1. 项目概述:这不是在“搭云”,而是在构建一套可审计、可回滚、可协作的基础设施生产线
你有没有经历过这样的场景:凌晨两点,线上服务突然告警,排查发现是某台EC2实例的Security Group规则被手动改错了——没人记得是谁改的,也没人知道改之前是什么样子;又或者新团队成员入职第一天,想本地起一个和生产环境一致的测试VPC,结果光是翻找文档、复制粘贴CloudFormation模板、手动点控制台就花了三小时,最后还因为Region选错导致S3桶创建失败;再比如,一次看似简单的RDS参数组更新,因为没做变更预演,直接推到生产,数据库连接池瞬间打满,业务接口大面积超时……这些不是偶然事故,而是缺乏基础设施工程化思维的必然结果。Terraform + GitLab CI/CD这个组合,本质上不是教你“怎么在AWS上建机器”,而是帮你把整个云环境变成像代码一样可版本管理、可自动化测试、可精准部署、可责任追溯的产品级资产。它解决的核心问题,从来不是“能不能建出来”,而是“建得对不对、改得稳不稳、查得清不清、换人后能不能接得住”。我从2018年开始在金融和SaaS客户侧落地这类方案,最深的体会是:Terraform写得再漂亮,如果没嵌入CI/CD流水线,它就只是一份高级配置文档;GitLab流水线跑得再快,如果没和Terraform的状态管理深度耦合,它就是一把没有保险栓的自动步枪。这个项目标题里的“Robust”(健壮)体现在状态锁、计划预检、审批卡点和回滚机制上;“Efficient”(高效)则藏在模块复用率、并行执行策略、远程后端设计和缓存优化里。它适合三类人:正在被“人肉运维”拖垮的中小团队DevOps工程师、需要向合规审计部门提供完整变更证据链的金融/医疗行业基础设施负责人,以及刚接手一团混乱历史代码、急需建立可信交付基线的架构师。别把它当成一个“自动化脚本项目”,它是一套基础设施交付的SOP(标准作业程序),而Terraform是它的语法,GitLab CI/CD是它的执行引擎。
2. 整体架构设计与核心思路拆解:为什么是Terraform而不是CDK?为什么选GitLab而不是GitHub Actions?
2.1 选型逻辑:工具链不是拼凑,而是为“人”和“流程”服务
很多人一上来就问:“Terraform和CDK哪个好?”这个问题本身就有陷阱。CDK本质是“用编程语言写Infrastructure as Code”,它强在抽象能力和IDE支持,但代价是编译层引入了额外的不可见性——你写的TypeScript最终生成的CloudFormation JSON,中间多了一层转换,当apply失败时,错误堆栈指向的是CDK生成的临时文件,而不是你原始的业务逻辑。而Terraform的HCL是声明式DSL,错误信息直接对应你写的main.tf第47行,这对一线工程师快速定位问题至关重要。更重要的是,我们团队做过压测:在500+资源规模的VPC模块中,Terraformplan平均耗时2.3秒,CDKsynth+diff平均耗时8.6秒,这多出来的6秒,在每次MR提交时都会成为开发者等待的“心理断点”。效率不是只看单次执行速度,而是看整个反馈闭环的延迟。至于GitLab CI/CD,选择它而非GitHub Actions,核心在于企业级权限治理能力。GitLab的Group-level Protected Environments、Merge Request Approvals with Required Approval Count、Pipeline Security Policies(如禁止allow_failure: true在prod阶段生效)这些功能,是GitHub Actions靠第三方Action或复杂YAML hack难以原生实现的。举个真实案例:某客户要求“所有生产环境变更必须经过安全团队和架构委员会双签”,GitLab只需在Environment设置里勾选两个Group,并配置Approval Rules,而GitHub Actions需要自己写一个调用GraphQL API验证审批状态的自定义Action,还要处理token轮换和失败重试——这已经偏离了基础设施即代码的初衷,变成了“用代码维护CI/CD流程”。
2.2 架构分层:四层隔离,让每个环节各司其职
我们的整体架构严格遵循“职责分离”原则,分为四个物理隔离层:
Layer 0:Remote State Backend(远程状态后端)
使用S3 + DynamoDB,但关键细节在于:S3 Bucket必须启用Bucket Versioning和MFA Delete,DynamoDB Table必须开启Point-in-Time Recovery。这不是为了防黑客,而是防误操作——去年有同事手抖执行了terraform state rm aws_s3_bucket.production_data,幸好Versioning保留了删除前的版本,3分钟内就恢复了。State文件本身加密采用KMS CMK,且CMK的Key Policy明确禁止kms:Decrypt权限授予任何非CI/CD服务角色。Layer 1:Terraform Modules(模块层)
拒绝“单体模块”。按云服务域划分:modules/networking/vpc、modules/compute/ec2-bastion、modules/storage/s3-secure-bucket。每个模块必须包含examples/子目录,且example必须能独立terraform init && terraform plan通过。模块输入变量强制使用validation块校验,例如VPC CIDR必须匹配^10\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}/\\d{1,2}$正则,避免传入192.168.1.0/24这种在AWS中不合法的私有网段。Layer 2:Environment Configuration(环境配置层)
