Terraform规模工作流

Question

我有一个独特的机会，为一家大公司的一部分提出一个IaC工作流，该公司有许多技术机构为其工作。

我正在努力想出一种解决方案，该解决方案将是企业级安全的，但尽可能多地提供自助服务.

在范围内：

• 每个项目/环境/机构/公司的代码管理存储库
• 环境处理每个env构建升级/状态文件、一个状态文件、terraform env等
• 治理模型/PR系统/自定义模型
• 测试和验收手动验收/自动化测试(如何测试tf文件？)/infra测试环境

我读过许多文章，但大多数文章描述了内部开发团队的情况，这在安全性和治理方面要容易得多。

我很想了解什么是企业IaC管理和治理的最佳解决方案。是一个有效的选项吗？

Answer 1

我建议使用Terraform模作为(基础结构)代码的企业“库”。

然后你就可以：

• 版本、测试和在企业级上接受库
• 控制开发人员或客户端可以设置哪些变量(例如，为具有可配置桶名的AWS S3存储桶提供模块，但限制ACL选项)
• 为复杂的重复配置提供抽象，以节省时间、防止错误并鼓励self-service (例如将AWS与AWS和Dynamodb连接起来)

对于治理来说，拥有受控的云提供商帐户或环境，通过Terraform从头部署每个资源(此外还有沙箱，用户可以在沙箱中手动进行实验)。

例如，您可以：

• 从Terraform部署帐户级设置(例如AWS密码策略)
• 使用标签自动使用的所有企业模块资源
  • 最后部署更改的人(如AWS来电显示)
  • 他们使用的环境 (用地形插值："${terraform.workspace}")

​

因此，有很多方法可以使用Terraform模块来增强客户/开发人员的能力，而不放弃企业控制。