Работа с Google Cloud Platform (compute firewall) и Terraform в Unix/Linux

Работа с Google Cloud Platform (compute firewall) и Terraform в Unix/Linux

Google Cloud Platrorm — это платформа вида «инфраструктура как сервис» (IaaS), позволяющая клиентам создавать, тестировать и развертывать собственные приложения на инфраструктуре Google, в высокопроизводительных виртуальных машинах.

Google Compute Engine предоставляет виртуальные машины, работающие в инновационных центрах обработки данных Google и всемирной сети.

compute firewall — собственно,  — набор правил для обеспечения защиты compute экземпляров. Все что не разрешено, — будет закрыто. Неплохой придумали солюшен для клауда.

Установка terraform в Unix/Linux

Установка крайне примитивная и я описал как это можно сделать тут:

Установка terraform в Unix/Linux

Вот еще полезные статьи по GCP + Terrafrom:

Работа с Google Cloud Platform (compute instance) и Terraform в Unix/Linux

Работа с Google Cloud Platform (compute health check) и Terraform в Unix/Linux

Работа с Google Cloud Platform (compute target pool) и Terraform в Unix/Linux

Работа с Google Cloud Platform (compute forwarding rule) и Terraform в Unix/Linux

Так же, в данной статье, я создал скрипт для автоматической установки данного ПО. Он был протестирован на CentOS 6/7, Debian 8 и на Mac OS X. Все работает должным образом!

Чтобы получить помощь по использованию команд, выполните:

$ terraform --help
Usage: terraform [--version] [--help] <command> [args]

The available commands for execution are listed below.
The most common, useful commands are shown first, followed by
less common or more advanced commands. If you're just getting
started with Terraform, stick with the common commands. For the
other commands, please read the help and docs before usage.

Common commands:
    apply              Builds or changes infrastructure
    console            Interactive console for Terraform interpolations
    destroy            Destroy Terraform-managed infrastructure
    env                Workspace management
    fmt                Rewrites config files to canonical format
    get                Download and install modules for the configuration
    graph              Create a visual graph of Terraform resources
    import             Import existing infrastructure into Terraform
    init               Initialize a Terraform working directory
    output             Read an output from a state file
    plan               Generate and show an execution plan
    providers          Prints a tree of the providers used in the configuration
    push               Upload this Terraform module to Atlas to run
    refresh            Update local state file against real resources
    show               Inspect Terraform state or plan
    taint              Manually mark a resource for recreation
    untaint            Manually unmark a resource as tainted
    validate           Validates the Terraform files
    version            Prints the Terraform version
    workspace          Workspace management

All other commands:
    debug              Debug output management (experimental)
    force-unlock       Manually unlock the terraform state
    state              Advanced state management

Приступим к использованию!

Работа с Google Cloud Platform (compute firewall) и Terraform в Unix/Linux

Первое что нужно сделать — это настроить «Cloud Identity». С помощью сервиса Google Cloud Identity вы сможете предоставлять доменам, пользователям и аккаунтам в организации доступ к ресурсам Cloud, а также централизованно управлять пользователями и группами через консоль администратора Google.

Полезное чтиво:

Установка Google Cloud SDK/gcloud в Unix/Linux

У меня есть папка terraform, в ней у меня будут лежать провайдеры с которыми я буду работать. Т.к в этом примере я буду использовать google_cloud_platform, то создам данную папку и перейду в нее. Далее, в этой папке, стоит создать:

$ mkdir examples modules

В папке examples, я буду хранить так званые «плейбуки» для разварачивания различных служб, например — zabbix-server, grafana, web-серверы и так далее. В modules директории, я буду хранить все необходимые модули.

Начнем писать модуль, но для этой задачи, я создам папку:

$  mkdir modules/compute_firewall

Переходим в нее:

$ cd modules/compute_firewall

Открываем файл:

$ vim compute_firewall.tf

В данный файл, вставляем:

#---------------------------------------------------
# Create compute firewall for INGRESS
#---------------------------------------------------
resource "google_compute_firewall" "compute_firewall_all_ingress" {
    count                   = "${var.enable_all_ingress && upper(var.direction) == "INGRESS" ? 1 : 0}"

    name                    = "${lower(var.name)}-fw-${lower(var.environment)}-${lower(var.direction)}"
    description             = "${var.description}"

    project                 = "${var.project}"

    network                 = "${var.network}"

    priority                = "${var.priority}"
    source_ranges           = "${var.source_ranges}"
    source_tags             = ["${var.source_tags}"]
    target_tags             = ["${var.target_tags}"]
    direction               = "${var.direction}"
    #destination_ranges      = ["${var.destination_ranges}"]
    #source_service_accounts = ["${var.source_service_accounts}"]
    #target_service_accounts = ["${var.target_service_accounts}"]

