Création d'une Infra avec Terraform, Ansible et Packer
Mise à jour :
Aujourd’hui, je vais partager avec vous un projet passionnant : la création d’une infrastructure sur le cloud Outscale. Ce projet utilise des outils d’infra-as-code tels que Terraform, Ansible et Packer. Ces outils ne sont pas seulement puissants, mais aussi essentiels dans le monde du DevOps pour automatiser et optimiser la gestion des infrastructures cloud.
Objectif du Lab
L’objectif ici est de construire un réseau composé d’un VPC ↗ (Virtual Private Cloud) qui contient deux sous-réseaux, un public et un privé. Dans le sous-réseau public, nous intégrerons un bastion exposé avec une IP Publique ↗ et une combinaison de NAT ↗ (Network Address Translation) Gateway et Internet Gateway ↗ pour gérer le trafic. Le sous-réseau privé, quant à lui, hébergera un service web, exposé sur internet via un load balancer ↗. Pour sécuriser le tout, je ferais appel aux Security Group ↗.
Configuration de l’Environnement de Travail
Après avoir introduit les objectifs de mon projet, il est essentiel de préparer
correctement notre environnement de travail. Pour cela, je vais vous montrer
comment configurer votre environnement en utilisant asdf
, direnv
.
asdf-vm est un gestionnaire de versions pour de multiples langages et outils DevOps. Il permet de gérer facilement les versions de divers outils et langages, tels que Python, Ansible, Terraform et Packer, pour n’en nommer que quelques-uns.
direnv est un outil d’automatisation d’environnement. Il charge et décharge les variables d’environnement selon le répertoire dans lequel vous vous trouvez. C’est particulièrement utile pour gérer des configurations spécifiques à de multiples projets.
Commençons par créer le répertoire de l’environnement :
Installation de direnv
:
Création d’un fichier .envrc
dans votre projet :
Installation des outils
La CLI AWS est essentielle pour interagir avec les services AWS. Grâce à asdf
,
nous pouvons gérer sa version plus efficacement.
Installation de la CLI AWS :
Vous devriez retrouver un fichier .tool-versions
contenant ceci :
Ajoutons-y Terraform 1.5.7 et Packer 1.8.7 :
Configuration de la CLI AWS pour gérer le cloud Outscale :
Saisissez vos Access et Secret Key que vous aurez au préalable créé dans le
Cockpit Outscale. Pour la région, j’ai utilisé eu-west-2
. Éditez le
fichier .aws/config
et ajouter cette ligne dans la section endpoint_url = https://fcu.eu-west-2.outscale.com
en indiquant bien cette région.
Un petit test :
Si vous utilisez plusieurs profils, ce que je fais en créant un profil par projet, remplacez défaut par le vôtre !
Configuration de Terraform
Comme je vais découper mon projet en sous partie, je crée cette arborescence :
Créez un fichier provider.tf
avec ce contenu :
Créez aussi un fichier de variables variables.tf
:
Avant de lancer l’initialisation, créons le backend S3 avec la CLI AWS :
Il faut aussi ajouter les variables suivantes dans le fichier .envrc
et lancer
la commande direnv allow
:
On peut lancer l’initialisation de notre code Terraform :
Création du VPC et Sous-réseaux
Après avoir configuré notre environnement de travail et Terraform, il est temps de plonger dans le cœur du sujet : la création du VPC (Virtual Private Cloud) et des sous-réseaux sur Outscale.
Création du VPC
Je commence par définir notre VPC sur Outscale. Un VPC est un réseau virtuel dédié à notre environnement cloud. Il va fournir le cadre dans lequel nos sous-réseaux et ressources cloud vont interagir.
Créons un fichier networks.tf
et y définissons notre VPC :
Ajoutons l’Internet Gateway à notre VPC, qui va connecter notre réseau à internet :
Exécutez terraform apply
pour créer le VPC sur Outscale.
Configuration des Sous-réseaux
Maintenant, créons deux sous-réseaux : un public et un privé. Le sous-réseau public accueillera notre bastion et notre NAT Gateway, tandis que le sous-réseau privé hébergera des applications.
Ajoutons la configuration des sous-réseaux dans networks.tf
:
Exécutez terraform apply
pour créer les sous-réseaux dans notre VPC.
Mise en Place du Sous-réseau Public
Dans cette partie, je vais vous expliquer comment configurer le sous-réseau public de notre VPC sur Outscale. Ce sous-réseau joue un rôle important, car il contiendra notre bastion ssh et les composants essentiels pour la connectivité Internet, comme la NAT Gateway et l’Internet Gateway.
