【Terraform学习】保护敏感变量(Terraform配置语言学习)

实验步骤

创建 EC2 IAM 角色

  • 导航到IAM

  • 左侧菜单中,单击角色 。单击创建角色该按钮以创建新的 IAM 角色

  • 在创建角色部分,为角色选择可信实体类型

    • AWS 服务

    • 使用案例:EC2

创建IAM

 

 

  • 单击下一步

    • 添加权限:现在,您可以看到策略列表。按名称AdministratorAccess搜索权限并添加。

    • 单击下一步

    • 角色名称:输入 TERRAFORM_EC2

    • 已成功按名称 TERRAFORM_EC2 创建了一个 IAM 角色。

  • 注意:您可以使用其他名称创建角色,然后将其附加到 EC2 实例


启动 EC2 实例

  • 请确保您位于美国东部(弗吉尼亚北部)us-east-1 区域。

  • 顶部菜单导航到 EC2

  • 左侧面板,单击"实例",然后单击"启动新实例"

(1)控制台启动实例

控制台启动实例

 

 

(2)选择系统镜像

选择系统镜像

 

(3)选择实例类型

选择实例类型

  

 

(4)配置实例

  • 实例数:输入 1

  • IAM角色:从列表中选择我们在上面创建的 IAM 角色

  • 将所有其他设置保留为默认值。单击"下一步:添加存储"

(5)添加存储

添加存储

  

(6)添加标签 

  • 添加标签:点击添加标签按钮

    • 键:Name

    • 值:MyEC2Instance

    • 点击下一步:配置安全组

(7) 配置安全组

  • 添加 SSH:

  . 选择类型: 选择 SSH. 协议:TCP. 端口范围:22. 源:选择"任何位置"
  • 点击下一步 审核和启动

(8) 审核启动

  • 检查所有选定的设置,无误点击启动

  • 选择现有密钥对,确认并单击启动实例

 

现有密钥


环境配置

  • SSH 连接到 EC2 实例

  • 以下命令切换到root权限

    • sudo su

  • 以下命令安装本实验所需软件

    • yum install git -y

  • 安装 Terraform: 地址


下载仓库代码模版部署

  • 您需要使用 git clone https://github.com/hashicorp/learn-terraform-sensitive-variables.git 命令将代码模版拉取到EC2实例中

  • 确保您这些文件在同一位置

  • 通过运行以下命令初始化 Terraform

    • terraform init

    • 注意:terraform init检查所有插件依赖项下载它们

  • 查看生成计划,请运行以下命令

    • terraform plan

  • 创建在 main.tf 配置文件中声明的所有资源 ,请运行以下命令

    • terraform apply

  • 您将能够看到将要创建的资源,通过输入 yes 批准所有资源的创建

  • terraform apply 命令最多可能需要 2 分钟才能创建资源


重构数据库凭据

  • 文本编辑器中打开main.tf。在文件底部附近,找到定义数据库的块重构此配置

  • 首先,variables.tf中声明数据库管理员用户名和密码的输入变量

variable "db_username" {description = "Database administrator username"type        = stringsensitive   = true
}variable "db_password" {description = "Database administrator password"type        = stringsensitive   = true
}
  • 请注意,您已将变量声明为sensitive。现在更新main.tf以引用这些变量

resource "aws_db_instance" "database" {allocated_storage = 5engine            = "mysql"instance_class    = "db.t2.micro"
-  username          = "admin"
-  password          = "notasecurepassword"
+  username          = var.db_username
+  password          = var.db_passworddb_subnet_group_name = aws_db_subnet_group.private.nameskip_final_snapshot = true
}
  • 如果您现在要执行部署,Terraform 会提示您输入这些新变量的值,因为您尚未为它们分配默认值。但是,手动输入值非常耗时且容易出错

  • 接下来,您将使用两种不同的方法来设置敏感变量值


使用tfvars文件设置值

  • Terraform 支持使用变量定义文件设置变量值。您可以使用多个变量定义文件,使用单独的文件来设置敏感值或机密值

  • 创建一个新文件secret.tfvars,用于为新变量赋值

db_username = "admin"
db_password = "insecurepassword"
  • 应用这些更改

    • terraform apply -var-file="secret.tfvars"

  • 因为您已将新变量标记为敏感变量,所以当您运行计划、应用或销毁命令时,Terraform 会输出<sensitive value>


使用环境变量设置值

  • 当Terraform运行时,它会在您的环境中查找与模式匹配的变量,并将这些值分配给配置中相应的Terraform变量

  • 使用环境变量为数据库管理员用户名和密码分配值

    • export TF_VAR_db_username=admin TF_VAR_db_password=adifferentpassword

  • 现在,运行terraform apply,Terraform 会将这些值分配给您的新变量


引用敏感变量

  • 在 Terraform 配置中使用敏感变量时,可以像使用任何其他变量一样使用它们

  • 将以下输出值添加到outputs.tf

output "db_connect_string" {description = "MySQL database connection string"value       = "Server=${aws_db_instance.database.address}; Database=ExampleDB; Uid=${var.db_username}; Pwd=${var.db_password}"
}
  • 现在应用此更改。Terraform 将引发错误,因为输出来自敏感变量

