第18章 基础设施即代码 (IaC)

第18章基础设施即代码(IaC)从手动运维到自动化部署的革命CONTENTS01.IaC核心概念与价值理解基础设施即代码的定义，探讨其带来的效率与一致性价值。02.Terraform工作原理与架构深入解析Terraform的核心组件、执行流程及状态管理机制。03.不可变基础设施vs可变基础设施对比两种基础设施管理模式，探讨现代云原生架构的最佳实践。04.实战：用Terraform构建AWS环境从零开始编写配置文件，亲手搭建一套完整的云上基础设施。05.常见问题排查与最佳实践分享Terraform实战中的常见陷阱、调试技巧及企业级规范。06.课后实操任务通过拓展任务巩固所学知识，完成从理论到实践的闭环。什么是基础设施即代码(IaC)?核心定义通过机器可读的配置文件自动化定义、部署和管理IT基础设施，彻底告别传统的手动点击和脚本操作，实现基础设施的“代码化”管理。环境一致性开发、测试、生产环境由同一套代码定义，从根源上消除“在我机器上能运行”的问题。自动化与效率基础设施的部署和销毁可一键完成，分钟级交付，极大减少人为错误，提升运维效率。版本控制与审计所有变更记录在代码仓库中，支持版本追溯、代码审查和一键回滚，满足合规要求。环境可重复性通过代码复用，快速准确地构建完全相同的环境，适用于灾备或多区域部署。传统运维VSIaC：一场管理模式的革命核心特性传统运维(Mutable)基础设施即代码(IaC)环境一致性易漂移，环境间差异大，“在我这能跑”高一致性：代码严格保证，所有环境完全相同变更管理手动操作易出错，无完整记录，难以追溯版本化管理：变更可追溯、可审查、可回滚部署效率依赖人工操作，易成为发布瓶颈自动化部署：分钟级甚至秒级交付，按需创建可扩展性手动扩容，步骤繁琐，效率低下弹性伸缩：根据负载自动或手动快速扩缩容团队协作信息孤岛，依赖口头或文档传递代码协作：基于Git等工具，透明、高效、协同Terraform核心架构与工作流核心组件CoreComponents配置文件(.tf)：HCL语言编写，声明基础设施目标状态。Providers：交互插件，将配置翻译为云平台API调用。State(状态)：记录实际资源状态，实现幂等性管理。执行引擎：解析配置、生成依赖图、执行变更计划。核心工作流Workflow1.编写(Write)：使用HCL语法编写.tf配置文件。2.初始化(Init)：运行init，下载所需的Providers插件。3.计划(Plan)：运行plan，对比状态生成执行计划，预览变更。4.应用(Apply)：运行apply，确认并执行计划，变更基础设施。不可变基础设施(ImmutableInfrastructure)核心概念：替换(Replace)而非修改(Modify)基础设施实例一旦创建即为只读实体。任何变更都不应在运行中实例上进行，而是通过创建全新实例并替换旧实例来完成。杜绝配置漂移实例状态固定不变，从根本上解决环境不一致问题。简化回滚操作新版本异常时，流量切回旧版本实例即可，安全快速。提升系统安全性实例不可篡改，大幅降低被攻击和误操作的风险。易于测试与发布测试通过的镜像可直接部署，确保生产环境一致性。实战：用Terraform构建AWS基础设施实战目标：自动化构建Web服务环境虚拟私有云(VPC)：构建安全的网络边界，隔离云资源公有子网(PublicSubnet)：部署Web服务器，面向公网安全组(SecurityGroup)：虚拟防火墙，精确控制入站流量EC2实例：运行Web服务的核心计算资源互联网网关(IGW)：提供VPC与公网的连接能力架构预览代码实现：网络层(VPC&Subnet)main.tf-TerraformConfiguration#1.配置AWSProvider与区域provider"aws"{region="us-east-1"}

#2.创建VPC网络边界(CIDR:/16)resource"aws_vpc""main"{cidr_block="/16"enable_dns_hostnames=truetags={Name="my-vpc"}}

