Guia de início rápido: implante seu primeiro recurso do Azure resource_action com o provedor AzAPI Terraform

Terraform permite a definição, visualização e implantação de infraestrutura em nuvem. Usando Terraform, você cria arquivos de configuração usando a sintaxe HCL. A sintaxe HCL permite especificar o provedor de nuvem - como o Azure - e os elementos que compõem sua infraestrutura de nuvem. Depois de criar os arquivos de configuração, você cria um plano de execução que permite visualizar as alterações na infraestrutura antes que elas sejam implantadas. Depois de verificar as alterações, você aplica o plano de execução para implantar a infraestrutura.

Neste artigo, você aprenderá a usar o provedor AzAPI Terraform para executar uma ação imperativa em um recurso. O azapi_resource_action será usado para listar as chaves do Azure Key Vault.

Pré-requisitos

• Subscrição do Azure: se não tem uma subscrição do Azure, crie uma conta gratuita antes de começar.

• Configurar o Terraform: Se você ainda não tiver feito isso, configure o Terraform usando uma das seguintes opções:

  • Configurar o Terraform no Azure Cloud Shell com Bash
  • Configurar o Terraform no Azure Cloud Shell com o PowerShell
  • Configurar o Terraform no Windows com Bash
  • Configurar o Terraform no Windows com o PowerShell

Implementar o código Terraform

1. Crie um diretório no qual testar o código Terraform de exemplo e torná-lo o diretório atual.

2. Crie um arquivo chamado providers.tf e insira o seguinte código:

   terraform {
     required_providers {
       azapi = {
         source = "Azure/azapi"
       }
     }
   }
   
   provider "azapi" {}
   
   provider "azurerm" {
     features {}
   }
   

3. Crie um arquivo chamado main.tf e insira o seguinte código:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     name     = random_pet.rg_name.id
     location = var.resource_group_location
   }
   
   data "azurerm_client_config" "current" {}
   
   resource "random_string" "azurerm_key_vault_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   locals {
     current_user_id = coalesce(var.msi_id, data.azurerm_client_config.current.object_id)
   }
   
   resource "azurerm_key_vault" "vault" {
     name                       = coalesce(var.vault_name, "vault-${random_string.azurerm_key_vault_name.result}")
     location                   = azurerm_resource_group.rg.location
     resource_group_name        = azurerm_resource_group.rg.name
     tenant_id                  = data.azurerm_client_config.current.tenant_id
     sku_name                   = var.sku_name
     soft_delete_retention_days = 7
   
     access_policy {
       tenant_id = data.azurerm_client_config.current.tenant_id
       object_id = local.current_user_id
   
       key_permissions    = var.key_permissions
       secret_permissions = var.secret_permissions
     }
   }
   
   resource "random_string" "azurerm_key_vault_key_name" {
     length  = 13
     lower   = true
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_key_vault_key" "key" {
     name = coalesce(var.key_name, "key-${random_string.azurerm_key_vault_key_name.result}")
   
     key_vault_id = azurerm_key_vault.vault.id
     key_type     = var.key_type
     key_size     = var.key_size
     key_opts     = var.key_ops
   
     rotation_policy {
       automatic {
         time_before_expiry = "P30D"
       }
   
       expire_after         = "P90D"
       notify_before_expiry = "P29D"
     }
   }
   

4. Crie um arquivo chamado variables.tf e insira o seguinte código:

   variable "resource_group_location" {
     type        = string
     description = "Location for all resources."
     default     = "eastus"
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
     default     = "rg"
   }
   
   variable "vault_name" {
     type        = string
     description = "The name of the key vault to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "key_name" {
     type        = string
     description = "The name of the key to be created. The value will be randomly generated if blank."
     default     = ""
   }
   
   variable "sku_name" {
     type        = string
     description = "The SKU of the vault to be created."
     default     = "standard"
     validation {
       condition     = contains(["standard", "premium"], var.sku_name)
       error_message = "The sku_name must be one of the following: standard, premium."
     }
   }
   
   variable "key_permissions" {
     type        = list(string)
     description = "List of key permissions."
     default     = ["List", "Create", "Delete", "Get", "Purge", "Recover", "Update", "GetRotationPolicy", "SetRotationPolicy"]
   }
   
