<p><!--META { "title": "Terraform CLIによるIaC管理", "primary_category": "クラウド>AWS", "secondary_categories": ["DevOps", "Infrastructure as Code"], "tags": ["Terraform", "CLI", "IaC", "AWS", "jq", "systemd", "bash"], "summary": "Terraform CLIを用いたIaC管理の基本から、安全なbashスクリプト、jqによるJSON処理、systemd連携までを解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Terraform CLIでInfrastructure as Codeを安全に管理する方法をDevOpsエンジニアが解説。bashの安全な書き方、jqでのJSON処理、systemd連携まで網羅。 #Terraform #IaC #DevOps", "hashtags":["#Terraform","#IaC","#DevOps"]}, "link_hints": ["https://developer.hashicorp.com/terraform/cli", "https://stedolan.github.io/jq/"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Terraform CLIによるIaC管理</h1> <p>Terraform CLIを用いたInfrastructure as Code（IaC）管理の基本、安全なスクリプト実装、自動化手法について解説します。</p> <h2 class="wp-block-heading">要件と前提</h2> <p>本記事で提示する手順は、以下の環境とツールが導入されていることを前提としています。</p> <ul class="wp-block-list"> <li><strong>Linux環境</strong>: Ubuntu 20.04 LTSまたは同等のLinuxディストリビューション</li> <li><strong>Terraform CLI</strong>: バージョン 1.0.0 以降</li> <li><strong>AWS CLI</strong>: バージョン 2.0 以降、かつ認証情報が設定済み（<code>AWS_ACCESS_KEY_ID</code>, <code>AWS_SECRET_ACCESS_KEY</code> 環境変数、または<code>~/.aws/credentials</code>ファイルによるプロファイル設定）</li> <li><strong>jq</strong>: バージョン 1.6 以降</li> <li><strong>curl</strong>: バージョン 7.0 以降</li> <li><strong>Bash</strong>: バージョン 4.0 以降</li> </ul> <p>これらのツールは、OSのパッケージマネージャーや公式ドキュメントに従いインストールしてください。AWSリソースを操作するため、適切なIAM権限が必要です。</p> <h2 class="wp-block-heading">実装</h2> <p>IaCの変更管理と自動化を目的としたBashスクリプトおよびsystemdユニットの実装を示します。</p> <h3 class="wp-block-heading">IaC管理フロー</h3> <p>Terraformを用いたIaC管理の一般的なフローを図で示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["IaC定義変更"] --> B["terraform init"]; B --> C["terraform plan"]; C --> D{"変更検出?"}; D --Yes|通知/レビュー|--> E["terraform apply"]; D --No|何もしない|--> A; E --> F["リソース更新"]; F --> G["Terraform State更新"]; G --> H["IaC同期完了"]; </pre></div> <h3 class="wp-block-heading">安全なBashスクリプト</h3> <p>Terraformの操作を自動化するBashスクリプトは、冪等性と安全性を確保することが大切です。一時ファイルの適切な管理、エラーハンドリング、JSON処理、外部APIとの連携を含めます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # set -euo pipefail: # -e: コマンドが失敗した場合に即座に終了する # -u: 未定義の変数を使用した場合にエラーとする # -o pipefail: パイプライン中の任意のコマンドが失敗した場合にエラーとする set -euo pipefail # 一時ディレクトリの作成とクリーンアップ # mktemp -d: 安全な一時ディレクトリを作成する # trap 'rm -rf "$TF_TMPDIR"' EXIT: スクリプト終了時に一時ディレクトリを自動削除 TF_TMPDIR=$(mktemp -d -t tf-iac-XXXXXXXXXX) trap 'rm -rf "$TF_TMPDIR"' EXIT echo "INFO: 一時ディレクトリ: $TF_TMPDIR" cd "$TF_TMPDIR" # Terraform設定ファイルの作成 (例: S3バケット) cat <<EOF > main.tf provider "aws" { region = "ap-northeast-1" } resource "aws_s3_bucket" "example" { bucket = "my-unique-terraform-bucket-$(date +%s)" # ユニークなバケット名を生成 acl = "private" tags = { Environment = "Dev" ManagedBy = "Terraform" } } output "s3_bucket_name" { value = aws_s3_bucket.example.bucket } output "s3_bucket_arn" { value = aws_s3_bucket.example.arn } EOF echo "INFO: Terraform初期化を開始します。" if ! terraform init -backend=false > /dev/null; then echo "ERROR: Terraform initが失敗しました。" >&2 exit 1 fi echo "INFO: Terraform planを実行します。" if ! terraform plan -out=tfplan.out; then echo "ERROR: Terraform planが失敗しました。" >&2 exit 1 fi # Terraform planの結果をJSONで取得し、jqで解析する例 echo "INFO: Terraform planの出力をjqで解析します。" PLAN_JSON=$(terraform show -json tfplan.out) if ! BUCKET_NAME_PLAN=$(echo "$PLAN_JSON" | jq -r '.resource_changes[] | select(.type=="aws_s3_bucket") | .change.after.bucket'); then echo "ERROR: jqによるplan出力の解析が失敗しました。" >&2 exit 1 fi echo "INFO: 提案されたS3バケット名: $BUCKET_NAME_PLAN" # 外部サービスの健全性チェック (curlのTLS/再試行/バックオフ) # --fail: HTTPステータスが200番台以外の場合にエラーを返す # --retry, --retry-delay: 失敗時に再試行する設定 # --cacert: CA証明書のパスを指定し、TLS接続のセキュリティを強化 echo "INFO: 外部APIの健全性チェックを開始します。