用environments/prod/、environments/staging/等目录存放tfvars文件,但绝不存放敏感值。密码、API Key等全部通过GitLab CI Variables注入,且Variables标记为“Masked”和“Protected”,确保它们只在Protected Branch(如main)的Pipeline中暴露。environments/prod/backend.tf中明确指定state key为prod/terraform.tfstate,与staging隔离。Layer 3:CI/CD Pipeline(流水线层)
流水线不是简单串起terraform init -> plan -> apply,而是按环境敏感度分级:staging环境允许MR合并后自动apply;prod环境则强制走“Plan-Review-Apply”三阶段,且review阶段必须由指定Group的成员手动点击“Approve”按钮才能解锁apply作业。这个设计让“谁在什么时候批准了什么变更”在GitLab UI里一目了然,审计时直接导出MR历史即可。
提示:很多团队把所有环境配置混在一个
variables.tf里,用count动态生成资源。这是反模式。当count = 0时,Terraform会销毁资源,但count值本身可能来自外部变量,一旦变量源(如Consul)短暂不可用,count读成0,就会触发灾难性删除。正确做法是用for_each配合map,键存在即创建,键不存在即跳过,天然免疫此类故障。
2.3 “Robust”的三大支柱:状态锁、计划预检、审批卡点
健壮性不是靠“加机器”堆出来的,而是靠流程设计抠出来的细节:
状态锁(State Locking)的真正价值不在防止并发冲突,而在于提供变更阻塞的明确信号。当
terraform apply因锁失败时,GitLab Pipeline会立刻失败,并在Failure Message里显示“State locked by user@host at 2023-10-05 14:22:33 UTC”,这比邮件通知快10倍。我们甚至在Pipeline Failure时自动触发Slack webhook,@提醒当前持锁人。计划预检(Plan Inspection)是健壮性的核心防线。我们禁用所有
-auto-approve,每个terraform plan输出必须保存为plan.outartifact,并在review阶段由CI解析JSON格式的plan输出,提取changes字段。如果检测到destroy操作(哪怕只是aws_security_group_rule),Pipeline立即失败并提示:“Detected resource destruction. Please verify in MR description and add ‘[CONFIRM-DESTROY]’ tag to proceed.” 这个tag是人工确认的“数字签名”,杜绝了误删。审批卡点(Approval Gate)不是形式主义。GitLab的Approval Rules支持“基于文件路径”的条件审批:当MR修改了
modules/networking/下的文件时,强制要求Network Team Group的2名成员批准;修改了modules/database/则需DBA Group批准。这把“领域知识”硬编码进了流程,比任何文档都可靠。
3. 核心细节解析与实操要点:从零搭建可落地的生产级流水线
3.1 Terraform模块设计:如何写出被团队争抢复用的高质量模块
一个被反复使用的模块,必须满足三个硬性指标:零配置可运行、输入即契约、输出即接口。以我们最常用的modules/networking/vpc为例:
零配置可运行:模块根目录下
examples/complete中,main.tf仅包含:module "vpc" { source = "../../../modules/networking/vpc" # 无任何其他参数! }这个example能成功
plan,证明模块内部已通过locals和default值提供了生产可用的默认配置(如CIDR=10.10.0.0/16,AZ数量=3)。新同学克隆仓库后,cd进example目录,两行命令就能看到一个完整VPC,学习成本趋近于零。输入即契约:所有
variable声明必须带description和validation。例如cidr_block:variable "cidr_block" { description = "The CIDR block for the VPC. Must be a valid RFC 1918 private address range." type = string validation { condition = can(regex("^10\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}/\\d{1,2}$", var.cidr_block)) || can(regex("^172\\.(1[6-9]|2[0-9]|3[0-1])\\.\\d{1,3}\\.\\d{1,3}/\\d{1,2}$", var.cidr_block)) || can(regex("^192\\.168\\.\\d{1,3}\\.\\d{1,3}/\\d{1,2}$", var.cidr_block)) error_message = "cidr_block must be a valid RFC 1918 private IP range (e.g., 10.0.0.0/16)." } }这段代码的价值在于:它把AWS官方文档里关于VPC CIDR的要求,转化成了运行时强制校验。当有人试图传入
