Terraformでawsのec2インスタンスを立ち上げる

タイトルの通りなのですが、terraformを使ってec2インスタンスを1つ、最低限の設定のみをして立ち上げるということを行います。
terraformやawsを全く触ったことがない人向けの内容となっています。

Terraform

Terraformは、インフラを安全かつ効率的に構築、変更、バージョン管理するためのツールです。Terraformは既存のサービスプロバイダーとカスタムの社内ソリューションを管理できます。

awsの他にもGoogle CloudやHerokuなど様々なプロバイダーに対応しています。
今回はterraformを使い、最低限のec2インスタンスの設定をコードで書き、terraformのコマンドで実際に立ちげてみたいと思います。

Infrastructure as Code

インフラの構成を管理したり、プロビジョニングを自動化するためにコードで書きましょうという概念です。
バージョン管理ができたり、CIだったりとソフトウェア開発と同じ要領でインフラの構築も行えるようになります。
このような概念があるから、terraformのようにコードで設定を書いておくのが良いのだなとわかりました。

まずはterraformをインストール

$ brew install terraform

MacOS Sierraの場合エラーが起こるかもしれません。(最初にbrew installをした時にエラーが起きました。)
一度homebrewをアンイストールして、再度インストールすれば解決します。

% ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/uninstall)"
% ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

IAMとAMI

ec2インスタンスを立ち上げる前に必要なところです。

IAM

外部からawsへアクセスするにはIAM(Identity and Access Management)というサービスを使用しなければなりません。
aws環境ではそれぞれのサービスに例えばS3やRDSに外部からアクセスする権限を管理するのがそれぞれのサービスではなくてIAMというサービスになります。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html

AWS Identity and Access Management (IAM) は、ユーザーに対して AWS へのアクセスを安全に制御するための仕組みで、IAM の利用自体が課金対象になることはありません。IAM により、どのユーザーがお客様の AWS リソースを使用できるか（認証）、それらのユーザーがどのリソースをどのような方法で使用できるか（承認）を制御できます。

IAMのユーザーを作成してアクセスキーとシークレットキーを取得します。
コンソール右上のログインユーザーの名前 → セキュリティ認証情報
ここからユーザーを作成することでアクセスキーとシークレットキーを取得できます。

アクセスキーは再度確認が可能ですが、シークレットキーは確認することができません。
そのため安全な場所に保管しておくなどしておかないと、再度作り直す必要があります。

また、ユーザーには権限があります。権限のないユーザーを作成してしまうとterraformでコマンドを実行してもエラーになってしまいます。
そのため既存の管理ポリシーのコピーからAmazonEC2FullAccessを選択しておきます。

AMI

Amazon マシンイメージ (AMI) は、クラウドの仮想サーバーであるインスタンスの起動に必要な情報を提供します。インスタンスを起動するときに AMI を指定します。

AMIは自分で作成をしなくても、amazonが提供しているpublicのイメージも存在します。
今回はEC2のコンソールからpublic imageのidを取得します。
ナビゲーションペイン(コンソールの左にあるサイドバーのようなもの)の中のイメージにあるAMIというところです。
ひとまず今回は"ami-f80e0596"を使用します。

コードを書いていく

まず適当にterraform用のディレクトリを作成しましょう。
その中にec2.tf,terraform.tfvarsの2ファイルを作成します。
ファイルの構成に関しては色々なやり方があると思うのですが、terraformに関する理解が進んできたらどのようなファイル構成が良いのかを考えるのが良いと思います。

ec2.tf

variable "aws_access_key" {}
variable "aws_secret_key" {}
variable "aws_region" {
    default = "ap-northeast-1"
}
variable "aws_zone" {
    default = "ap-northeast-1c"
}

provider "aws" {
    access_key = "${var.aws_access_key}"
    secret_key = "${var.aws_secret_key}"
    region     = "${var.aws_region}"
}

resource "aws_instance" "web1" {
    ami           = "ami-f80e0596"
    instance_type = "t2.micro"
    monitoring    = true
    tags {
        Name = "web1"
    }
}