(例: https://api.example.com/health)" MAX_RETRIES=5 RETRY_DELAY=10 for i in $(seq 1 $MAX_RETRIES); do if curl -sS --show-error --fail --retry 3 --retry-delay 5 --cacert /etc/ssl/certs/ca-certificates.crt https://api.example.com/health; then echo "INFO: 外部APIは正常です。" break else echo "WARN: 外部APIチェックに失敗しました。$RETRY_DELAY秒後に再試行します... (試行 $i/$MAX_RETRIES)" >&2 sleep "$RETRY_DELAY" fi if [ "$i" -eq "$MAX_RETRIES" ]; then echo "ERROR: 外部APIチェックが$MAX_RETRIES回の試行後に失敗しました。" >&2 exit 1 fi done echo "INFO: Terraform applyを実行します。" if ! terraform apply -auto-approve tfplan.out; then echo "ERROR: Terraform applyが失敗しました。" >&2 exit 1 fi # Terraform outputの取得とjqでの解析 echo "INFO: Terraform outputを取得し、jqで解析します。" OUTPUT_JSON=$(terraform output -json) if ! S3_BUCKET_NAME=$(echo "$OUTPUT_JSON" | jq -r '.s3_bucket_name.value'); then echo "ERROR: jqによるoutput出力の解析が失敗しました。" >&2 exit 1 fi if ! S3_BUCKET_ARN=$(echo "$OUTPUT_JSON" | jq -r '.s3_bucket_arn.value'); then echo "ERROR: jqによるoutput出力の解析が失敗しました。" >&2 exit 1 fi echo "INFO: プロビジョニングされたS3バケット名: $S3_BUCKET_NAME" echo "INFO: プロビジョニングされたS3バケットARN: $S3_BUCKET_ARN" # AWS CLIでS3バケットの存在確認 echo "INFO: AWS CLIでS3バケットの存在を確認します。" if aws s3api head-bucket --bucket "$S3_BUCKET_NAME" > /dev/null 2>&1; then echo "INFO: S3バケット '$S3_BUCKET_NAME' が正常に存在します。" else echo "ERROR: S3バケット '$S3_BUCKET_NAME' が存在しません。" >&2 exit 1 fi echo "INFO: スクリプトが正常に完了しました。" </pre> </div> <h3 class="wp-block-heading">systemd Unit/Timerによる自動化</h3> <p>上記のスクリプトを定期的に実行するため、systemd unitとtimerを設定します。</p> <h4 class="wp-block-heading"><code>/usr/local/bin/terraform_plan_script.sh</code> の配置</h4> <p>上記のBashスクリプトを <code>/usr/local/bin/terraform_plan_script.sh</code> として保存し、実行権限を与えます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo install -m 755 -o root -g root terraform_plan_script.sh /usr/local/bin/ </pre> </div> <h4 class="wp-block-heading">systemd Unitファイル</h4> <p><code>/etc/systemd/system/terraform-plan-check.service</code> を作成します。このサービスはTerraformのplanを実行し、設定されたスクリプトを呼び出します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run Terraform plan and report differences After=network-online.target Requires=network-online.target [Service] # Type=oneshot: コマンド実行後に終了するサービスタイプ Type=oneshot # User/Group: スクリプトを実行する専用ユーザーとグループを指定 # これによりroot権限でのTerraform操作を防ぎ、権限分離を実現します。 # 事前に `sudo useradd -M -s /sbin/nologin terraform_user` などでユーザー作成が必要です。 User=terraform_user Group=terraform_user # WorkingDirectory: Terraformプロジェクトのルートディレクトリを指定 WorkingDirectory=/opt/terraform/projects/myproject # 実際のパスに置き換える # ExecStart: 実行するスクリプトのパス ExecStart=/usr/local/bin/terraform_plan_script.sh # StandardOutput/Error: ログをjournaldにリダイレクト StandardOutput=journal StandardError=journal # 環境変数を設定する場合 (例: AWS_REGION) # Environment="AWS_REGION=ap-northeast-1" # AWS認証情報は、専用ユーザーの ~/.aws/credentials に配置するか、IAMロールを推奨します。 </pre> </div> <h4 class="wp-block-heading">systemd Timerファイル</h4> <p><code>/etc/systemd/system/terraform-plan-check.timer</code> を作成します。これは、<code>terraform-plan-check.service</code> を定期的にトリガーします。