192.168.256.0/24时,terraform validate直接报错,而不是等到apply时被AWS API拒绝——后者要多花2分钟等待。输出即接口:模块
outputs.tf不是罗列所有资源ID,而是暴露业务语义化的接口。例如:output "private_subnets_ids" { description = "List of IDs of private subnets created in this VPC" value = aws_subnet.private[*].id } output "security_group_id_for_app_servers" { description = "Security group ID that allows inbound HTTP/HTTPS from ALB and outbound to RDS. Use this for your application EC2 instances." value = aws_security_group.app_servers.id }第二个输出名称明确告诉使用者“这个SG是给应用服务器用的”,并说明了它的网络策略。这比
output "sg_id" { value = aws_security_group.default.id }有用100倍。
注意:模块内部严禁使用
data资源读取外部状态(如data.aws_ami.ubuntu)。这会导致模块失去确定性——今天data返回Ubuntu 22.04,明天AMI下架,data返回404,整个模块崩盘。正确做法是将AMI ID作为input variable传入,并在examples/中固化为具体值(如ami-0abcdef1234567890),保证每次plan结果可重现。
3.2 GitLab CI/CD流水线配置:YAML不是脚本,而是基础设施的“电路图”
.gitlab-ci.yml不是一堆命令的集合,它是整个交付流程的可视化电路图。我们采用“阶段化+作业依赖”设计,关键代码如下:
stages: - validate - plan - review - apply variables: TF_ROOT: "environments/${CI_ENVIRONMENT_NAME}" TF_BACKEND_CONFIG: "backend-${CI_ENVIRONMENT_NAME}.tfvars" # 阶段1:静态校验,秒级失败 validate: stage: validate image: hashicorp/terraform:1.5.7 script: - cd $TF_ROOT - terraform init -backend-config=$TF_BACKEND_CONFIG -input=false - terraform validate - terraform fmt -check except: - schedules # 阶段2:生成执行计划,存为artifact plan: stage: plan image: hashicorp/terraform:1.5.7 script: - cd $TF_ROOT - terraform init -backend-config=$TF_BACKEND_CONFIG -input=false - terraform plan -out=plan.out -var-file=../common.tfvars artifacts: paths: - $TF_ROOT/plan.out expire_in: 1 week needs: ["validate"] only: - merge_requests # 阶段3:人工审查,带自动解析 review: stage: review image: python:3.9 script: - pip install pyyaml - | # 解析plan.out,检查是否有destroy操作 if terraform show -json $TF_ROOT/plan.out | jq -e '.resource_changes[] | select(.change.actions[] == "destroy")' > /dev/null; then echo "ERROR: Plan contains destroy operations!" exit 1 fi - echo "Plan is safe. Awaiting manual approval..." when: manual allow_failure: false needs: ["plan"] only: - merge_requests # 阶段4:生产环境专属,带审批锁 apply-prod: stage: apply image: hashicorp/terraform:1.5.7 script: - cd $TF_ROOT - terraform init -backend-config=$TF_BACKEND_CONFIG -input=false - terraform apply -auto-approve plan.out environment: name: production url: https://console.aws.amazon.com/ec2/v2/home?region=${AWS_DEFAULT_REGION}#Instances: needs: ["review"] rules: - if: '$CI_ENVIRONMENT_NAME == "production"' when: on_success only: - main这段YAML的精妙之处在于:
