En este instructivo, aprenderás a almacenar el estado de Terraform en un bucket de Cloud Storage.
De forma predeterminada, Terraform almacena el estado de manera local en un archivo llamado terraform.tfstate
. Esta configuración predeterminada puede dificultar el uso de Terraform para los equipos cuando varios usuarios ejecutan Terraform al mismo tiempo y cada máquina tiene su propia comprensión de la infraestructura actual.
Para ayudarte a evitar esos problemas, en esta página, se muestra cómo configurar un estado remoto que apunte a un bucket de Cloud Storage. El estado remoto es una característica de los backends de Terraform.
Objetivos
En este instructivo, se muestra cómo realizar lo siguiente:
- Usar Terraform para aprovisionar un bucket de Cloud Storage para almacenar el estado de Terraform.
- Agregar plantillas en el archivo de configuración de Terraform para migrar el estado del backend local al bucket de Cloud Storage.
Costos
En este documento, usarás los siguientes componentes facturables de Google Cloud:
Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios.
Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.
Cloud Storage genera costos por el almacenamiento, las operaciones de lectura y escritura, la salida de red y la replicación.
El bucket de Cloud Storage en este instructivo tiene habilitado el control de versiones de objetos para mantener el historial de tus implementaciones. Habilitar el control de versiones de objetos aumenta los costos de almacenamiento, lo cual se puede mitigar si configuras la Administración del ciclo de vida de los objetos para que borre versiones de estado antiguas.
Antes de comenzar
-
In the Google Cloud console, activate Cloud Shell.
Cloud Shell viene preinstalado con Terraform.
Si usas un shell local, sigue estos pasos:
- Instala Terraform.
-
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Cloud Storage API:
gcloud services enable storage.googleapis.com
-
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/storage.admin
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For examples, see Represent workforce pool users in IAM policies. - Replace
ROLE
with each individual role.
Como alternativa, puedes crear un rol de IAM personalizado que contenga los siguientes permisos:
storage.buckets.create
storage.buckets.list
storage.objects.get
storage.objects.create
storage.objects.delete
storage.objects.update
Como práctica recomendada, sugerimos controlar el acceso al bucket y los archivos de estado almacenados allí. Solo un pequeño conjunto de usuarios (por ejemplo, el administrador principal de la nube y la persona que actúa como administrador alternativo o de respaldo) deben tener permisos de administrador para el bucket. Los otros desarrolladores deben tener permisos para escribir y leer objetos en el bucket.
- Replace
Prepare el entorno
Clona el repositorio de GitHub que contiene las muestras de Terraform:
git clone https://github.com/terraform-google-modules/terraform-docs-samples.git --single-branch
Cambia al directorio de trabajo:
cd terraform-docs-samples/storage/remote_terraform_backend_template
Revisa los archivos de Terraform
Revisa el archivo
main.tf
:cat main.tf
El resultado es similar al que se muestra a continuación:
En este archivo, se describen los siguientes recursos:
random_id
: Esto se agrega al nombre del bucket de Cloud Storage a fin de garantizar que haya un nombre único para el bucket.google_storage_bucket
: Es el bucket de Cloud Storage en el que se almacenará el archivo de estado. Este bucket está configurado para tener las siguientes propiedades:force_destroy
se configura comofalse
para garantizar que el bucket no se borre si hay objetos en él. Esto garantiza que la información de estado en el bucket no se borre por accidente.public_access_prevention
se establece enenforced
para garantizar que el contenido del bucket no se exponga accidentalmente al público.uniform_bucket_level_access
se establece entrue
para permitir controlar el acceso al bucket y su contenido con permisos de IAM en lugar de listas de control de acceso.versioning
está habilitado para garantizar que las versiones anteriores del estado se conserven en el bucket.
local_file
: Un archivo local. El contenido de este archivo le indica a Terraform que use el bucket de Cloud Storage como backend remoto una vez que se cree el bucket.
Aprovisiona el bucket de Cloud Storage
Inicializa Terraform mediante este comando:
terraform init
Cuando ejecutas
terraform init
por primera vez, el bucket de Cloud Storage que especificaste en el archivomain.tf
aún no existe, por lo que Terraform inicializa un backend local para almacenar el estado en el sistema de archivos local.Aplica la configuración para aprovisionar los recursos descritos en el archivo
main.tf
:terraform apply
Cuando se te solicite, ingresa
yes
.Cuando ejecutas
terraform apply
por primera vez, Terraform aprovisiona el bucket de Cloud Storage para almacenar el estado. También crea un archivo local; el contenido de este archivo le indica a Terraform que use el bucket de Cloud Storage como backend remoto para almacenar el estado.
Migra el estado al bucket de Cloud Storage
Migra el estado de Terraform al backend remoto de Cloud Storage:
terraform init -migrate-state
Terraform detecta que ya tienes un archivo de estado de forma local y te solicita que migres el estado al nuevo bucket de Cloud Storage. Cuando se te solicite, ingresa
yes
.
Después de ejecutar este comando, el estado de Terraform se almacena en el bucket de Cloud Storage. Terraform extrae el estado más reciente de este bucket antes de ejecutar un comando y lo envía al bucket después de ejecutar un comando.
Realiza una limpieza
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.
Borra el proyecto
Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.
Abre el archivo
main.tf
.En el recurso
google_storage_bucket.default
, actualiza el valor deforce_destroy
atrue
.Aplica la configuración actualizada:
terraform apply
Cuando se te solicite, ingresa
yes
.Borra el archivo de estado:
rm backend.tf
Vuelve a configurar el backend para que sea local:
terraform init -migrate-state
Cuando se te solicite, ingresa
yes
.Ejecuta el siguiente comando para borrar los recursos de Terraform:
terraform destroy
Cuando se te solicite, ingresa
yes
.