    allow {
        protocol = "all"
    }
}

resource "google_compute_firewall" "compute_firewall_needed_ingress" {
    count                   = "${!var.enable_all_ingress && upper(var.direction) == "INGRESS" && var.allow_protocol !="" && length(var.allow_ports) > 0 ? 1 : 0}"

    name                    = "${lower(var.name)}-fw-${lower(var.environment)}-${lower(var.direction)}"
    description             = "${var.description}"

    project                 = "${var.project}"

    network                 = "${var.network}"

    priority                = "${var.priority}"
    source_ranges           = "${var.source_ranges}"
    source_tags             = ["${var.source_tags}"]
    target_tags             = ["${var.target_tags}"]
    direction               = "${var.direction}"
    #destination_ranges      = ["${var.destination_ranges}"]
    #source_service_accounts = ["${var.source_service_accounts}"]
    #target_service_accounts = ["${var.target_service_accounts}"]

    allow {
        protocol = "${var.allow_protocol}"
        ports    = ["${var.allow_ports}"]
    }

}


#---------------------------------------------------
# Create compute firewall for EGRESS.
#---------------------------------------------------
resource "google_compute_firewall" "compute_firewall_all_egress" {
    count                   = "${var.enable_all_egress ? 1 : 0}"

    name                    = "${lower(var.name)}-fw-${lower(var.environment)}-egress"
    description             = "${var.description}"

    project                 = "${var.project}"

    network                 = "${var.network}"

    priority                = "${var.priority}"
    #target_tags             = ["${var.target_tags}"]
    direction               = "EGRESS"
    destination_ranges      = ["${var.destination_ranges}"]

    source_service_accounts = ["${var.source_service_accounts}"]
    target_service_accounts = ["${var.target_service_accounts}"]

    allow {
        protocol = "all"
    }
}

resource "google_compute_firewall" "compute_firewall_needed_egress" {
    count                   = "${!var.enable_all_egress ? 1 : 0}"

    name                    = "${lower(var.name)}-fw-${lower(var.environment)}-egress"
    description             = "${var.description}"

    project                 = "${var.project}"

    network                 = "${var.network}"

    priority                = "${var.priority}"
    #target_tags             = ["${var.target_tags}"]
    direction               = "EGRESS"
    destination_ranges      = ["${var.destination_ranges}"]

    source_service_accounts = ["${var.source_service_accounts}"]
    target_service_accounts = ["${var.target_service_accounts}"]

    allow {
        protocol = "${var.allow_protocol}"
        ports    = ["${var.allow_ports}"]
    }
}

Открываем файл:

$ vim variables.tf

И прописываем:

variable "name" {
    description = "A unique name for the resource, required by GCE. Changing this forces a new resource to be created."
    default     = "TEST"
}

variable "environment" {
    description = "Environment for service"
    default     = "STAGE"
}

variable "project" {
    description = "The project in which the resource belongs. If it is not provided, the provider project is used."
    default     = ""
}

variable "network" {
    description = "The name or self_link of the network to attach this firewall to."
    default     = "default"
}

variable "description" {
    description = "Textual description field."
    default     = ""
}

variable "priority" {
    description = "The priority for this firewall. Ranges from 0-65535, inclusive. Defaults to 1000. Firewall resources with lower priority values have higher precedence (e.g. a firewall resource with a priority value of 0 takes effect over all other firewall rules with a non-zero priority)."
    default     = "1000"
}

variable "source_ranges" {
    description = "A list of source CIDR ranges that this firewall applies to. Can't be used for EGRESS."
    default     = []
}

variable "source_tags" {
    description = "A list of source tags for this firewall. Can't be used for EGRESS."
    default     = []
}

variable "target_tags" {
    description = "A list of target tags for this firewall."
    default     = []
}

variable "direction" {
    description = "Direction of traffic to which this firewall applies; One of INGRESS or EGRESS. Defaults to INGRESS."
    default     = "INGRESS"
}

variable "destination_ranges" {
    description = "A list of destination CIDR ranges that this firewall applies to. Can't be used for INGRESS."
    default     = []
}

variable "source_service_accounts" {
    description = "A list of service accounts such that the firewall will apply only to traffic originating from an instance with a service account in this list. Note that as of May 2018, this list can contain only one item, due to a change in the way that these firewall rules are handled. Source service accounts cannot be used to control traffic to an instance's external IP address because service accounts are associated with an instance, not an IP address. source_ranges can be set at the same time as source_service_accounts. If both are set, the firewall will apply to traffic that has source IP address within source_ranges OR the source IP belongs to an instance with service account listed in source_service_accounts. The connection does not need to match both properties for the firewall to apply. source_service_accounts cannot be used at the same time as source_tags or target_tags."
    default     = []
}