needs: ["validate"]明确声明了作业依赖,GitLab会自动构建DAG(有向无环图),确保plan一定在validate之后执行,无需sleep或wait。artifacts将plan.out持久化,使得review作业可以跨Runner读取——即使plan在Runner-A执行,review在Runner-B执行,也能拿到同一份计划文件。when: manual和allow_failure: false组合,实现了“必须人工点击才继续,且点击后不允许跳过”的强约束。rules块替代了老旧的only/except,支持更复杂的条件判断,比如可以添加- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'来区分MR和Push触发。
实操心得:很多团队把
terraform init放在每个作业里重复执行,这浪费了大量时间。我们采用“init once, reuse everywhere”策略:在validate作业末尾,将.terraform目录打包为artifact,后续plan和apply作业直接下载解压。实测在300+资源模块中,init时间从42秒降至1.8秒。但要注意:.terraform不能包含backend配置,否则不同环境会互相污染,所以init命令必须显式指定-backend-config。
3.3 远程状态后端(S3+DynamoDB)的魔鬼细节
S3+DynamoDB是Terraform官方推荐的后端,但生产环境的配置远不止terraform { backend "s3" {} }这么简单。以下是我们在12个客户环境中踩过的坑和解决方案:
S3 Bucket策略必须精确到对象前缀
错误做法:给整个Bucket赋予"s3:GetObject"权限。正确做法是限制到具体state路径:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "tfrun.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-tf-state-bucket/prod/*" } ] }这样,
staging环境的Pipeline即使拿到了prod的Access Key,也无法读取prod的state——最小权限原则。DynamoDB表的Billing Mode必须是PAY_PER_REQUEST
别用PROVISIONED,因为Terraform的锁操作(PutItem+UpdateItem)流量极不规律:平时每小时几次,发布高峰时每秒数十次。PROVISIONED模式下,你永远猜不准该设多少RCU/WCU,设少了频繁Throttling,设多了白白烧钱。PAY_PER_REQUEST按实际用量计费,完美匹配锁操作的脉冲特性。State文件加密密钥(KMS CMK)必须禁用自动轮换
KMS CMK轮换后,旧密钥无法解密历史state,而Terraform不会自动用新密钥重加密。结果就是:terraform state pull失败,整个环境“失联”。正确做法是创建CMK时,取消勾选“Enable automatic key rotation”,并记录下Key ID,写入团队Wiki。密钥轮换应作为重大变更,由Infra Lead手动触发,并同步执行terraform state push重加密。为每个环境创建独立的Backend Config文件
backend-prod.tfvars内容:bucket = "my-tf-state-bucket" key = "prod/terraform.tfstate" region = "us-east-1" dynamodb_table = "my-tf-state-lock" encrypt = truebackend-staging.tfvars则把key改为"staging/terraform.tfstate"。这样,init时指定不同config,state自然隔离,无需在代码里写count或for_each来区分环境。
4. 实操过程与核心环节实现:从初始化到首次生产发布全记录
4.1 初始化:用30分钟建立可信基线
假设你已有一个空GitLab仓库,以下是我在客户现场手把手执行的初始化步骤(含时间戳和决策依据):
T+00:00 - 创建S3和DynamoDB后端(12分钟)
登录AWS Console,进入S3,创建Bucketmy-company-tf-state-2023。关键操作:
- 启用Versioning(勾选)
- 启用MFA Delete(勾选,需Root用户操作)
- 设置Bucket Policy(粘贴上文精确前缀策略)
- 创建KMS CMK,取消自动轮换,记下ARN
arn:aws:kms:us-east-1:123456789012:key/abcd1234-...
