• 서브그룹 상태가 새로 고쳐질 때 gitlab_group_share_group 리소스가 감지되지 않음
  • 기본 템플릿 사용 시 잘못된 CI/CD 구문 오류
    • 템플릿의 이전 버전 사용
• Terraform 상태 문제 해결
  • 이전 작업의 계획으로 terraform apply에서 CI 작업의 Terraform 상태 파일을 잠글 수 없음
  • 오류: “address”: 필수 필드가 설정되지 않음
  • 오류 상태를 새로 고치는 중: HTTP 원격 상태 엔드포인트는 인증이 필요함
  • 파괴적인 명령에 대한 개발자 역할 액세스 활성화
  • 상태 이름에 마침표가 포함되어 있을 경우 상태를 찾을 수 없음

GitLab과 Terraform 통합 문제 해결

Terraform과 GitLab 통합을 사용할 때 문제를 경험할 수 있으며, 이를 해결해야 합니다.

서브그룹 상태가 새로 고쳐질 때 gitlab_group_share_group 리소스가 감지되지 않음

GitLab Terraform 공급자는 “권한이 있는 사용자가 API에서 share_with_groups를 검색할 수 없음” 문제로 인해 기존 gitlab_group_share_group 리소스를 감지하는 데 실패할 수 있습니다.

이로 인해 Terraform이 기존 리소스를 재생성하려고 시도하기 때문에 terraform apply 실행 시 오류가 발생합니다.

예를 들어, 다음 그룹/서브그룹 구성을 고려해 보십시오:

parent-group
├── subgroup-A
└── subgroup-B

여기서:

• 사용자 user-1이 parent-group, subgroup-A, subgroup-B를 생성합니다.
• subgroup-A가 subgroup-B와 공유됩니다.
• 사용자 terraform-user는 두 서브그룹에 대해 상속된 owner 액세스를 가진 parent-group의 구성원입니다.

Terraform 상태가 새로 고쳐지면 공급자가 발급한 API 쿼리 GET /groups/:subgroup-A_id는 shared_with_groups 배열에 subgroup-B의 세부 정보를 반환하지 않습니다. 이로 인해 오류가 발생합니다.

이 문제를 해결하기 위해 다음 조건 중 하나를 적용해야 합니다:

1. terraform-user가 모든 서브그룹 리소스를 생성합니다.
2. subgroup-B에 대해 terraform-user 사용자에게 Maintainer 또는 Owner 역할을 부여합니다.
3. terraform-user가 subgroup-B에 대한 상속된 액세스를 가지고 있으며 subgroup-B에는 최소한 하나의 프로젝트가 포함되어 있습니다.

기본 템플릿 사용 시 잘못된 CI/CD 구문 오류

Terraform 템플릿을 사용할 때 CI/CD 구문 오류가 발생할 수 있습니다:

• GitLab 14.2 이상에서 latest 템플릿을 사용할 때.
• GitLab 15.0 이상에서 템플릿의 모든 버전을 사용할 때.

예를 들어:

include:
  # 14.2 이상에서 다음 중 하나를 사용할 때:
  - template: Terraform/Base.latest.gitlab-ci.yml
  - template: Terraform.latest.gitlab-ci.yml
  # 15.0 이상에서는 다음 템플릿도 업데이트되었습니다:
  - template: Terraform/Base.gitlab-ci.yml
  - template: Terraform.gitlab-ci.yml

my-terraform-job:
  extends: .apply

오류의 세 가지 원인이 있습니다:

• .init의 경우, 초기화 단계와 작업이 더 이상 필요하지 않기 때문에 템플릿에서 삭제되었습니다. 구문 오류를 해결하려면 .init을 확장하는 모든 작업을 안전하게 제거할 수 있습니다.

• 다른 모든 작업에 대해서는 실패의 원인이 기본 작업의 이름이 변경되었기 때문입니다: 모든 작업 이름에 .terraform: 접두사가 추가되었습니다. 예를 들어, .apply는 .terraform:apply로 변경되었습니다. 이 오류를 수정하려면 기본 작업 이름을 업데이트합니다. 예를 들어:

    my-terraform-job:
  -   extends: .apply
  +   extends: .terraform:apply
  

• GitLab 15.0에서는 템플릿에서 rules 구문을 사용하며, only/except 구문을 사용하지 않습니다. .gitlab-ci.yml 파일의 구문에 두 가지가 포함되지 않도록 확인하십시오.

템플릿의 이전 버전 사용

주요 릴리스 중에 파괴적 변경 사항이 발생할 수 있습니다. 파괴적 변경 사항이 발생하거나 템플릿의 이전 버전을 사용하려는 경우, .gitlab-ci.yml을 업데이트하여 이전 버전을 참조할 수 있습니다. 예를 들어:

include:
  remote: https://gitlab.com/gitlab-org/configure/template-archive/-/raw/main/14-10/Terraform.gitlab-ci.yml

어떤 템플릿을 사용할 수 있는지 보려면 template-archive를 확인하세요.