変数として使用しているaws_access_keyなどはterraform.tfvarsに記載していきます。
regionのap-northeast-1は東京です。
また、instance_typeによってかかる金額が変わってきます。１年間の無料プランにt2.microがあったので無料プランの方はt2.microにするのが良いと思います。
ただ、変更される可能性もありますので、現在の無料プランについてawsから確認をしてください。
https://aws.amazon.com/jp/free/

terraform.tfvars

aws_access_key = "ACCESS_KEY_HERE"
aws_secret_key = "SECRET_ACCESS_KEY_HERE"

terraform.tfvarsファイルに先ほど取得しアクセスキーとシークレットキーを記載して起きます。
terraformのコマンド実行の際に、こちらのファイルが読み込まれます。
こちらの設定を行っておかないと毎回下記のようにアクセスキーとシークレットキーをきかれてしまいます。(ec2.tfにベタ書きすれば出ませんが)

var.aws_access_key
  Enter a value:

var.aws_secret_key
  Enter a value: 

アクセスキーとシークレットキーをGithubにあげてしまい、60万円ぐらい請求がきたという記事を読んだので取り扱いには注意してください。

terraformをgithubにあげて管理する場合には.gitignoreを作成しましょう。

terraformで確認をしてみる

今回コマンドを5つ紹介します。

1. terraform init
初期化

2. terraform plan
dry run

3. terraform apply
AWS上にリソースを作成

4. terraform show
今の状態を表示。

5. terraform destroy
リソース一式を削除

terraform init

最初に terraform init を実行しないとプラグインの最初期化が必要だぞというエラー出ます。

$ terraform plan
Plugin reinitialization required. Please run "terraform init".
Reason: Could not satisfy plugin requirements.

Plugins are external binaries that Terraform uses to access and manipulate
resources. The configuration provided requires plugins which can't be located,
don't satisfy the version constraints, or are otherwise incompatible.

ということでまずはinit

$ terraform init

terraform plan

terrafrom planで構文があっているか、パラメータに誤りがないかなどを確認でき、問題がなければ実行計画が表示されます。
どんな設定で実行されるのかがわかるのと、planの最後に追加や変更、削除の個数が表示されるため、意図していない変更が行われていないかを確認できます。

+がついている箇所が新規の追加となります。今回だと+ aws_instance.web1の部分

また末尾に下記のように全体の追加や変更数が表示されますが、今回インスタンスを1つ立てようとしているだけなので、問題がなさそうだということがわかります。

Plan: 1 to add, 0 to change, 0 to destroy.

$ terraform plan

+ aws_instance.web1
    ami:                         "ami-f80e0596"
    associate_public_ip_address: "<computed>"
    availability_zone:           "<computed>"
    ebs_block_device.#:          "<computed>"
    ephemeral_block_device.#:    "<computed>"
    instance_state:              "<computed>"
    instance_type:               "t2.micro"
    key_name:                    "<computed>"
    monitoring:                  "true"
    network_interface_id:        "<computed>"
    placement_group:             "<computed>"
    private_dns:                 "<computed>"
    private_ip:                  "<computed>"
    public_dns:                  "<computed>"
    public_ip:                   "<computed>"
    root_block_device.#:         "<computed>"
    security_groups.#:           "<computed>"
    source_dest_check:           "true"
    subnet_id:                   "<computed>"
    tags.%:                      "1"
    tags.Name:                   "web1"
    tenancy:                     "<computed>"
    vpc_security_group_ids.#:    "<computed>"


Plan: 1 to add, 0 to change, 0 to destroy.

terrafrom apply

これで実際に実行ができます。
Apply complete!と表示されたらAWSのコンソールを確認すると立ち上がっていると思います。
また、planと同じく最後に追加や変更、削除の個数が表示されるため、意図していない変更が行われていないか確認できます。

$ terraform apply
aws_instance.web1: Creating...
  ami:                         "" => "ami-f80e0596"
  associate_public_ip_address: "" => "<computed>"
  availability_zone:           "" => "<computed>"
  ebs_block_device.#:          "" => "<computed>"
  ephemeral_block_device.#:    "" => "<computed>"
  instance_state:              "" => "<computed>"
  instance_type:               "" => "t2.micro"
  key_name:                    "" => "<computed>"
  monitoring:                  "" => "true"
  network_interface_id:        "" => "<computed>"
  placement_group:             "" => "<computed>"
  private_dns:                 "" => "<computed>"
  private_ip:                  "" => "<computed>"
  public_dns:                  "" => "<computed>"
  public_ip:                   "" => "<computed>"
  root_block_device.#:         "" => "<computed>"
  security_groups.#:           "" => "<computed>"
  source_dest_check:           "" => "true"
  subnet_id:                   "" => "<computed>"
  tags.%:                      "" => "1"
  tags.Name:                   "" => "web1"
  tenancy:                     "" => "<computed>"
  vpc_security_group_ids.#:    "" => "<computed>"
aws_instance.web1: Still creating... (10s elapsed)
aws_instance.web1: Creation complete

Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

ただし、注意点としてはplanでエラーが起こっていなかったとしても、applyを実行するとエラーが起こる場合があります。
例えばIAMで作成したユーザーの権限がなかった場合などがそうです。
planは実行をしないので権限がなくても、実行したらこうなるよって返してくれますが、いざapplyで実行をすると権限がないと下記のようにエラーが起こります。
その際には権限がIAMのユーザーの権限を確認してみてください。

$ terraform apply

Error applying plan:

1 error(s) occurred:

* aws_instance.web1: Error launching source instance: UnauthorizedOperation: You are not authorized to perform this operation. Encoded authorization failure message: ~

terraform show

こちらのコマンドで現在の状態を表示することができます。

$ terraform show
aws_instance.web1:
  id = i-0aa958d0237y1ee90
  ami = ami-f80e0596
  associate_public_ip_address = true
  availability_zone = ap-northeast-1a
(長いので省略)

terrafrom destroy

今回お試しで作っただけなので不必要であればこちらのコマンドで削除しておきましょう。
今回省略しましたが、terraform plan -destroyでリソース削除の実行計画を確認できます。

$ terraform destroy 
Do you really want to destroy?
  Terraform will delete all your managed infrastructure.
  There is no undo. Only 'yes' will be accepted to confirm.

  Enter a value: yes

aws_instance.web1: Refreshing state... (ID: i-0aa958d0237y1ee90)
aws_instance.web1: Destroying...
aws_instance.web1: Still destroying... (10s elapsed)
aws_instance.web1: Still destroying... (20s elapsed)
aws_instance.web1: Still destroying... (30s elapsed)
aws_instance.web1: Still destroying... (40s elapsed)
aws_instance.web1: Still destroying... (50s elapsed)
aws_instance.web1: Destruction complete

Destroy complete! Resources: 1 destroyed.

ここまで出来たら

ここまでterraformを触ってみて、次にやると良いなと思ったことをまとめておきます。

ドキュメントを参考に他のリソースも作成する

terraformを使ってAWSを構築する方法は、公式のドキュメントに詳しく書いてあります。
https://www.terraform.io/docs/providers/aws/index.html

例えばvpcを作成しようと思ったら、Data Source: aws_vpcのページにサンプルが載ってます。

resource "aws_vpc" "vpc-main" {
  cidr_block           = "10.0.0.0/16"
  instance_tenancy     = "default"
  enable_dns_support   = true
  enable_dns_hostnames = true
  tags {
    Name = "vpc-main"
  }
}

resource "aws_subnet" "example" {
  vpc_id                  = "${aws_vpc.vpc-main.id}" // 作成したvpcはこのように指定できる
  cidr_block              = "10.0.0.0/24"
  availability_zone       = "ap-northeast-1a"
  map_public_ip_on_launch = true
  tags {
    Name = "example"
  }
}

ディレクトリ構成で迷ったら、Terraformにおけるディレクトリ構造のベストプラクティスなどを参考に進めてみると良いと思います。

terraforming

terraformingを使うと、すでにAWSを使ってる人向けですが、既存のインフラ環境をterraformの管理下に置けます。(リポジトリに使い方が載っています。)
こんな感じで今のインフラ環境がterraformの形式で出力されるため、書き方がわからない時も使えます。

$ terraforming ec2
resource "aws_instance" "sitename_web1" {
    ami                         = "ami-374db956"
    availability_zone           = "ap-northeast-1a"
    ebs_optimized               = false
    instance_type               = "t2.medium"
    monitoring                  = true
    key_name                    = "ec2_test_keypair"
    subnet_id                   = "subnet-9f18c0d6"
    vpc_security_group_ids      = ["sg-62486b04"]
    associate_public_ip_address = false
    private_ip                  = "10.0.0.66"
    source_dest_check           = true

    root_block_device {
        volume_type           = "gp2"
        volume_size           = 8
        delete_on_termination = true
    }

    tags {
        "Name" = "sitename_web1"
    }
}

まとめ

最低限だけですがterraformでec2のインスタンスを立ち上げることができました。(実際にはもっと設定を行わなければいけませんが)
初めてAWSに触る人はインスタンスを立ち上げるだけでも色々と知らないといけない概念が多いので、まずはほぼ初期設定でも良いから立ち上げてみるのが良いなと思いました。

また、できればいきなりterraformを触るよりもAWSの画面を触ってインスタンスを立ち上げたりしておくと、これを全部自動化させてくれるのかということがわかるのでオススメです。