Terraform est un outil populaire pour déployer de l’infrastructure en particulier à destination des Clouds publics. Cependant, il possède de nombreux providers pour dialoguer avec différents hyperviseurs, bases de données ou solutions d’infrastructures en Software Defined. Voyons dans cet article son utilisation avec Docker.
Le concept de l’Infrastructure as Code a pour but d’automatiser le déploiement des systèmes et infrastructures par l’utilisation de méthodes qui se rapprochent du développement logiciel, comme l’utilisation de scripts ou de fichiers de configuration. Ainsi, le processus de déploiement se trouve plus rapide, sans risque d’erreur humaine, répétable et au final mieux maîtrisé.
Les outils de type Puppet ou Ansible sont capables dans une certaine mesure d’interagir avec une couche infrastructure, toutefois leur rôle est privilégié pour ce qui est de la configuration des systèmes. À l’inverse, Terraform ne se préoccupe pas des systèmes d’exploitation, mais agit comme un formidable orchestrateur vers différentes solutions, à partir du moment où elles disposent d’une API. Leur utilisation conjointe est donc tout à fait possible, si ce n’est recommandé.
Dans le cadre d’une utilisation avec Docker, Terraform ne se préoccupe pas de la gestion des images. Leur création avec un DockerFile et leur publication sur une registry restent d’actualité et ceci est géré en dehors de Terraform. Son rôle démarre au moment de l’instanciation des conteneurs depuis une image. HashiCorp, l’éditeur derrière Terraform dispose toutefois d’un outil pour la gestion des images dont la logique est similaire : Packer.
1. Instancier un premier conteneur
1.1 Prérequis
Si le runtime Docker n’est pas présent sur votre machine, l’installation est très simple. Pour une CentOS ou une RedHat, il faudra en plus ajouter le dépôt Docker-ce à votre système.
Terraform est distribué sous la forme d’un unique binaire compilé en statique, par conséquent il suffit d’extraire le contenu du ZIP téléchargé sur le site de l’éditeur et de le placer dans un répertoire, de préférence présent dans votre ${PATH}.
Voilà, c’est toute la simplicité et l’élégance de Terraform. Il n’y a rien de plus à déployer ou configurer pour rendre l’outil fonctionnel. On peut d’ores et déjà écrire nos premières lignes de code.
1.2 Un conteneur en quelques lignes
Nous allons dans un premier temps instancier un conteneur avec la dernière image Ubuntu via un fichier Terraform. En ligne de commande, ce sera l’équivalent de ces deux commandes :
Il n’y a pas d’impératifs forts pour l’organisation des fichiers Terraform. Cependant, la convention veut que le code principal se trouve dans un fichier nommé main.tf.
Tout démarre par la déclaration du provider, en l’occurrence Docker dans notre cas, avec la méthode de connexion. Dans le cas le plus simple, il s’agit d’utiliser la socket UNIX locale, il faut donc avoir les droits sur la socket. Dans le cadre d’une utilisation à distance, avec SSH par exemple, cela amène donc à la nécessité de déclarer les credentials à utiliser pour s’authentifier. Toujours dans notre fichier main.tf, on déclare ensuite les ressources que nous souhaitons instancier. Pour un conteneur nommé terraform_container depuis la dernière image Ubuntu, cela donne :
provider "docker" {
host = "unix:///var/run/docker.sock"
}
resource "docker_image" "ubuntu" {
name = "ubuntu:latest"
}
resource "docker_container" "terraform_container" {
image = docker_image.ubuntu.latest
name = "terraform_container"
}
1.3 Cycle de vie
Le conteneur est décrit dans un exemple de code, mais n’est pas encore instancié tant que l’on n’a pas fait appel à Terraform. Nous allons dans un premier temps avoir besoin du provider Terraform pour Docker [1], le binaire que nous avons téléchargé n’en disposant pas. Terraform va automatiquement détecter le backend dont il a besoin depuis le code :
Nous allons maintenant générer un « plan ». Le plan ne crée aucun changement sur l’infrastructure, mais va analyser les actions qui doivent être entreprises pour appliquer les changements souhaités sur l’infrastructure. Cela permet de visualiser les actions que Terraform souhaite entreprendre avant qu’elles ne soient appliquées, en particulier lorsque ces changements sont sensibles. Optionnellement, le plan peut être sauvegardé dans un fichier.