La NAT Gateway est nécessaire pour permettre aux ressources du sous-réseau privé d’accéder à Internet de manière contrôlée et pour permettre le trafic entrant vers le sous-réseau public.
Déployons la NAT Gateway dans le sous-réseau public :
Pour que notre réseau fonctionne, il faut ajouter des règles appelées routes qui indiquent où le trafic réseau est dirigé. Elles sont créées pour un Net et sont utilisées par un routeur, qui est automatiquement créé au sein de votre Net, afin de déterminer comment router le trafic.
Chaque Subnet d’un Net doit être associé à une route table, qui contrôle le routage pour toutes les machines virtuelles (VM) placées dans ce Subnet. Une même route table peut être associée à plusieurs Subnets, mais un Subnet ne peut être associé qu’à une seule route table. Plus d’infos sur les routes table ↗
Nous devons aussi ajouter une route avec le bloc CIDR 0.0.0.0/0 en destination et l’ID de la NAT Gateway en destination.
Dans le fichier networks.tf
, ajoutez ces lignes :
Mise en place des Security Group
Un security group
est un appareil réseau virtuel agissant comme un pare-feu et
un switch, qui autorise ou interdit les flux entrants ou sortants d’une ou
plusieurs VM. Ils permettent donc aux VM de communiquer entre elles ou avec des
services ou appareils externes selon les règles que vous spécifiez.
Les security groups
sont soit alloués pour le Cloud public, soit pour un Net
que vous spécifiez. Ici, je vais en créer deux générales pour mon VPC :
Ajoutons les règles qui définissent quels flux entrants, Inbound
, sont
autorisés à atteindre les VM et quels flux sortants, Outbound
, sont autorisés
à les quitter. Je vais créer ici que des règles entrantes. Dans un premier
temps, je crée une première règle qui va autoriser toutes les IP à utiliser le
flux ssh
. Par la suite, je limiterai aux seuls IP connues.
Je créé une seconde règle qui autorisera toutes les IP à utiliser les flux
http
, https
et ssl
.
Dans le fichier networks.tf
, ajoutez ces lignes :
Exécutez terraform apply
pour créer tous ces éléments de réseau.
Installation et Configuration du Bastion
Le bastion agit comme un point d’accès sécurisé pour la gestion de notre infrastructure cloud.
Initialisation
Pour ne pas créer qu’une seule stack Terraform, je crée un nouveau dossier nommé bastion, ce qui donne :
Je recopie les fichiers providers.tf
et variables.tf
de la stack infra.
Éditez-les et remplacer la key du backend S3 pour ne pas écraser celle du réseau
:
Ajoutons une instance compute dans notre sous-réseau public qui va servir de bastion, mais pour cela, nous allons avoir besoin de retrouver plusieurs informations comme l’id de l’image, l’id du security group, l’id du subnet. Pour cela, nous utilisons les datasources de Terraform :
Vous remarquez que j’utilise une OMI personnalisée que j’ai créé au préalable avec Packer. J’utilise la règle ssh pour n’autorisez que le flux du même nom.
J’ai besoin aussi d’une clé ssh qui me permettra d’accéder à notre VM :
Mais aussi d’une IP publique :
Nous avons toutes les informations nécessaires à la création de la VM :
Pour récupérer l’adresse IP publique créons un fichier output.tf
dans lequel
vous ajouterez ces lignes :
Exécutez terraform apply
pour créer notre première instance. L’IP ne
s’affichera pas la première fois, vous pouvez la récupérer en lançant la
commande terraform refresh
:
On va pouvoir se connecter.
Configuration du Jump vers le réseau privé
Pour nous connecter aux futures instances présentes dans notre réseau privé,
nous devrons passer par le bastion. Écrivons tout de suite la configuration SSH.
Éditez le fichier ~/.ssh/config
et ajoutez ces lignes :
Comme vous le remarquez, je vais utiliser l’agent SSH pour me connecter. Donc
dans votre fichier .bashrc
ajoutez ces lignes :
Je charge la clé ssh
défini dans la keypair.
Pour vérifier, que notre instance est démarrée, utilisons la cli AWS :
J’utilise un filtre sur le tag Name
. Son status est running
, on peut donc se
connecter dessus. Mais avant, nous allons la configurer avec Ansible en
utilisant l’inventaire dynamique AWS.
La suite
Retrouvez la suite de ce guide dans une deuxième partie