    • terraform apply

  • 现在将数据库连接字符串输出标记为sensitive使 Terraform 将其隐藏

output "db_connect_string" {description = "MySQL database connection string"value       = "Server=${aws_db_instance.database.address}; Database=ExampleDB; Uid=${var.db_username}; Pwd=${var.db_password}"
+  sensitive   = true
}
  • 应用此更改以查看 Terraform 现在将数据库连接字符串输出。

    • terraform apply

## ...
Outputs:db_connect_string = <sensitive>

状态中的敏感值

  • 使用本地状态文件运行 Terraform 命令时,Terraform 会将状态存储为纯文本(包括变量值),即使您已将其标记为sensitive

  • Terraform 需要将这些值存储在您的状态中,以便它可以告诉您自上次应用配置以来是否更改了它们

terraform.tfstate"value": "Server=terraform-20210113192204255400000004.ct4cer62f3td.us-east-1.rds.amazonaws.com; Database=ExampleDB; Uid=admin; Pwd=adifferentpassword","password": "adifferentpassword",
## ...
  • 由于 Terraform 状态可能包含敏感值,因此必须确保状态文件的安全以避免泄露此数据

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/90894.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

聊聊在集群环境中本地缓存如何进行同步

前言 之前有发过一篇文章聊聊如何利用redis实现多级缓存同步。有个读者就给我留言说&#xff0c;因为他项目的redis版本不是6.0版本&#xff0c;因此他使用我文章介绍通过MQ来实现本地缓存同步&#xff0c;他的同步流程大概如下图 他原来的业务流程是每天凌晨开启定时器去爬取…

游戏类APP如何提升用户的活跃度?

移动游戏行业&#xff0c;追求使用率的营销能发挥强大的功效&#xff0c;可帮助减少玩家流失、追回流失的玩家、提高活跃玩家所带来的价值以及增加付费玩家贡献的收入。 一、了解玩家需求 想要提升玩家的活跃&#xff0c;首先要知道&#xff0c;玩家喜欢玩哪些平台的游戏&…

Win10安装GPU支持的最新版本的tensorflow

我在安装好cuda和cudnn后&#xff0c;使用pip install tensorflow安装的tensorflow都提示不能找到GPU&#xff0c; 为此怀疑默认暗转的tensorflow是不带GPU支持的。 在tensorflow官网提供了多个版本的GPU支持的windows的安装包 https://www.tensorflow.org/install/pip?hlz…

Debian 10驱动Broadcom 无线网卡

用lspci命令查询无线网卡品牌&#xff1a; 运行下面代码后&#xff0c;重启即可。 apt-get install linux-image-$(uname -r|sed s,[^-]*-[^-]*-,,) linux-headers-$(uname -r|sed s,[^-]*-[^-]*-,,) broadcom-sta-dkms

SSH远程连接MacOS catalina并进行终端颜色配置

一、开关SSH服务 在虚拟机上安装了MacOS catalina&#xff0c;想要使用SSH远程进行连接&#xff0c;但是使用“系统偏好设置”/“共享”/“远程登录”开关进行打开&#xff0c;却一直是正在启动“远程登录”&#xff1a; 难道是catalina有BUG&#xff1f;不过还是有方法的&…

Docker本地镜像发布到阿里云

1. 本地镜像发布到阿里云 2. 镜像的生成方法 OPTIONS说明&#xff1a; -a :提交的镜像作者&#xff1b; -m :提交时的说明文字&#xff1b; 本次案例centosubuntu两个&#xff0c;当堂讲解一个&#xff0c;家庭作业一个&#xff0c;请大家务必动手&#xff0c;亲自实操。 docke…

论文复现--关于多视角动作捕捉工具箱 --XRMoCap的研究

分类&#xff1a;动作捕捉 github地址&#xff1a;https://github.com/openxrlab/xrmocap 所需环境&#xff1a; Ubuntu18.04&#xff0c;conda22.9.0&#xff0c;CUDA11.4 目录 一.环境配置conda list 一.环境配置 # 1.创建环境 conda create -n XRmocap python3.7 -y conda …

值传递、形参实参的关系、地址传递(指针和函数)

1 值传递 实现两个数字进行交换&#xff0c;代码和运行结果如下所示&#xff1a; #include<iostream> using namespace std;void change(int a, int b) {int temp a;a b;b temp;cout << "change a " << a << endl;cout << "…

【考研数学】高等数学第三模块——积分学 | Part II 定积分(反常积分及定积分应用)