   variable "secret_permissions" {
     type        = list(string)
     description = "List of secret permissions."
     default     = ["Set"]
   }
   
   variable "key_type" {
     description = "The JsonWebKeyType of the key to be created."
     default     = "RSA"
     type        = string
     validation {
       condition     = contains(["EC", "EC-HSM", "RSA", "RSA-HSM"], var.key_type)
       error_message = "The key_type must be one of the following: EC, EC-HSM, RSA, RSA-HSM."
     }
   }
   
   variable "key_ops" {
     type        = list(string)
     description = "The permitted JSON web key operations of the key to be created."
     default     = ["decrypt", "encrypt", "sign", "unwrapKey", "verify", "wrapKey"]
   }
   
   variable "key_size" {
     type        = number
     description = "The size in bits of the key to be created."
     default     = 2048
   }
   
   variable "msi_id" {
     type        = string
     description = "The Managed Service Identity ID. If this value isn't null (the default), 'data.azurerm_client_config.current.object_id' will be set to this value."
     default     = null
   }
   

5. Crie um arquivo chamado outputs.tf e insira o seguinte código:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   
   output "azurerm_key_vault_name" {
     value = azurerm_key_vault.vault.name
   }
   
   output "azurerm_key_vault_id" {
     value = azurerm_key_vault.vault.id
   }
   

6. Crie um arquivo chamado main-generic.tf e insira o seguinte código:

   data "azapi_resource_action" "example" {
     type                   = "Microsoft.KeyVault/vaults@2023-07-01"
     resource_id            = azurerm_key_vault.vault.id
     action                 = "listKeys"
   }
   

Inicializar o Terraform

Execute terraform init para inicializar a implantação do Terraform. Este comando baixa o provedor do Azure necessário para gerenciar seus recursos do Azure.

terraform init -upgrade

Pontos principais:

• O -upgrade parâmetro atualiza os plug-ins de provedor necessários para a versão mais recente que está em conformidade com as restrições de versão da configuração.

Criar um plano de execução do Terraform

Execute o plano de terraforma para criar um plano de execução.

terraform plan -out main.tfplan

Pontos principais:

• O terraform plan comando cria um plano de execução, mas não o executa. Em vez disso, ele determina quais ações são necessárias para criar a configuração especificada em seus arquivos de configuração. Esse padrão permite que você verifique se o plano de execução corresponde às suas expectativas antes de fazer quaisquer alterações nos recursos reais.
• O parâmetro opcional -out permite especificar um arquivo de saída para o plano. O uso do -out parâmetro garante que o plano revisado seja exatamente o que é aplicado.

Aplicar um plano de execução Terraform

Execute terraform apply para aplicar o plano de execução à sua infraestrutura de nuvem.

terraform apply main.tfplan

Pontos principais:

• O comando de exemplo terraform apply pressupõe que você executou terraform plan -out main.tfplananteriormente o .
• Se você especificou um nome de arquivo diferente para o -out parâmetro, use esse mesmo nome de arquivo na chamada para terraform apply.
• Se você não usou o -out parâmetro, ligue terraform apply sem nenhum parâmetro.

Verificar os resultados

Pontos principais:

• A lista de chaves é exibida na terraform apply saída.

Clean up resources (Limpar recursos)

Quando você não precisar mais dos recursos criados via Terraform, execute as seguintes etapas:

1. Execute o plano de terraforma e especifique o destroy sinalizador.

   terraform plan -destroy -out main.destroy.tfplan
   

   Pontos principais:

   • O terraform plan comando cria um plano de execução, mas não o executa. Em vez disso, ele determina quais ações são necessárias para criar a configuração especificada em seus arquivos de configuração. Esse padrão permite que você verifique se o plano de execução corresponde às suas expectativas antes de fazer quaisquer alterações nos recursos reais.
   • O parâmetro opcional -out permite especificar um arquivo de saída para o plano. O uso do -out parâmetro garante que o plano revisado seja exatamente o que é aplicado.

2. Execute terraform apply para aplicar o plano de execução.

   terraform apply main.destroy.tfplan
   

Solucionar problemas do Terraform no Azure

Solucionar problemas comuns ao usar o Terraform no Azure

Próximos passos