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run Terraform plan check every day [Timer] # OnCalendar: 毎日実行されるように設定 OnCalendar=daily # Persistent=true: システム再起動後に、前回の実行がスキップされていた場合に即座に実行する Persistent=true # RandomSec: 指定された時間内 (例: 5分) でランダムな遅延を加えることで、同時実行を避ける RandomSec=300 [Install] # WantedBy=timers.target: システム起動時にタイマーが有効化されるようにする WantedBy=timers.target </pre> </div> <h2 class="wp-block-heading">検証</h2> <p>実装したスクリプトとsystemdの設定を検証します。</p> <ol class="wp-block-list"> <li><p><strong>スクリプトの直接実行</strong>: まず、スクリプトが単体で動作するか確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">bash /usr/local/bin/terraform_plan_script.sh </pre> </div> <p>S3バケットが作成され、AWS CLIでの存在確認が成功することを確認します。</p></li> <li><p><strong>systemdサービスの手動実行</strong>: タイマーを有効にする前に、サービスが正常に実行されるか確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl daemon-reload sudo systemctl start terraform-plan-check.service sudo systemctl status terraform-plan-check.service </pre> </div> <p>ログは <code>journalctl -u terraform-plan-check.service</code> で確認できます。</p></li> <li><p><strong>systemdタイマーの有効化</strong>: サービスとタイマーを有効化し、システム起動時に自動的に実行されるように設定します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl enable terraform-plan-check.service sudo systemctl enable terraform-plan-check.timer sudo systemctl start terraform-plan-check.timer sudo systemctl list-timers --all </pre> </div> <p><code>list-timers</code> コマンドでタイマーが登録され、次回の実行時刻が表示されることを確認します。</p></li> </ol> <h2 class="wp-block-heading">運用</h2> <p>IaC管理システムの長期的な運用には、以下の点を考慮します。</p> <ul class="wp-block-list"> <li><strong>権限分離</strong>: systemdサービスはrootで起動されますが、<code>User=</code> および <code>Group=</code> ディレクティブを使用して、Terraform操作を専用の非特権ユーザーで実行させることが大切です。このユーザーは、AWSクレデンシャル、Terraformの状態ファイル (<code>.tfstate</code>)、キャッシュディレクトリ (<code>.terraform</code>) への最小限の権限のみを持つべきです。</li> <li><strong>状態管理</strong>: 本例ではローカル状態ファイルを使用していますが、実際の運用ではS3などのリモートバックエンドを推奨します。これにより、状態ファイルの破損防止、複数人での共同作業、履歴管理が容易になります。</li> <li><strong>ロギングと監視</strong>: <code>journalctl</code> でサービスログを定期的に確認し、エラーや予期せぬ変更がないか監視します。必要に応じて、監視ツールと連携してアラートを生成します。</li> <li><strong>Terraformバージョンの管理</strong>: <code>tfenv</code> などのツールを使用してTerraform CLIのバージョンを管理し、一貫性を保ちます。</li> </ul> <h2 class="wp-block-heading">トラブルシュート</h2> <p>問題発生時のトラブルシュート方法を以下に示します。</p> <ul class="wp-block-list"> <li><strong>systemdサービスが失敗した場合</strong>: <code>sudo journalctl -u terraform-plan-check.service --since "1 hour ago"</code> コマンドで詳細なログを確認します。エラーメッセージから原因を特定し、スクリプトや設定ファイルを修正します。</li> <li><strong>Terraformコマンドの失敗</strong>: <code>terraform validate</code> でHCL構文のチェックを行います。<code>terraform plan</code> の詳細出力や <code>terraform apply</code> のエラーメッセージから、プロビジョニングの問題を特定します。</li> <li><strong>Terraform Stateの不整合</strong>: リモートバックエンドを使用している場合、<code>terraform state pull</code> で状態ファイルをダウンロードし、手動で確認できます。不整合が発生した場合は、<code>terraform state rm</code> でリソースを状態ファイルから削除したり、<code>terraform import</code> で既存リソースを状態ファイルに登録し直したりする方法があります。ただし、これらの操作は慎重に行う必要があります。</li> <li><strong>権限エラー</strong>: systemdサービスの <code>User=</code> と <code>Group=</code> で指定したユーザーの権限を確認します。特にAWSクレデンシャルファイル (<code>~/.aws/credentials</code>) のパーミッションや、Terraformプロジェクトディレクトリへの読み書き権限を確認します。</li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Terraform CLIを用いたIaC管理は、インフラストラクチャの信頼性と効率性を向上させます。安全なBashスクリプトによる自動化、<code>jq</code>による出力解析、<code>curl</code>による外部サービス連携、そして<code>systemd</code>による定期的な実行と権限分離を組み合わせることで、堅牢なIaC運用が実現できます。常にログを監視し、予期せぬ状態変化に迅速に対応する運用体制が不可欠です。</p>

