<aside> 🙇‍♀️ Kakaoenterprise 인턴 수행 중 진행했던 발표 자료입니다.

</aside>

**tf-aws-provider**
	ㄴ 📁 global
		ㄴ 📁 s3  # Remote State Storage(s3 bucket) 
			ㄴ 📄 main.tf
			ㄴ 📄 output.tf
	ㄴ 📁 stage
		ㄴ 📁 datastores
			ㄴ 📁 mysql # Database
				ㄴ 📄 main.tf
				ㄴ 📄 var.tf
				ㄴ 📄 output.tf
		ㄴ 📁 services
			ㄴ 📁 webserver-cluster # ASG(EC2 instances) + ELB
				ㄴ 📄 main.tf
				ㄴ 📄 var.tf
				ㄴ 📄 data.tf
				ㄴ 📄 output.tf

0️⃣ AWS Provider 설정

provider "aws" {
  region = "us-east-1"
}

1️⃣ ASG로 웹서버 클러스터 구성하기

aws_security_group : resource

• 리소스에 대한 액세스 권한을 제한하기 위해 보안그룹 리소스

aws_launch_configuration : resource

• EC2 인스턴스를 ASG에 설정하는 시작 구성(launch configuration)을 생성
• aws_instance 리소스의 매개변수와 항목이 거의 비슷

aws_autoscaling_group : resource

• ASG를 생성

aws_availability_zones : data

• ASG를 원활하게 동작시키기 위해서는 availability_zones 값을 하나 이상 정의해야 함
• availability_zone 값?
  • ASG를 통해 생성되는 EC2 인스턴스를 어느 가용 영역에 배치할지를 정하는 설정
• AZ
  • AWS의 독립된 데이터 센터

stage/services/webserver-cluster/main.tf

## (1) 보안 그룹 설정 ##
resource "aws_security_group" "elb" {
  name = "terraform-elb-instance"

  # 포트 80번 트래픽을 확인한 후, 연동
  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"] # 인터넷이 연결된 어느곳에서라도 접속
  }

  # 설정 리소스와 관련된 리소스이기에 create_before_destroy = true
  lifecycle {
    create_before_destroy = true
  }
}

## (2) EC2 인스턴스를 ASG에 설정하는 시작 구성 ##
resource "aws_launch_configuration" "example"{
  image_id = "ami-40d28157"
  instance_type = "t2.micro"
  security_groups = ["${aws_security_group.elb.id}"]

  # EC2 인스턴스에 포트 번호를 설정하는 비지박스 부분
  # - EC2 인스턴스의 사용자 데이터 설정을 통해 "Hello, World" 스크립트를 인스턴스 기동시 수행할 수 있게 된다.
  user_data = <<-EOF
#!/bin/bash
echo "Hello, World" >> index.html
nohup busybox httpd -f -p "${var.server_port}" &
EOF

  lifecycle {
    create_before_destroy = true
  }

}

## (3) ASG 생성 ##
resource "aws_autoscaling_group" "example" {
  launch_configuration = "${aws_launch_configuration.example.id}"
  availability_zones = "${data.aws_availability_zones.all.names}"

  max_size = 10
  min_size = 2

  tag {
    key = "Name"
    value = "terraform-asg-example"
    propagate_at_launch =  true
  }
}

stage/services/webserver-cluster/data.tf

## aws 가용영역 가져오기 ##
data "aws_availability_zones" "all" {
}

stage/services/webserver-cluster/variable.tf

variable "server_port" {
  description = "The port the server will use for HTTP requests"
  default = 80
}

aws console

2️⃣ 로드밸런서 배포하기

이전 ASG 배포의 한가지 문제점 : 여러개의 서버를 운영하기 위해서는 각 서버의 공인 IP가 아닌 하나의 대표 IP가 존재해야 함 → 로드밸런서로 해결

서비스 트래픽을 수용하기 위해 로드 밸런서의 IP 혹은 도메인 이름을 서비스 앞에 노출해야함. → 높은 가용성과 다양한 확장성 보장

aws_elb resource

• 만들어진 ELB는 여러 가용 영역에 걸쳐 구성되며, 라우팅 요청이 일어나기 전까지는 동작 X

stage/services/webserver-cluster/main.tf

## ELB 생성 ##
resource "aws_elb" "example" {
  name = "terraform-asg-example"
  availability_zones = "${data.aws_availability_zones.all.names}"
  # 기본적으로 들어오고 나가는 트래픽에 대해 허용하지 않게 하기 위해, 보안 그룹에 포트 80번 트래픽에 대해 정의해야 함.
  security_groups = ["${aws_security_group.elb.id}"]

  # 특정 포트에 대한 트래픽을 라우팅 하기 위해 하나 이상의 리스너를 설정
  listener {
    instance_port     = 80
    instance_protocol = "http"
    lb_port           = "${var.server_port}"
    lb_protocol       = "http"
  }