variable "target_service_accounts" {
    description = "A list of service accounts indicating sets of instances located in the network that may make network connections as specified in allow. target_service_accounts cannot be used at the same time as source_tags or target_tags. If neither target_service_accounts nor target_tags are specified, the firewall rule applies to all instances on the specified network. Note that as of May 2018, this list can contain only one item, due to a change in the way that these firewall rules are handled."
    default     = []
}

variable "allow_protocol" {
    description = "The name of the protocol to allow. This value can either be one of the following well known protocol strings (tcp, udp, icmp, esp, ah, sctp), or the IP protocol number, or all."
    default     = ""
}

variable "allow_ports" {
    description = "List of ports and/or port ranges to allow. This can only be specified if the protocol is TCP or UDP."
    default     = []
}

variable "deny_protocol" {
    description = "The name of the protocol to deny. This value can either be one of the following well known protocol strings (tcp, udp, icmp, esp, ah, sctp), or the IP protocol number, or all."
    default     = ""
}

variable "deny_ports" {
    description = "List of ports and/or port ranges to allow. This can only be specified if the protocol is TCP or UDP."
    default     = []
}

variable "enable_all_ingress" {
    description = "Enable all ports for ingress traffic"
    default     = false
}

variable "enable_all_egress" {
    description = "Enable all ports for egress traffic"
    default     = true
}

Собственно в этом файле храняться все переменные. Спасибо кэп!

Открываем последний файл:

$ vim outputs.tf

И в него вставить нужно следующие строки:

output "all_ingress_firewall_name" {
    description = "Name of google compute firewall"
    value       = "${google_compute_firewall.compute_firewall_all_ingress.*.name}"
}

output "all_ingress_firewall_self_link" {
    description = "Self link"
    value       = "${google_compute_firewall.compute_firewall_all_ingress.*.self_link}"
}

output "needed_ingress_firewall_name" {
    description = "Name of google compute firewall"
    value       = "${google_compute_firewall.compute_firewall_needed_ingress.*.name}"
}

output "needed_ingress_firewall_self_link" {
    description = "Self link"
    value       = "${google_compute_firewall.compute_firewall_needed_ingress.*.self_link}"
}

output "all_egress_firewall_name" {
    description = "Name of google compute firewall"
    value       = "${google_compute_firewall.compute_firewall_all_egress.*.name}"
}

output "all_egress_firewall_self_link" {
    description = "Self link"
    value       = "${google_compute_firewall.compute_firewall_all_egress.*.self_link}"
}

output "needed_egress_firewall_name" {
    description = "Name of google compute firewall"
    value       = "${google_compute_firewall.compute_firewall_needed_egress.*.name}"
}

output "needed_egress_firewall_self_link" {
    description = "Self link"
    value       = "${google_compute_firewall.compute_firewall_needed_egress.*.self_link}"
}

Переходим теперь в папку google_cloud_platform/examples и создадим еще одну папку для проверки написанного чуда:

$ mkdir compute_firewall && cd $_

Внутри созданной папки открываем файл:

$ vim main.tf

Вставляем:

#
# MAINTAINER Vitaliy Natarov "vitaliy.natarov@yahoo.com"
#
terraform {
  required_version = "> 0.9.0"
}
provider "google" {
    credentials = "${file("/Users/captain/.config/gcloud/creds/terraform_creds.json")}"
    project     = "terraform-2018"
    region      = "us-east1"
}

module "compute_firewall" {
    source                          = "../../modules/compute_firewall"
    name                            = "TEST"

    project                         = "terraform-2018"

    enable_all_ingress              = true
    enable_all_egress               = true

    #enable_all_ingress              = false
    #allow_protocol                  = "icmp"
    #allow_ports                     = ["80", "443"]
}

Все уже написано и готово к использованию. Ну что, начнем тестирование. В папке с вашим плейбуком, выполняем:

$ terraform init

Этим действием я инициализирую проект. Затем, подтягиваю модуль:

$ terraform get

PS: Для обновление изменений в самом модуле, можно выполнять:

$ terraform get -update

Проверим валидацию:

$ terraform validate

Запускем прогон:

$ terraform plan

Мне вывело что все у меня хорошо и можно запускать деплой:

$ terraform apply

Как видно с вывода, — все прошло гладко! Чтобы удалить созданное творение, можно выполнить:

$ terraform destroy

Весь материал аплоаджу в github аккаунт для удобства использования:

$ git clone https://github.com/SebastianUA/terraform.git

Чтобы поглядеть какие рулы фаервола есть, заюзайте:

$ gcloud alpha compute firewall-rules list

Вот и все на этом. Не уверен что это полный солюшен, но для моего примера и моей таски пойдет. По возможности, добавлю новые рулы.

Данная статья «Работа с Google Cloud Platform (compute firewall) и Terraform в Unix/Linux» завершена.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.