Si la revue du plan est conforme aux actions souhaitées, il peut être appliqué :
Vérifions que notre conteneur est bien instancié :
C’est parfait, Terraform a fait le job. À l’issue de son exécution, un fichier tfstate a été généré afin de pouvoir conserver un lien entre ce qui a été généré et le code de l’infrastructure. Cela permet également de gérer l’ensemble du cycle de vie du provisionning de l’infrastructure, ce que nous allons faire en décommissionnant notre conteneur :
Que ce soit utilisé avec Docker, VMWare ou AWS [2], cette logique d’utilisation reste dans tous les cas valable.
2. Terraform dans le monde réel
L'exemple précédent n’était pas pertinent dans le périmètre d’un unique conteneur, mais permettait de s’approprier Terraform. Dès qu’il est question d’avoir plusieurs conteneurs qui doivent communiquer, d’exposer une application sur le réseau ou de permettre à un conteneur de disposer d’un stockage persistant, le besoin est tout autre.
L’outil de prédilection avec Docker est plutôt Docker Compose, mais d’une part l’utilisation du YAML rebute certaines personnes et d’autre part, son utilisation est limitée à ce système de conteneurisation. Terraform propose une autre syntaxe pour arriver à ses fins.
Pour que le lecteur puisse facilement comparer, je suis parti de la stack Docker Wordpress sur le dockerhub [3] et je vous propose une version écrite en Terraform. Cette stack déploie un conteneur de base de données et deux volumes persistants. J’ai juste remplacé MySQL par MariaDB pour ne pas déployer un produit issu d’Oracle sur ma machine.
Voici donc ce que donne notre stack Wordpress réécrite en Terraform :
provider "docker" {
host = "unix:///var/run/docker.sock"
}
resource "docker_network" "private_network" {
name = "wp_net"
}
resource "docker_volume" "wp_vol_db" {
name = "wp_vol_db"
}
resource "docker_volume" "wp_vol_html" {
name = "wp_vol_html"
}
resource "docker_container" "db" {
name = "db"
image = "mariadb"
restart = "always"
network_mode = "wp_net"
mounts {
type = "volume"
target = "/var/lib/mysql"
source = "wp_vol_db"
}
env = [
"MYSQL_ROOT_PASSWORD=rootpassword",
"MYSQL_DATABASE=wordpress",
"MYSQL_USER=exampleuser",
"MYSQL_PASSWORD=examplepass"
]
}
resource "docker_container" "wordpress" {
name = "wordpress"
image = "wordpress:latest"
restart = "always"
network_mode = "wp_net"
env = [
"WORDPRESS_DB_HOST=db",
"WORDPRESS_DB_USER=exampleuser",
"WORDPRESS_DB_PASSWORD=examplepass",
"WORDPRESS_DB_NAME=wordpress"
]
ports {
internal = "80"
external = "8080"
}
mounts {
type = "volume"
target = "/var/www/html"
source = "wp_vol_html"
}
}
Un terraform apply plus loin, nous pouvons vérifier le déploiement de nos deux conteneurs et accéder à notre application sur le port 8080 :
Conclusion
La grande force de Terraform à mon sens est de ne pas jouer le rôle d’une couche d’abstraction aux différents providers. C’est souvent un facteur de bugs ou une limitation sur un dénominateur commun de fonctionnalités, qui s’en trouvent forcément réduites. En effet, les ressources manipulées sont directement celles de la solution administrée. On ne manipule pas une VM, mais une instance EC2 ou une machine virtuelle VM avec leurs spécificités et fonctionnalités, ne limitant donc pas l’éventail de possibilités à un sous-ensemble de fonctionnalités partagées.
Le grand intérêt de Terraform réside dans la capacité de pouvoir utiliser un même outil et un même flux de travail avec une grande variété de providers.
Références
[1] Provider Docker pour Terraform : https://www.terraform.io/docs/providers/docker/index.html
[2] J. MOROT, « Infrastructure As Code sous AWS avec Terraform », GNU/Linux Magazine n°216, juin 2018 : https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMF-216/Infrastructure-As-Code-sous-AWS-avec-Terraform
[3] Image Wordpress sur DockerHub : https://hub.docker.com/_/wordpress/
