hashicorp发布了0.8版的terraform。terraform是一个开源工具,它能通过亚马逊网页服务、vmware vsphere和ultradns等基础设施供应商构建、组合和发布可编程基础设施。主要的新功能包括交互式控制台、条件值、hashicorp vault和nomad供应器等。
terraform 0.8版除原有的terraform控制台之外,还新增加了一个交互式控制台,它可以用于尝试插值,以及检查基础设施。hashicorp的博客表示,对于不熟悉terraform的开发者来说,控制台是一个非常棒的附加学习资源,因为插值(任何你想放入terraform配置属性的东西)可以被输入控制台,然后就可以看到它产生的输出了。控制台目前只读,这是为了防止任何对基础设施或状态的不小心误改。
插值现在支持基本的条件判断,它支持对值进行条件赋值,比如在一个资源的元参数里。当与资源的“count”参数结合起来时,这样就可以支持对资源的条件性包含,比如 ‘count = “${var.env == “production” ? 1 : 0}”。这个例子的意思是,通过将变量“env”设置成非“production”的某个值,那么相关的资源数量就会是0,因此它不会被创建。terraform支持以下逻辑运算符: 相等判断==和!=,数字比较>、<、>=和<=,还有布尔运算符&&、||和!(一元运算)。
在terraform0.8版本里,现在也可以指定对terraform版本的限制了,方法是使用terraform配置元参数“required_version”,比如“required_version >=0.8,<0.9”。hashicorp的博客指出,添加这个功能的目的在于避免terraform程序版本和terraform配置之间的不一致,并且可以被用于某些场景,举例来说,某些缺陷已经在较新的版本中修复了,但是却有可能对现有的基础设施造成问题,那么加上这个参数就可以限制对版本的要求,从而避免意外的损坏。如果terraform版本不能与要求的版本相匹配,terraform将在很早的阶段就输出错误,通知用户他们必须改变他们的terraform版本,才能够与配置一起正常工作。
创建和更改基础设施通常需要若干不同的凭据,例如api访问令牌和数据库管理密码等,而且存储这些凭据的最好的地方就是一个安全的秘密管理工具。terraform vault供应器允许terraform 去读取vault、写入vault和配置vault,vault就是hashicorp的管理秘密的工具。
terraform的文档中声明,vault供应器目前只支持一般性的秘密的后台,但这已经可以满足两种常见的初级用例了:(1)配置和填充vault:vault管理员可以使用terraform去配置vault,再用秘密填充它;(2)在terraform配置中使用vault凭证:凭证可以从vault中获取,这意味着为了获得访问其他供应商的临时租约,运维人员或者运行terraform的系统只需要访问一个赋予了适当权限的vault令牌即可。
还有一点需要特别注意的是,terraform的vault供应器文档中提到,在terraform中与vault交互时,任何你读或写的秘密都会被保存在terraform的状态文件中,同时还会保存在任意生成的计划文件中。所以对于任意读写vault秘密的terraform模块来说,这些文件都应被视为非常敏感的文件,因此需要被保护起来。此外,对于通过配置文件提供的秘密来说,目前terraform没有提供任何编辑或保护它们的机制,因此相应地,对于选择使用terraform去填充vault秘密的团队来说,他们应该仔细阅读每个资源的文档的相关章节,了解这些秘密是如何被保存到状态中的,并且仔细考虑这样的做法是否满足他们公司的安全策略要求。
新的nomad供应器允许terraform为hashicorp nomad分布式调度器创建作业,它必须作为基础设施创建过程的一部分运行。这里的用例主要是系统作业或者批量初始化作业。hashicorp博客表示,这一新功能并不是在试图完全取代nomad的运行,但terraform可以用来引导一个集群以及相关的应用。
terraform 0.8版本也有几点与terraform 0.7不能向后兼容的地方,hashicorp团队建议开发者们认真查看升级指南。升级指南详细描述了版本之间不兼容的细节,以及在升级到0.8版本时所需要考虑的细节。
要了解更多关于hashicorp terraform v0.8发布的细节,可以查看hashicorp的博客。在hashicorp网站上可以下载terraform二进制文件,并且在项目的github库可以找到terraform的代码(主要用golang写成)。
本文转自d1net(转载)