进入DynamoDB,创建Tabletf-state-lock,Billing Mode选Pay per request,Partition key设为LockID(String)。
决策依据:MFA Delete是最后一道防线,防止
aws s3 rm s3://bucket --recursive这种误操作。我们曾用它救回过被误删的3TB备份state。
T+12:00 - 初始化GitLab仓库结构(8分钟)
在本地执行:
mkdir -p my-infra/{modules/environments/common,environments/{prod,staging}} touch README.md git init && git add . && git commit -m "chore: init repo structure" git remote add origin https://gitlab.com/my-group/my-infra.git git push -u origin main此时仓库只有目录骨架,无任何Terraform代码。这是为了先建立Git分支保护策略,再写代码。
T+20:00 - 配置GitLab安全策略(5分钟)
进入GitLab Project Settings → Protected Branches:
- 将
main设为Protected,Allowed to merge: Maintainers,Allowed to push: No one - 在Settings → CI/CD → General pipelines → Enable “Auto-cancel redundant pipelines”
- 在Settings → CI/CD → Secret variables:创建
AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_DEFAULT_REGION,全部标记为Protected和Masked
关键点:
main分支禁止任何人推送,只能通过MR合并。这强制所有变更走Code Review,杜绝了git push --force覆盖历史。
T+25:00 - 编写第一个模块并验证(5分钟)
在modules/environments/common/versions.tf中写:
terraform { required_version = ">= 1.5.0, < 2.0.0" required_providers { aws = { source = "hashicorp/aws" version = "~> 5.0" } } }在environments/prod/backend.tf中写:
terraform { backend "s3" { bucket = "my-company-tf-state-2023" key = "prod/terraform.tfstate" region = "us-east-1" dynamodb_table = "tf-state-lock" encrypt = true } }提交MR,标题为feat: setup prod backend config。GitLab自动触发validate作业,12秒后显示✅。此时,可信基线已建立。
4.2 首次生产发布:Plan-Review-Apply全流程实录
以部署一个基础VPC为例,展示从MR创建到生产生效的完整链路:
Step 1:创建MR(环境:GitLab Web UI)
- 分支:
feature/vpc-prod→main - 标题:
feat(vpc): deploy production VPC with 3 AZs and public/private subnets - 描述:清晰列出变更点:“1. 新增modules/networking/vpc模块 2. environments/prod/vpc.tf引用该模块 3. 使用CIDR 10.10.0.0/16,AZs: us-east-1a/b/c”
- 关联Jira Ticket:
INFRA-123(可选,但强烈建议)
Step 2:Pipeline自动执行(耗时:2分18秒)
validate作业:检查HCL语法、格式、provider版本,✅plan作业:terraform init(1.8秒)→terraform plan -out=plan.out(3.2秒),生成plan.outartifact,✅review作业:挂起,GitLab UI显示“Manual job pending”,状态为🟡
Step 3:人工审查(耗时:3分钟)
点击review作业的“Play”按钮,CI执行plan解析脚本:
jq命令扫描plan.out,确认无destroy操作- 脚本输出:“Plan is safe. Awaiting manual approval...”