  # 상태를 지속적으로 체크하는 elb의 health check 블록
  # 30 초 마다 '/' URL로 HTTP 요청을 하여 ASG에 있는 인스턴스 응답이 '200 OK'인지 확인하는 설정
  health_check {
    healthy_threshold   = 2
    interval            = 30
    target              = "HTTP:${var.server_port}/"
    timeout             = 3
    unhealthy_threshold = 2
  }
}

## ASG에 LB 추가 ##
resource "aws_autoscaling_group" "example" {

  load_balancers = ["${aws_elb.example.name}"]  # 인스턴스가 시작할 때 ELB에 각 인스턴스를 등록하도록 ASG에 요청
  health_check_type = "ELB"

  # ..
}

AWS Console

ELB 생성

3️⃣ S3로 Remote State Storage 만들기

aws_s3_bucket

• bucket : 모든 리전의 모든 유저들이 공유하는 bucket이기 때문에, bucket의 이름은 유일해야함

aws_s3_bucket_versioning

• 버킷에 있는 파일을 업데이트 할때 마다 실제로 해당 파일의 새 버전이 만들어지도록 버저닝

/global/s3/main.tf

provider "aws" {
  region = "us-east-1"
}

resource "aws_s3_bucket" "terraform_state" {
  bucket = "lena-tf-state-bucket"

  lifecycle {
    prevent_destroy = true
  }
}

resource "aws_s3_bucket_versioning" "versioning-ex" {
  bucket = aws_s3_bucket.terraform_state.id

  versioning_configuration {
    status = "Enabled"
  }
}

상태파일 잠금 : aws_dynamodb_table

• 원격 저장소를 통해 테라폼 상태를 저장한 후, 두 개발자가 같은 상태 파일에서 동시에 테라폼을 사용하는 경우 경쟁 상태가 계속 발생할 수 있음
• 해결방법 : backend 설정을 통해 원격 저장소에 저장되는 상태 파일의 잠금을 제공

/global/s3/main.tf

# 상태 파일 잠금을 위한 DynamoDB 추가
resource "aws_dynamodb_table" "terraform_lock" {
  name = "lena-tf-state-bucket-lock"
  hash_key = "LockID"
  read_capacity = 2
  write_capacity = 2

  attribute {
    name = "LockID"
    type = "S"

S3 Backend 설정에 s3 bucket과 dynamodb 추가

terraform {
  backend "s3" {
    bucket = "lena-tf-state-bucket"
    key = "stage/services/webserver-cluster/terraform.tfstate"
    region = "us-east-1"
    encrypt = true
    dynamodb_table = "lena-tf-state-bucket-lock"
  }
}

Releasing state lock

AWS Console

s3 bucket

dynamoDB

4️⃣ RDS의 MySQL 연동

웹 서버 클러스터에서 웹 서버의 배포 업데이트를 진행하는 시점에 데이터베이스에 문제가 발생하지 않기를 원한다면 데이터베이스 리소스를 생성하고, 데이터베이스 상태파일을 만들어 이또한 원격 스토리지에서 관리할 필요가 있음.

aws_db_instance : resource

• 데이터베이스 리소스 생성

/stage/datastores/mysql/main.tf

## DB가 S3에 모든 상태를 저장하도록 원격 상태 저장소를 구성
terraform {
  backend "s3" {
    bucket = "lena-tf-state-bucket"
    key = "stage/datastores/mysql/terraform.tfstate"
    region = "us-east-1"
    encrypt = true
    dynamodb_table = "lena-tf-state-bucket-lock"
  }
}

provider "aws" {
  region = "us-east-1"
}

## 데이터 베이스 리소스 생성 ##
resource "aws_db_instance" "example" {
  engine = "mysql"
  allocated_storage = 10
  instance_class = "db.t2.micro"
  db_name = "example_data"
  username = "admin"
  password = "${var.db_password}"
}

TF_VAR_foo

• 환경 변수 TF_VAR_foo를 사용하여 해당 변수의 값을 테라폼에 제공

<aside> 🚫 테라폼에서 데이터베이스 패스워드와 같은 암호화는 중요하다! → 민감한 정보는 파일이나 코드에 저장하지 말기

</aside>

/stage/datastores/mysql/var.tf

variable "db_password" {
  description = "The password for the database"
}

export TF_VAR_db_password="(데이터베이스 패스워드)"

5️⃣ S3 버킷의 State 파일 내용 가져오기

필요한 데이터를 출력 변수로 빼서 state 파일에 저장되도록

output "address" {
  value = "${aws_db_instance.example.address}"
}

output "port" {
  value = "${aws_db_instance.example.port}"
}