Неустойчивое создание / уничтожение прослушивателя http / https Terraform AWS ALB и вызвало ошибки для зависимостей
Это было задано в Terraform https://github.com/terraform-providers/terraform-provider-aws/issues/2456, но, похоже, проблемы провайдеров не привлекают большого внимания (я знаю, что команда terraform довольно небольшая команда, поэтому они не могли позаботиться обо всех проблемах, особенно в отношении провайдера) - но это действительно проблема блокировки для провайдера AWS, и ее очень легко воспроизвести.
Ниже наша тестовая конфигурация
variable "domain_name" {
default = "mytest.com"
}
variable "ssl_policy" {
default = "ELBSecurityPolicy-2016-08"
}
data "aws_acm_certificate" "mytest_certificate" {
domain = "*.${var.domain_name}"
}
resource "aws_alb" "alb" {
name = "khiem-test-alb"
internal = false
security_groups = ["sg-35482152"]
subnets = ["subnet-04c29a60", "subnet-d05915a6"]
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_target_group" "author_target_group" {
name = "khiem-author-target-group"
port = 8080
protocol = "HTTP"
vpc_id = "vpc-32c75856"
health_check = {
protocol = "HTTP"
path = "/.healthcheck/"
port = 8080
healthy_threshold = 5
unhealthy_threshold = 2
timeout = 5
interval = 30
matcher = "200"
}
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_target_group_attachment" "author_target_group_att" {
target_group_arn = "${aws_alb_target_group.author_target_group.arn}"
target_id = "i-0b305d179d6aacf57"
port = 8080
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_target_group" "public_target_group" {
name = "khiem-public-target-group"
port = 8080
protocol = "HTTP"
vpc_id = "vpc-32c75856"
health_check = {
protocol = "HTTP"
path = "/.healthcheck/"
port = 8080
healthy_threshold = 5
unhealthy_threshold = 2
timeout = 5
interval = 30
matcher = "200"
}
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_target_group_attachment" "public_target_group_att" {
target_group_arn = "${aws_alb_target_group.public_target_group.arn}"
target_id = "i-0b305d179d6aacf57"
port = 8080
lifecycle {
create_before_destroy = true
}
}
# http listener
resource "aws_alb_listener" "alb_http_listener" {
load_balancer_arn = "${aws_alb.alb.arn}"
port = "80"
protocol = "HTTP"
default_action {
target_group_arn = "${aws_alb_target_group.public_target_group.arn}"
type = "forward"
}
lifecycle {
create_before_destroy = true
}
}
# http listener rules
resource "aws_alb_listener_rule" "alb_http_public_rule" {
listener_arn = "${aws_alb_listener.alb_http_listener.arn}"
priority = 100
action {
type = "forward"
target_group_arn = "${aws_alb_target_group.public_target_group.arn}"
}
condition {
field = "host-header"
values = ["public-khiem.${var.domain_name}"]
}
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_listener_rule" "alb_http_author_rule" {
listener_arn = "${aws_alb_listener.alb_http_listener.arn}"
priority = 99
action {
type = "forward"
target_group_arn = "${aws_alb_target_group.author_target_group.arn}"
}
condition {
field = "host-header"
values = ["author-khiem.${var.domain_name}"]
}
lifecycle {
create_before_destroy = true
}
}
# https listener
resource "aws_alb_listener" "alb_https_listener" {
load_balancer_arn = "${aws_alb.alb.arn}"
port = "443"
protocol = "HTTPS"
ssl_policy = "${var.ssl_policy}"
certificate_arn = "${data.aws_acm_certificate.mytest_certificate.arn}"
default_action {
target_group_arn = "${aws_alb_target_group.public_target_group.arn}"
type = "forward"
}
lifecycle {
create_before_destroy = true
}
}
# https listener rules
resource "aws_alb_listener_rule" "alb_https_public_rule" {
listener_arn = "${aws_alb_listener.alb_https_listener.arn}"
priority = 100
action {
type = "forward"
target_group_arn = "${aws_alb_target_group.public_target_group.arn}"
}
condition {
field = "host-header"
values = ["public-khiem.${var.domain_name}"]
}
lifecycle {
create_before_destroy = true
}
}
resource "aws_alb_listener_rule" "alb_https_author_rule" {
listener_arn = "${aws_alb_listener.alb_https_listener.arn}"
priority = 99
action {
type = "forward"
target_group_arn = "${aws_alb_target_group.author_target_group.arn}"
}
condition {
field = "host-header"
values = ["author-khiem.${var.domain_name}"]
}
lifecycle {
create_before_destroy = true
}
}
По сути, конфигурация просто создает балансировщик нагрузки приложения, 2 целевые группы и прослушиватели http/https для маршрутизации запросов к каждой целевой группе на основе домена.
Эта простая настройка должна (и она работала в прошлом) работать правильно - совсем недавно мы обнаружили, что она становится нестабильной как для создания / уничтожения, так и для ресурсов прослушивателя HTTP или HTTPS, как-то неправильно записываются в состоянии Terraform, и это вызывает ошибку для других ресурсы зависят от них (например, aws_alb_listener_rule), ниже приведена ошибка при создании
Error applying plan:
2 error(s) occurred:
* aws_alb_listener_rule.alb_http_public_rule: Resource 'aws_alb_listener.alb_http_listener' does not have attribute 'arn' for variable 'aws_alb_listener.alb_http_listener.arn'
* aws_alb_listener_rule.alb_http_author_rule: Resource 'aws_alb_listener.alb_http_listener' does not have attribute 'arn' for variable 'aws_alb_listener.alb_http_listener.arn'
Terraform does not automatically rollback in the face of errors.
Instead, your Terraform state file has been partially updated with
any resources that successfully completed. Please address the error
above and apply again to incrementally change your infrastructure.
Это происходит не каждый раз, но в последнее время все чаще становится проще, если воспроизвести последовательность команд, например:
terraform apply && terraform destroy -force && terraform apply && terraform destroy -force
Мы протестировали и получили ту же ошибку нестабильности с Terraform 0.9.8 и 0.10.7, при получении ошибки, если мы снова запускаем ту же команду, это в основном работало - но это блокирует наш процесс автоматизации.