Валидация переменных в Terraform

Обзор

Bitwarden (Self-Hosted) + AWS RDS Deployment

https://github.com/avkcode/terraform

Terraform и Docker Compose для самостоятельного развертывания Bitwarden с использованием AWS RDS PostgreSQL в качестве серверной базы данных.
Включает поддержку SSL (HTTPS), автоматическую генерацию сертификатов и развертывание инфраструктуры как кода (Infrastructure-as-Code, IaC).

Эта формула terraform используется в качестве примера.

Основные принципы валидации

Terraform позволяет проверять входные переменные с помощью механизма валидации. Это особенно важно при работе с инфраструктурой в облаке, где неверные параметры могут привести к проблемам безопасности или неработоспособности системы.

Рассмотрим пример валидации для региона AWS:

variable "region" {   description = "AWS регион"   type        = string   default     = "eu-central-1"    validation {     condition     = contains(["eu-central-1", "us-east-1"], var.region)     error_message = "Поддерживаются только регионы eu-central-1 и us-east-1"   } } 

Проверка формата значений

Для строковых переменных полезно проверять соответствие ожидаемому формату. Например, для AMI:

variable "ami" {   description = "ID образа EC2"   type        = string    validation {     condition     = can(regex("^ami-", var.ami))     error_message = "ID образа должен начинаться с 'ami-'"   } } 

Валидация списков и диапазонов

При работе с портами важно ограничивать допустимые значения:

variable "service_port" {   description = "Порт сервиса"   type        = number    validation {     condition     = var.service_port > 1024 && var.service_port < 65535     error_message = "Порт должен быть в диапазоне 1024-65535"   } } 

Для списков CIDR-блоков можно проверять каждый элемент:

variable "allowed_cidrs" {   description = "Разрешенные CIDR-блоки"   type        = list(string)    validation {     condition = alltrue([       for cidr in var.allowed_cidrs : can(cidrsubnet(cidr, 0, 0))     ])     error_message = "Все элементы должны быть валидными CIDR-блоками"   } } 

Перекрестная проверка переменных

В Terraform 1.9+ появилась возможность проверять переменные относительно других объектов:

data "aws_ami" "example" {   owners = ["amazon"]   filter {     name   = "image-id"     values = [var.ami]   } }  variable "ami" {   type = string    validation {     condition     = data.aws_ami.example.state == "available"     error_message = "Указанный AMI недоступен в текущем регионе"   } } 

Практические рекомендации

При реализации валидации следует учитывать несколько важных моментов. Сообщения об ошибках должны четко указывать на проблему и возможные решения. Условия валидации лучше делать простыми и понятными. Для сложных проверок стоит разбивать условие на несколько отдельных валидаций.

Ресурсоемкие проверки, требующие обращения к API облачного провайдера, могут замедлять работу. В таких случаях стоит оценить необходимость подобных проверок на этапе планирования.

Правильно настроенная валидация переменных значительно повышает надежность инфраструктуры и помогает избежать многих ошибок на ранних этапах.

• t.me/akrylof

• https://github.com/avkcode/resume/blob/main/resume.pdf