文章目录 前言三、广义积分3.1 敛散性概念&#xff08;一&#xff09;积分区间为无限的广义积分&#xff08;二&#xff09;积分区间有限但存在无穷间断点 3.2 敛散性判别法 四、定积分应用写在最后 前言 承接前文&#xff0c;梳理完定积分的定义及性质后&#xff0c;我们进入…

C++ 二叉树(建立、销毁、前中后序遍历和层次遍历,寻找双亲结点等)

&#xff08;1&#xff09;结构体和类定义 struct BTreeNode {T data;BTreeNode* left, * right;BTreeNode() :data(0), left(nullptr), right(nullptr) {}BTreeNode(T val, BTreeNode<T>* leftChild nullptr, BTreeNode<T>* rightChild nullptr):data(val), le…

Redis_事务操作

13. redis事务操作 13.1事务简介 原子性(Atomicity) 一致性(Consistency) 隔离性(isolation) 持久性(durabiliby) ACID 13.2 Redis事务 提供了multi、exec命令来完成 第一步&#xff0c;客户端使用multi命令显式地开启事务第二步&#xff0c;客户端把事务中要执行的指令发…

Docker-使用数据卷、文件挂载进行数据存储与共享

一、前言 默认情况下&#xff0c;在Docker容器内创建的所有文件都只能在容器内部使用。容器删除后&#xff0c;数据也跟着删除&#xff0c;虽然通常我们不会删除容器&#xff0c;但是一旦宿主机发生故障&#xff0c;我们重新创建容器恢复服务&#xff0c;那么之前容器创建的文…

Transformer(一)简述(注意力机制,NLP,CV通用模型)

目录 1.Encoder 1.1简单理解Attention 1.2.什么是self-attention 1.3.怎么计算self-attention 1.4.multi-headed&#xff08;q&#xff0c;k&#xff0c;v不区分大小写&#xff09; 1.5.位置信息表达 2.Decoder&#xff08;待补充&#xff09; 3.BERT 参考文献 1.Encode…

DevOps系列文章 之 SpringBoot整合GitLab-CI实现持续集成

在企业开发过程中&#xff0c;我们开发的功能或者是修复的BUG都需要部署到服务器上去&#xff0c;而这部分部署操作又是重复且繁琐的工作&#xff0c;GitLab-CI 持续集成为我们解决了这一痛点&#xff0c;将重复部署的工作自动化&#xff0c;大大的节省了程序员们的宝贵时间。本…

Android复习(Android基础-四大组件)——Broadcast

1. 广播分类 广播的发送方式&#xff1a;标准广播、有序广播、粘性广播广播的类型&#xff1a;系统广播、本地广播 1.1 标准广播 完全异步&#xff0c;无序的广播发出后&#xff0c;所有的广播接收器几乎都会在同一时间收到消息。&#xff08;异步&#xff09;但是消息无法截…

获取部门完整路径数据

1: 获取部门数据 (基础) SELECT id, CONCAT(pid_path,id) as pid_path2,pid_path,title FROM web_department;2: 获取部门数据 (进阶, 但是是,分隔) SELECT t1.id, t1.title, CONCAT(t1.pid_path, ,, t1.id) AS pid_path,(SELECT GROUP_CONCAT(t2.title ORDER BY FIND_IN_SET…

Nginx环境搭建以及Docker环境部署

目录 Nginx环境搭建 1.首先创建Nginx的目录并进入 2.下载Nginx的安装包 可以通过FTP工具上传离线环境包&#xff0c;也可通过wget命令在线获取安装包 没有wget命令的可通过yum命令安装 3.解压Nginx的压缩包 4.下载并安装Nginx所需的依赖库和包 安装方式一 安装方式二 --- 也…

NLP文本匹配任务Text Matching [无监督训练]:SimCSE、ESimCSE、DiffCSE 项目实践

NLP文本匹配任务Text Matching [无监督训练]&#xff1a;SimCSE、ESimCSE、DiffCSE 项目实践 文本匹配多用于计算两个文本之间的相似度&#xff0c;该示例会基于 ESimCSE 实现一个无监督的文本匹配模型的训练流程。文本匹配多用于计算两段「自然文本」之间的「相似度」。 例如…

TypeScript 关于对【泛型】的定义使用解读

目录 概念导读泛型函数多个泛型参数泛型约束泛型别名泛型接口泛型类总结&#xff1a; 概念导读 泛型&#xff08;Generics&#xff09;是指在定义函数、接口或类的时候&#xff0c;不预先指定具体的类型&#xff0c;而在使用的时候再指定类型的一种特性。使用泛型 可以复用类型…

C++入门

目录 一&#xff1a;关键字 二&#xff1a;命名空间 1.引入 2.命名空间的定义 <1>:命名空间中定义变量/函数/类型 <2>:命名空间可以嵌套 <3>:同一个工程中允许存在多个相同名称的命名空间,编译器最后会合成同一个命名空间中 3.命名空…