graph TD
    A["IaC定義変更"] --> B["terraform init"];
    B --> C["terraform plan"];
    C --> D{"変更検出?"};
    D --Yes|通知/レビュー|--> E["terraform apply"];
    D --No|何もしない|--> A;
    E --> F["リソース更新"];
    F --> G["Terraform State更新"];
    G --> H["IaC同期完了"];

#!/usr/bin/env bash
# set -euo pipefail:
#   -e: コマンドが失敗した場合に即座に終了する
#   -u: 未定義の変数を使用した場合にエラーとする
#   -o pipefail: パイプライン中の任意のコマンドが失敗した場合にエラーとする
set -euo pipefail

# 一時ディレクトリの作成とクリーンアップ
# mktemp -d: 安全な一時ディレクトリを作成する
# trap 'rm -rf "$TF_TMPDIR"' EXIT: スクリプト終了時に一時ディレクトリを自動削除
TF_TMPDIR=$(mktemp -d -t tf-iac-XXXXXXXXXX)
trap 'rm -rf "$TF_TMPDIR"' EXIT

echo "INFO: 一時ディレクトリ: $TF_TMPDIR"
cd "$TF_TMPDIR"

# Terraform設定ファイルの作成 (例: S3バケット)
cat <<EOF > main.tf
provider "aws" {
  region = "ap-northeast-1"
}

resource "aws_s3_bucket" "example" {
  bucket = "my-unique-terraform-bucket-$(date +%s)" # ユニークなバケット名を生成
  acl    = "private"
  tags = {
    Environment = "Dev"
    ManagedBy   = "Terraform"
  }
}

output "s3_bucket_name" {
  value = aws_s3_bucket.example.bucket
}

output "s3_bucket_arn" {
  value = aws_s3_bucket.example.arn
}
EOF

echo "INFO: Terraform初期化を開始します。"
if ! terraform init -backend=false > /dev/null; then
    echo "ERROR: Terraform initが失敗しました。" >&2
    exit 1
fi

echo "INFO: Terraform planを実行します。"
if ! terraform plan -out=tfplan.out; then
    echo "ERROR: Terraform planが失敗しました。" >&2
    exit 1
fi

# Terraform planの結果をJSONで取得し、jqで解析する例
echo "INFO: Terraform planの出力をjqで解析します。"
PLAN_JSON=$(terraform show -json tfplan.out)
if ! BUCKET_NAME_PLAN=$(echo "$PLAN_JSON" | jq -r '.resource_changes[] | select(.type=="aws_s3_bucket") | .change.after.bucket'); then
    echo "ERROR: jqによるplan出力の解析が失敗しました。" >&2
    exit 1
fi
echo "INFO: 提案されたS3バケット名: $BUCKET_NAME_PLAN"

