Как сделать итерацию по серверам в Terraform?

Question

[Vitaly Karasik]

У меня есть десяток серверов Transfer Server, и два десятка пользователей.
Мне нужно пройти по списку серверов и создать по два пользователя на сервере.
Читал несколько док-тов (https://blog.gruntwork.io/terraform-tips-tricks-lo... и т.п.) и пробовал, но не получается.
Terraform самый новый - 1.0.3.
Посоветуйте, пож-ста.

Comments

[Евгений]

но при чем тут терраформ?

[Vitaly Karasik]

Евгений, я хочу это сделать Terraform

Answer 1

[Евгений]

Vitaly Karasik

Евгений, я хочу это сделать Terraform

Terraform - инструмент для провижининга инфраструктуры. tf управляет ресурсами инфраструктуры и хранит их состояние в стейте для того чтобы просчитывать изменения при изменении параметров или кода
Пользователи на ваших серверах - это уже не инфраструктура, они никак не фигурируют (и не могут без костылей) в стейте tf, а значит именно управлять ими tf не будет.
Вы, конечно, можете использовать костыль в виде null resource запускающего просто sh\posh\cmd скрипт, который откуда то возьмет данные для подключения к вашим серверам, данные о пользователях которых надо создать
Терраформ этим ресурсом по сути не управляет, он только выполнит\перевыполнит(по триггерам на состояние других ресурсов в tf) ваш скрипт. О небезопасности хранения учетных данных таким образом думаю не стоит напоминать.
Аналогично вместо скрипта может быть ансибл\шеф (возможно через провайдер) или что-то другое так же запускаемое терраформом (но стейт созданных "ресурсов"=пользователей хранить будет опять же не терраформ, а значит об управлении речь не идет)
Не надо плоскогубцами забивать гвозди. Да, в некоторых случаях это возможно сделать, но это создает больше проблем чем решает
Кстати, намек как плоскогубцами забить гвоздь содержится в описании null_resource - ссылка выше.

Comments

[Vitaly Karasik]

Евгений, спасибо за подробный ответ.
И сорри - в попытке упростить свой вопрос я упомянул EC2, хотя на самом деле у меня AWS Transfer Server (https://aws.amazon.com/aws-transfer-family). В отличие от EC2, там пользователи вполне "прозрачны" для Terraform.
И запутался я с вложенными циклами в Terraform.

[Евгений]

тогда вопрос надо бы обновить - может быть какой нибудь upd с конкретизацией напишете?
ну и версию tf которой пользуетесь тоже напишите, вдруг что то древнее )

[Vitaly Karasik]

 сделано

[Евгений]

resource "aws_transfer_user" "foo1" {
  for_each = toset( ["s-1234567","s-1234568","s-1234569"] )
  server_id = each.key
  user_name = "tftestuser1"
  role      = aws_iam_role.foo.arn

  home_directory_type = "LOGICAL"
  home_directory_mappings {
    entry  = "/test.pdf"
    target = "/bucket3/test-path/tftestuser.pdf"
  }
}
resource "aws_transfer_user" "foo2" {
  for_each = toset( ["s-1234567","s-1234568","s-1234569"] )
  server_id = each.key
  user_name = "tftestuser2"
  role      = aws_iam_role.foo.arn

  home_directory_type = "LOGICAL"
  home_directory_mappings {
    entry  = "/test.pdf"
    target = "/bucket3/test-path/tftestuser.pdf"
  }
}

вот такая конструкция не работает что ли?

[Vitaly Karasik]

Евгений, во-первых, спасибо за терпение и ответы.
Всегда раздражаюсь, когда люди плохо формулируют вопрос, но тут я сам виноват.
Вот тут наверно более удачно https://discuss.hashicorp.com/t/how-to-iterate-ove....
На входе у меня 10 названий, по ним надо сделать 10 S3 buckets, на каждый bucket поднять Transfer Server с двумя пользователями.
Я отметил ваш ответ решением, поскольку дальше уже неудобно бесплатно морочить голову.
Если у меня не получится самому сочинить я напишу в whatsapp|telegram и попрошу платную консультацию.

[Евгений]

ааа, вы пытаетесь сделать двойную итерацию? :)
одну по серверам и вторую по пользователям, верно?

[Vitaly Karasik]

Да, вот это у меня и не получается в Terraform.
Точнее, по buckets и Transfer Servers, пользователей всего два, можно два блока написать.

[Евгений]

мне не хватает контекста как надо работать с transfer server ресурсами чтобы посоветовать что-то более внятное, но попробуйте подойти с другой стороны: терраформ умеет делать итерацию по set или map

возможно вам просто надо получить map вида (юзеры и сервера как пример)
key; value
user1; s-0001
user1; s-0002
user2; s-0001
user1; s-0003
user2; s-0003
и сделать for_each по этому map-у

Или же сделать for_each = toset(user1,user2) для модуля, внутри которого будет for_each = toset(s-0001,s-0002,s-0003)

Это для примера, не очень в курсе как s3 бакет участвует в работе transfer server - не пользовался еще ими

Answer 2

[Василий Шахунов]

Вообще ansible такое должен делать.
Terraform для этой задачи можно использовать только при создании новых серверов так как внутреннее состояние сервера никак не отражается в состоянии терраформа.
Классическое решение это использование user data атрибут в конфигурации ec2 инстанса.

Comments

[Vitaly Karasik]

У меня Transfer Server, там конфигурация пользователей вполне видна.

[Василий Шахунов]

Vitaly Karasik, лучше, наверное, код опубликовать что вы пытались сделать