "true"
    Environment = "dev"
  }
}

module "security-group" {
  source  = "terraform-aws-modules/security-group/aws"
  version = "~> 3.0"
  name        = "royweb-sg"
  vpc_id      = "${module.my_vpc.vpc_id}"
  ingress_rules            = ["http-80-tcp", "https-443-tcp", "ssh-tcp"]
  ingress_cidr_blocks      = ["0.0.0.0/0"]
  egress_rules             = ["all-all"]
  egress_cidr_blocks       = ["0.0.0.0/0"]
}


module "my_front_ec2" {
  source                 = "terraform-aws-modules/ec2-instance/aws"
  version                = "~> 2.0"

  name                   = "roy-bastion"
  instance_count         = 1

  ami                    = "ami-0652eb0db9b20aeaf"
  instance_type          = "t2.micro"
  key_name               = "roy-import"
  monitoring             = true
  vpc_security_group_ids = ["${module.my_vpc.default_security_group_id}","${module.security-group.this_security_group_id}"]
  # 用到兩個(gè)security group，都引入默認(rèn)的那個(gè)芥喇，可以保證VCP內(nèi)部的機(jī)器能互聯(lián)西采。
  subnet_id              = "${module.my_vpc.public_subnets[0]}"

  tags = {
    Terraform   = "true"
    Environment = "dev"
  }
}

module "appsg" {
  source = "terraform-aws-modules/security-group/aws"
  name        = "app-service"
  description = "Security group for App within VPC"
  vpc_id      = "${module.my_vpc.vpc_id}"


  ingress_with_source_security_group_id = [
    {
    rule                     = "all-all"
    source_security_group_id = "${module.security-group.this_security_group_id}"
    },
  ]

  egress_with_source_security_group_id = [
    {
    rule                     = "all-all"
    source_security_group_id = "${module.security-group.this_security_group_id}"
    },
  ]
}
module "my_backend" {
  source                 = "terraform-aws-modules/ec2-instance/aws"
  version                = "~> 2.0"

  name                   = "roy-backend"
  instance_count         = 2

  ami                    = "ami-0652eb0db9b20aeaf"
  instance_type          = "t2.micro"
  key_name               = "roy-import"
  monitoring             = true
  vpc_security_group_ids = ["${module.my_vpc.default_security_group_id}","${module.appsg.this_security_group_id}"]
  subnet_id              = "${module.my_vpc.private_subnets[0]}"

  tags = {
    Terraform   = "true"
    Environment = "dev"
  }
}

2. Azure例子

這個(gè)例子是在Azure 環(huán)境創(chuàng)建 vnet 和 subnet，本來(lái)可以寫(xiě)得很簡(jiǎn)單继控，通過(guò)例子理清思路械馆，把邏輯鏈條搞清楚。

2.1 目錄結(jié)構(gòu)：

├── dev
│   └── test.tf
└─── modules
    ├── subnet
    │   ├── output.tf
    │   ├── subnet.tf
    │   └── variables.tf
    └── vnet
        ├── output.tf
        ├── variables.tf
        └── vnet.tf

說(shuō)明:

modules目錄下面兩個(gè)子目錄代表了兩個(gè)模塊武通，output.tf 和 variables.tf 用于輸出和輸入霹崎。dev目錄是代表了實(shí)例，實(shí)現(xiàn)模塊調(diào)用冶忱；還可以創(chuàng)建多個(gè)目錄尾菇，代表多個(gè)實(shí)例。

2.2 模塊文件介紹

2.2.1 vnet部分

# file vnet/vnet.tf

resource "azurerm_resource_group" "core" {
  name     = "${var.cluster_prefix}-rg"
  location = "${var.cluster_location}"
}

resource "azurerm_virtual_network" "core" {
  name                = "${var.cluster_prefix}-vnet"
  address_space       = ["${var.cluster_cidr}"]
  location            = "${azurerm_resource_group.core.location}"
  resource_group_name = "${azurerm_resource_group.core.name}"
}

這里面創(chuàng)建了 resource group 和 virtual network囚枪。里面涉及到了變量派诬，創(chuàng)建下面的文件來(lái)定義它們。