# 外部サービスの健全性チェック (curlのTLS/再試行/バックオフ)
# --fail: HTTPステータスが200番台以外の場合にエラーを返す
# --retry, --retry-delay: 失敗時に再試行する設定
# --cacert: CA証明書のパスを指定し、TLS接続のセキュリティを強化
echo "INFO: 外部APIの健全性チェックを開始します。(例: https://api.example.com/health)"
MAX_RETRIES=5
RETRY_DELAY=10
for i in $(seq 1 $MAX_RETRIES); do
    if curl -sS --show-error --fail --retry 3 --retry-delay 5 --cacert /etc/ssl/certs/ca-certificates.crt https://api.example.com/health; then
        echo "INFO: 外部APIは正常です。"
        break
    else
        echo "WARN: 外部APIチェックに失敗しました。$RETRY_DELAY秒後に再試行します... (試行 $i/$MAX_RETRIES)" >&2
        sleep "$RETRY_DELAY"
    fi
    if [ "$i" -eq "$MAX_RETRIES" ]; then
        echo "ERROR: 外部APIチェックが$MAX_RETRIES回の試行後に失敗しました。" >&2
        exit 1
    fi
done

echo "INFO: Terraform applyを実行します。"
if ! terraform apply -auto-approve tfplan.out; then
    echo "ERROR: Terraform applyが失敗しました。" >&2
    exit 1
fi

# Terraform outputの取得とjqでの解析
echo "INFO: Terraform outputを取得し、jqで解析します。"
OUTPUT_JSON=$(terraform output -json)
if ! S3_BUCKET_NAME=$(echo "$OUTPUT_JSON" | jq -r '.s3_bucket_name.value'); then
    echo "ERROR: jqによるoutput出力の解析が失敗しました。" >&2
    exit 1
fi
if ! S3_BUCKET_ARN=$(echo "$OUTPUT_JSON" | jq -r '.s3_bucket_arn.value'); then
    echo "ERROR: jqによるoutput出力の解析が失敗しました。" >&2
    exit 1
fi

echo "INFO: プロビジョニングされたS3バケット名: $S3_BUCKET_NAME"
echo "INFO: プロビジョニングされたS3バケットARN: $S3_BUCKET_ARN"

# AWS CLIでS3バケットの存在確認
echo "INFO: AWS CLIでS3バケットの存在を確認します。"
if aws s3api head-bucket --bucket "$S3_BUCKET_NAME" > /dev/null 2>&1; then
    echo "INFO: S3バケット '$S3_BUCKET_NAME' が正常に存在します。"
else
    echo "ERROR: S3バケット '$S3_BUCKET_NAME' が存在しません。" >&2
    exit 1
fi

echo "INFO: スクリプトが正常に完了しました。"

sudo install -m 755 -o root -g root terraform_plan_script.sh /usr/local/bin/

[Unit]
Description=Run Terraform plan and report differences
After=network-online.target
Requires=network-online.target

[Service]
# Type=oneshot: コマンド実行後に終了するサービスタイプ
Type=oneshot
# User/Group: スクリプトを実行する専用ユーザーとグループを指定
# これによりroot権限でのTerraform操作を防ぎ、権限分離を実現します。
# 事前に `sudo useradd -M -s /sbin/nologin terraform_user` などでユーザー作成が必要です。
User=terraform_user
Group=terraform_user
# WorkingDirectory: Terraformプロジェクトのルートディレクトリを指定
WorkingDirectory=/opt/terraform/projects/myproject # 実際のパスに置き換える
# ExecStart: 実行するスクリプトのパス
ExecStart=/usr/local/bin/terraform_plan_script.sh
# StandardOutput/Error: ログをjournaldにリダイレクト
StandardOutput=journal
StandardError=journal
# 環境変数を設定する場合 (例: AWS_REGION)
# Environment="AWS_REGION=ap-northeast-1"
# AWS認証情報は、専用ユーザーの ~/.aws/credentials に配置するか、IAMロールを推奨します。

[Unit]
Description=Run Terraform plan check every day

[Timer]
# OnCalendar: 毎日実行されるように設定
OnCalendar=daily
# Persistent=true: システム再起動後に、前回の実行がスキップされていた場合に即座に実行する
Persistent=true
# RandomSec: 指定された時間内 (例: 5分) でランダムな遅延を加えることで、同時実行を避ける
RandomSec=300

[Install]
# WantedBy=timers.target: システム起動時にタイマーが有効化されるようにする
WantedBy=timers.target