#3.创建公有子网(CIDR:/24)resource"aws_subnet""public"{vpc_id=aws_vpc.main.idcidr_block="/24"map_public_ip_on_launch=true}云平台配置(Provider)定义操作的云平台为AWS，并指定资源部署的区域为us-east-1，这是基础设施的基础配置。虚拟私有云(VPC)构建网络边界，设置CIDR为/16，启用DNS主机名解析，作为所有云资源的容器。公有子网(PublicSubnet)划分更小的网络段/24，开启自动分配公网IP，部署在us-east-1a可用区，用于放置需要对外提供服务的资源。代码实现：计算与安全(SecurityGroup&EC2)虚拟防火墙(SecurityGroup)#定义安全组资源，控制流量进出resource"aws_security_group""web_sg"{name="web-server-sg"description="AllowSSH&HTTP"vpc_id=aws_vpc.main.id#允许SSH(22端口)访问ingress{from_port=22;to_port=22;protocol="tcp"}#允许HTTP(80端口)访问ingress{from_port=80;to_port=80;protocol="tcp"}#允许所有出站流量egress{from_port=0;to_port=0;protocol="-1"}}Web服务器实例(EC2)#定义EC2实例资源resource"aws_instance""web_server"{#指定系统镜像(AMI)和实例规格ami="ami-0c55b159cbfafe1f0"instance_type="t2.micro"#部署到公有子网subnet_id=aws_subnet.public.id#关联上面定义的安全组vpc_security_group_ids=[aws_security_group.web_sg.id]}执行与验证01.初始化(Init)执行terraforminit，自动下载配置文件中声明的AWSProvider插件，为后续操作做好环境准备。02.计划(Plan)执行terraformplan，对比当前状态生成详细执行计划。这是关键的安全检查步骤，确保配置符合预期后再实施。03.应用(Apply)执行terraformapply并确认yes，自动化创建所有定义的资源。整个过程无需人工干预，静待执行完成即可。04.结果验证登录AWS管理控制台，检查VPC、EC2等服务页面，确认所有资源已按代码定义成功创建且配置一致。常见问题排查与解决方案Q1:状态文件被锁定(StateLocked)因操作中断导致，使用命令强制解锁：terraformforce-unlock<LOCK_ID>Q2:实际资源与状态文件不一致(配置漂移)运行terraformplan查看差异。预期差异用apply同步；手动变更建议使用terraformimport纳入管理。Q3:提示资源已存在(Resourcealreadyexists)通常为手动创建资源导致。不应重复创建，正确做法是导入：terraformimport<TYPE>.<NAME><ID>Q4:执行apply提示权限不足(InsufficientPermissions)检查AWSAccessKey权限，确保IAM用户或角色拥有管理目标资源（如VPC、EC2）的策略权限。最佳实践总结状态文件管理始终使用远程后端（如S3）存储状态文件，并启用状态锁定，避免协作冲突和数据丢失。模块化设计将复杂配置拆分为可重用的模块(Module)，提高代码的复用性和可维护性。避免硬编码使用变量管理环境差异，使用输出暴露资源信息，使配置更灵活通用。严格代码审查将基础设施代码纳入严格的CodeReview流程，确保配置的质量和安全性。版本控制所有.tf文件置于Git等版本控制系统中，记录变更历史，支持追溯和回滚。遵循不可变原则尽量遵循“替换而非修改”原则，保证系统的稳定性和可预测性。课后实操任务：创建一个带私有子网的VPC任务目标在现有实战案例基础上，拓展创建包含公有与私有子网的完整VPC环境。

核心目标：在私有子网中部署AWSRDSMySQL数据库实例，实现网络隔离。操作步骤01.配置私有子网

新增aws_subnet.private，关闭map_public_ip_on_launch。

02.创建安全组

仅允许公有子网访问3306端口，禁止外网直连。

03.部署RDS实例

使用aws_db_instance资源，关联新安全组。

04.执行部署

terraformplan&apply。评判标准成功部署

控制台可见私有子网及RDS实例。

网络隔离验证

数据库无公有IP，仅EC2可访问，外网无法连接。

代码规范

结构清晰，合理使用变量与依赖。课程总结IaC是核心基础设施即代码是解决传统运维痛点、实现自动化和规模化管理的核心实践，是现代云原生架构的必