# file vnet/variables.tf

variable "cluster_prefix" {
  type        = "string"
  description = "The name of the cluster."
}

variable "cluster_location" {
  type        = "string"
  description = "The Azure region to use https://azure.microsoft.com/en-us/regions/"
}

variable "cluster_cidr" {
  type        = "string"
  description = "The IP range that will be used for the virtual network."
}

有一些結(jié)果在之后的模塊中要調(diào)用链沼，這就需要在當(dāng)前模塊輸出默赂。

# file vnet/output.tf

output "cluster_resource_group" {
  value = "${azurerm_resource_group.core.name}"
}

output "virtual_network" {
  value = "${azurerm_virtual_network.core.name}"
}

output "cluster_location" {
  value = "${var.cluster_location}"
}

output "cluster_cidr" {
  value = "${var.cluster_cidr}"
}

2.2.2 subnet部分

# file subnet/subnet.tf
resource "azurerm_subnet" "current" {
  name                 = "${var.subnet_name}"
  resource_group_name  = "${var.cluster_resource_group}"
  virtual_network_name = "${var.virtual_network}"
  address_prefix       = "${var.subnet_cidr}"
}

這里面又出現(xiàn)了 resource group 和 vnet，這在上一個(gè)模塊中出現(xiàn)過(guò)括勺，從這個(gè)角度來(lái)說(shuō)缆八，應(yīng)該把它合并到上一個(gè)模塊，減少重復(fù)的代碼疾捍。這個(gè)例子是為了演示過(guò)程奈辰，忽略?xún)?yōu)化問(wèn)題，在下面文件中重復(fù)定義變量拾氓。

# file subnet/variables.tf

variable "cluster_resource_group" {}
variable "virtual_network" {}
variable "subnet_name" {}
variable "subnet_cidr" {}

【注意】變量中的 cluster_resource_group 和 virtual_network 是上一個(gè)模塊的 output冯挎。也就是說(shuō)變量是通過(guò) output 來(lái)跨模塊傳遞的。

2.3 模塊調(diào)用

# file dev/test.tf

module "my_vnet" {
  source           = "../modules/vnet"
  cluster_prefix   = "roytest"
  cluster_location = "eastasia"
  cluster_cidr     = "10.0.0.0/16"
}

module "my_subnet" {
  source                 = "../modules/subnet"
  subnet_name            = "bastion"
  cluster_resource_group = "${module.my_vnet.cluster_resource_group}"
  virtual_network        = "${module.my_vnet.virtual_network}"
  subnet_cidr            = "10.0.1.0/24"
}

這個(gè)文件就是調(diào)用了兩個(gè)模塊，source 定義了從哪里調(diào)用模塊房官，把變量輸入進(jìn)去趾徽。需要注意的是第二個(gè)模塊，變量里面需要輸入前一個(gè)模塊的輸出結(jié)果翰守，它的調(diào)用格式是

  cluster_resource_group = "${module.my_vnet.cluster_resource_group}"
  virtual_network        = "${module.my_vnet.virtual_network}"

${module.my_vnet.virtual_network} 孵奶，module 表示從模塊里面獲取，my_vnet 是實(shí)例的名字（不是模塊的名字vnet）蜡峰，virtual_network 這個(gè)名字要與模塊中的output輸出相匹配了袁。

前面是大量的鋪墊，這一部分才是核心內(nèi)容湿颅，表明了跨模塊怎么實(shí)現(xiàn)調(diào)用的载绿。

2.4 驗(yàn)證

$ cd dev
$ terraform init
....
$ terraform apply --auto-approve

3. 改造自己的 module

從官網(wǎng) Registry 找到對(duì)應(yīng)模塊，確定對(duì)應(yīng) github 地址油航，克隆下來(lái)崭庸，修改對(duì)應(yīng)的內(nèi)容，于是就成了自定義模塊谊囚。

涉及到的核心知識(shí)點(diǎn)在上面的例子中已經(jīng)說(shuō)明怕享，具體改造情況（略）。