- 此时,Infra Lead收到Slack通知,登录GitLab,查看MR描述、代码差异、
plan.outartifact(可下载后用terraform show plan.out本地查看详细变更) - 确认无误后,点击“Approve”按钮。
review作业变为✅,apply-prod作业自动触发。
Step 4:生产应用(耗时:1分42秒)
apply-prod作业:terraform init(1.8秒)→terraform apply -auto-approve plan.out(102秒)- 输出日志实时流式打印,显示“Apply complete! Resources: 12 added, 0 changed, 0 destroyed.”
- GitLab Environment页面自动更新,显示
production环境URL链接到AWS Console对应Region的EC2首页 - Slack webhook发送消息:“✅ Production VPC deployed. 12 resources created. View details: [GitLab MR Link]”
实操心得:首次发布时,务必在
apply前手动执行terraform show plan.out,逐行核对资源类型和参数。我们曾发现aws_db_instance的engine_version被误写为14.1(PostgreSQL),而实际应为14.1.r1,这个细节plan输出里有,但CI脚本没校验,靠人工审查揪了出来。这就是“自动化不能替代专业判断”的铁证。
4.3 模块复用与迭代:如何让一个VPC模块支撑5个不同业务线
当modules/networking/vpc模块被多个团队使用时,复用性成为核心挑战。我们的解决方案是“三层抽象”:
第一层:基础能力(模块内部)
modules/networking/vpc本身只提供VPC、Subnet、Route Table、NAT Gateway等AWS原语,不绑定任何业务逻辑。第二层:业务适配(environments/*/vpc.tf)
environments/prod/vpc.tf中:module "vpc" { source = "../../modules/networking/vpc" cidr_block = "10.10.0.0/16" azs = ["us-east-1a", "us-east-1b", "us-east-1c"] # 业务特有配置 enable_flow_logs = true flow_logs_retention_days = 365 }environments/staging/vpc.tf中:module "vpc" { source = "../../modules/networking/vpc" cidr_block = "10.20.0.0/16" # 不同CIDR避免对等连接冲突 azs = ["us-east-1a"] # staging只用1个AZ省钱 enable_flow_logs = false # staging不启Flow Logs }第三层:跨团队共享(Git Submodule or Registry)
当模块成熟后,将其发布到GitLab Group Level Terraform Registry。其他团队在自己的仓库中,用source = "gitlab.com/my-group/terraform-modules//networking/vpc?ref=v1.2.0"引用,版本号v1.2.0锁定,避免上游模块变更影响下游。我们规定:主干main分支的模块只能被develop环境引用;只有打了Git Tag的版本(如v1.2.0)才能被staging和prod引用。这实现了“开发自由,发布受控”。
5. 常见问题与排查技巧实录:那些文档里找不到的血泪教训
5.1 Terraform状态漂移(Drift):当现实世界背叛了你的代码
现象:terraform plan显示“0 to add, 0 to change, 0 to destroy”,但AWS Console里明明看到一台EC2实例被手动终止了,或者一个S3桶被删了。
根本原因:Terraform的state是“权威真相”,但它只在apply时与AWS API同步。手动操作绕过了Terraform,state就“漂移”了。
排查三步法:
- 确认漂移范围:
terraform refresh(已废弃)不行,改用terraform apply -refresh-only -auto-approve。它会强制Terraform从AWS拉取最新状态,与本地state对比,输出差异。 - 判断修复策略:
- 如果漂移的是非关键资源(如临时调试用的EC2),直接
terraform state rm aws_instance.debug,然后git commit删除对应代码。 - 如果漂移的是核心资源(如生产RDS),必须用
terraform import将其重新纳入管理:terraform import aws_db_instance.production db-ABC123。注意:import不修改代码,只是把现有资源ID写入state,你必须立刻补全对应的resource代码块,否则下次plan又会显示“to add”。
- 如果漂移的是非关键资源(如临时调试用的EC2),直接
- 预防机制:在GitLab CI中增加
drift-detect作业,每天凌晨2点自动执行terraform apply -refresh-only,并将差异输出为artifact。如果差异非空,触发Slack告警:“Drift detected in prod! Please investigate.”