Terraform 상태 문제 해결

이전 작업의 계획으로 terraform apply에서 CI 작업의 Terraform 상태 파일을 잠글 수 없음

terraform init에 -backend-config=를 전달할 때, Terraform은 이러한 값을 계획 캐시 파일 내에 지속합니다. 여기에는 password 값이 포함됩니다.

따라서 계획을 만들고 나중에 다른 CI 작업에서 동일한 계획을 사용하려고 하면, -backend-config=password=$CI_JOB_TOKEN을 사용할 때 Error: Error acquiring the state lock 오류가 발생할 수 있습니다. 이는 $CI_JOB_TOKEN의 값이 현재 작업의 지속 시간에만 유효하기 때문입니다.

우회 방법으로는 CI 작업에서 http 백엔드 설정 변수를 사용하는 것이며, 이는 GitLab CI 사용 시작하기 지침을 따를 때 발생하는 일입니다.

오류: “address”: 필수 필드가 설정되지 않음

기본적으로, 우리는 TF_ADDRESS를 ${CI_API_V4_URL}/projects/${CI_PROJECT_ID}/terraform/state/${TF_STATE_NAME}로 설정합니다.

업무에서 TF_STATE_NAME 또는 TF_ADDRESS를 설정하지 않으면, 작업이 Error: "address": required field is not set라는 오류 메시지와 함께 실패합니다.

이를 해결하려면 오류가 발생한 작업에서 TF_ADDRESS 또는 TF_STATE_NAME이 접근 가능한지 확인하십시오:

1. 작업을 위한 CI/CD 환경 범위를 구성합니다.

2. 작업의 환경을 설정하여 이전 단계의 환경 범위와 일치시킵니다.

오류 상태를 새로 고치는 중: HTTP 원격 상태 엔드포인트는 인증이 필요함

이를 해결하려면 다음을 확인하십시오:

• 사용하는 액세스 토큰에 api 범위가 있어야 합니다.
• TF_HTTP_PASSWORD CI/CD 변수를 설정한 경우, 반드시 다음 중 하나를 수행하십시오:
  • TF_PASSWORD와 동일한 값을 설정합니다.
  • CI/CD 작업이 해당 변수를 명시적으로 사용하지 않는 경우, TF_HTTP_PASSWORD 변수를 제거합니다.

파괴적인 명령에 대한 개발자 역할 액세스 활성화

개발자 역할을 가진 사용자가 파괴적인 명령을 실행할 수 있도록 하려면, 다음과 같은 우회 방법이 필요합니다:

1. 프로젝트 액세스 토큰 만들기와 api 범위를 설정합니다.
2. CI/CD 변수에 TF_USERNAME과 TF_PASSWORD를 추가합니다:
   1. TF_USERNAME의 값을 프로젝트 액세스 토큰의 사용자 이름으로 설정합니다.
   2. TF_PASSWORD의 값을 프로젝트 액세스 토큰의 비밀번호로 설정합니다.
   3. 선택 사항. 변수를 보호하여 보호된 브랜치나 보호된 태그에서 실행되는 파이프라인에서만 사용할 수 있도록 설정합니다.

상태 이름에 마침표가 포함되어 있을 경우 상태를 찾을 수 없음

GitLab 15.6 이전 버전에서는 상태 이름에 마침표가 포함될 경우 404 오류를 반환하며 Terraform이 상태 잠금을 시도했습니다.

이 제한을 우회하려면 Terraform 명령어에 -lock=false를 추가할 수 있습니다. GitLab 백엔드는 요청을 수락했지만 내부적으로 상태 이름에서 마침표와 그 이후의 모든 문자를 제거했습니다. 예를 들어, foo.bar라는 상태는 foo로 저장됩니다. 그러나 이 우회 방법은 추천되지 않았으며, 상태 이름 충돌을 초래할 수 있습니다.

GitLab 15.7 이후에는 마침표가 있는 상태 이름이 지원됩니다. 만약 -lock=false 우회 방법을 사용하고 GitLab 15.7 이상으로 업그레이드하면, 작업이 실패할 수 있습니다. 실패는 GitLab 백엔드가 전체 상태 이름을 저장하면서 발생하며, 이는 기존 상태 이름과 다릅니다.

실패한 작업을 수정하려면 상태 이름에서 마침표와 그 이후의 모든 문자를 제외하도록 상태 이름을 변경합니다. 예를 들어, Terraform 템플릿을 사용하는 경우:

include:
  - template: Terraform.gitlab-ci.yml

variables:
  TF_STATE_NAME: foo

TF_HTTP_ADDRESS, TF_HTTP_LOCK_ADDRESS 및 TF_HTTP_UNLOCK_ADDRESS가 설정되어 있는 경우, 거기에서 상태 이름을 업데이트해야 합니다.

또는 terraform 상태 마이그레이션을 수행할 수 있습니다.