血泪教训:某次客户手动修改了ALB的Security Group,删掉了一条Inbound Rule。
plan没报错,因为Terraform认为“Rule不存在=应该创建”,于是apply时自动把Rule加了回去——这反而掩盖了人为误操作。我们后来在drift-detect作业里增加了“对比state和actual的diff是否包含aws_security_group_rule”的检查,一旦发现,立即告警并暂停所有Pipeline,强制人工介入。
5.2 GitLab CI Runner权限不足:AccessDenied的10种死法
现象:terraform init或apply时,报错Error: Failed to get existing workspaces: AccessDenied: Access Denied或Error: Error loading state: AccessDenied: Access Denied。
排查清单(按优先级排序):
| 可能原因 | 检查方法 | 解决方案 |
|---|---|---|
| IAM Role未附加S3/DynamoDB权限 | 登录AWS Console → IAM → Roles → 找到Runner使用的Role → 查看Attached Policies | 添加AmazonS3FullAccess(仅限Dev环境)或自定义Policy(生产环境必须最小权限) |
| S3 Bucket Policy阻止了Runner ARN | S3 → Bucket → Permissions → Bucket Policy → 检查Principal是否包含Runner Role ARN | 修改Policy,添加Runner Role ARN到Principal |
| DynamoDB Table未授权 | DynamoDB → Table → Overview → 查看Table permissions | 在Table的Permissions里,添加Runner Role的dynamodb:PutItem,dynamodb:GetItem,dynamodb:UpdateItem权限 |
| KMS密钥策略拒绝解密 | KMS → Key → Key policy → 检查"kms:Decrypt"是否授予Runner Role | 在Key Policy的Statement中,添加Runner Role ARN到Principal |
| Runner使用了错误的AWS Profile | .gitlab-ci.yml中检查AWS_PROFILE环境变量是否设置 | 删除AWS_PROFILE,改用AWS_ACCESS_KEY_ID/AWS_SECRET_ACCESS_KEY |
生产环境最小权限Policy示例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::my-tf-state-bucket", "arn:aws:s3:::my-tf-state-bucket/prod/*" ] }, { "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem" ], "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/tf-state-lock" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-..." } ] }5.3 Plan输出中文乱码与超长行截断:影响审查准确性的隐形杀手
现象:plan.outartifact在GitLab UI中打开,中文显示为``,或长资源名(如aws_s3_bucket.this_is_a_very_long_name_for_production_data_backup_2023_q3)被截断为aws_s3_bucket.this_is_a_very_long_name_for_production_data_backup_2023_q3[0],导致无法识别资源归属。
解决方案:
- 中文乱码:在
.gitlab-ci.yml的plan作业中,添加环境变量:plan: script: - export LC_ALL=C.UTF-8 - export LANG=C.UTF-8 - terraform plan -out=plan.out - 长行截断:
terraform show默认宽度为80字符。在review作业中,用terraform show -no-color -json plan.out | jq -r '.resource_changes[].address'提取所有资源地址,再用grep过滤关键字符串。例如,检查是否修改了RDS:
这比肉眼扫terraform show -no-color -json plan.out | jq -r '.resource_changes[].address' | grep "aws_db_instance"plan.out文本可靠100倍。
最后分享一个小技巧:我们把
terraform show plan.out的输出,用Python脚本自动生成一份HTML格式的“变更摘要报告”,包含资源类型统计饼图、新增/修改/销毁资源列表、关键参数变更高亮。这份报告作为review作业的artifact,让非Terraform专家的架构师也能5秒看懂这次MR改了什么。代码不到50行,但极大提升了跨职能协作效率——这才是“Robust and Efficient
