GitLab과의 Terraform 통합 문제 해결
Terraform과 GitLab을 통합하여 사용하는 경우, 해결해야 할 문제가 발생할 수 있습니다.
gitlab_group_share_group 자원이 하위 그룹 상태 갱신 시 감지되지 않음
GitLab Terraform 제공자는 기존의 gitlab_group_share_group 자원을 감지하지 못할 수 있습니다.
이는 “사용 권한이 있는 사용자가 API에서 share_with_groups를 검색할 수 없음” 문제로 인한 것입니다.
이로 인해 Terraform은 기존 자원을 재생성하려고 시도하면서 terraform apply를 실행하는 중에 오류가 발생합니다.
예를 들어, 다음과 같은 그룹/하위 그룹 구성을 고려해보십시오:
parent-group
├── subgroup-A
└── subgroup-B
여기서:
- 사용자
user-1는parent-group,subgroup-A,subgroup-B를 생성합니다. -
subgroup-A는subgroup-B와 공유됩니다. -
terraform-user는parent-group의 구성원이며, 상속 된owner액세스 권한을 가지며 두 하위 그룹에 대한 액세스 권한을 상속받습니다.
Terraform 상태를 갱신할 때, 제공자에 의해 발행된 GET /groups/:subgroup-A_id API 쿼리에서 shared_with_groups 배열에서 subgroup-B의 세부 정보를 반환하지 않습니다. 이로 인해 오류가 발생합니다.
이 문제를 해결하기 위해 다음 조건 중 하나를 적용하십시오:
-
terraform-user가 모든 하위 그룹 자원을 생성합니다. -
terraform-user에게subgroup-B에서 유지자 또는 소유자 역할을 부여합니다. -
terraform-user가subgroup-B에 상속 된 액세스를 가지며,subgroup-B에 하나 이상의 프로젝트가 포함되어 있는지 확인합니다.
기본 템플릿 사용 시 잘못된 CI/CD 구문 오류
Terraform 템플릿을 사용할 때 CI/CD 구문 오류가 발생할 수 있습니다:
- GitLab 14.2 이상에서
latest템플릿을 사용하는 경우 - GitLab 15.0 이상에서 템플릿의 모든 버전을 사용하는 경우
예를 들어:
include:
# 14.2 이상에서 다음 중 하나를 사용하는 경우:
- template: Terraform/Base.latest.gitlab-ci.yml
- template: Terraform.latest.gitlab-ci.yml
# 15.0 이상에서 다음 템플릿도 업데이트되었습니다:
- template: Terraform/Base.gitlab-ci.yml
- template: Terraform.gitlab-ci.yml
my-terraform-job:
extends: .apply
이러한 오류의 원인은 세 가지가 있습니다:
-
.init의 경우, 초기화 단계와 작업이 템플릿에서 제거되어 더 이상 필요하지 않기 때문에 오류가 발생합니다. 구문 오류를 수정하려면.init를 확장하는 모든 작업을 안전하게 제거할 수 있습니다. -
다른 모든 작업의 경우, 오류의 이유는 기본 작업 이름이 이름이 변경되었기 때문입니다. 예를 들어,
.apply는.terraform:apply로 변경되었습니다. 이 오류를 수정하려면 기본 작업 이름을 업데이트할 수 있습니다. 예를 들어:my-terraform-job: - extends: .apply + extends: .terraform:apply - GitLab 15.0에서 템플릿은
rules구문을 사용하며,only/except대신 사용됩니다..gitlab-ci.yml파일에서 구문이 둘 다 포함되어 있지 않도록 하십시오.
이전 버전의 템플릿 사용
주요 릴리스 중에는 호환되지 않는 변경 사항이 발생할 수 있습니다. 호환되지 않는 변경 사항을 만나거나 이전 버전의 템플릿을 사용하려는 경우, .gitlab-ci.yml을 이전 버전으로 참조하도록 업데이트할 수 있습니다. 예를 들어:
include:
remote: https://gitlab.com/gitlab-org/configure/template-archive/-/raw/main/14-10/Terraform.gitlab-ci.yml
어떤 템플릿을 사용할 수 있는지 보려면 template-archive를 확인하십시오.
Terraform 상태 문제 해결
이전 작업의 계획으로 terraform apply를 위해 CI 작업에서 Terraform 상태 파일을 잠글 수 없음
terraform init에 -backend-config=를 전달하면 Terraform은 이러한 값을 계획 캐시 파일 내부에 유지합니다. 여기에는 password 값도 포함됩니다.
결과적으로, 계획을 작성하고 나중에 동일한 계획을 다른 CI 작업에서 사용하려고 하면 -backend-config=password=$CI_JOB_TOKEN을 사용할 때 Error: Error acquiring the state lock 오류가 발생할 수 있습니다. 이는 $CI_JOB_TOKEN의 값이 현재 작업의 기간 동안만 유효하기 때문에 발생합니다.
이 문제를 해결하려면 http 백엔드 구성 변수를 사용하여, GitLab CI를 사용하여 시작하기 지침을 따를 때 내부에서 발생하는 것과 동일하게 하십시오.
오류: “address”: 필수 필드가 설정되지 않았습니다.
기본적으로, TF_ADDRESS를 ${CI_API_V4_URL}/projects/${CI_PROJECT_ID}/terraform/state/${TF_STATE_NAME}로 설정합니다.
작업에서 TF_STATE_NAME 또는 TF_ADDRESS를 설정하지 않으면 해당 오류 메시지가 표시되어 작업이 실패합니다.
이를 해결하려면, 오류가 발생한 작업에서 TF_ADDRESS 또는 TF_STATE_NAME이 접근 가능하도록 다음을 확인하십시오:
- 작업에 대한 CI/CD 환경 스코프를 구성합니다.
- 이전 단계에서 제공한 환경 스코프와 일치하는 작업의 환경을 설정합니다.
상태 갱신 오류: HTTP 원격 상태 엔드포인트에 인증이 필요합니다
이를 해결하려면 다음을 확인하십시오:
- 사용하는 액세스 토큰에
api범위가 포함되어 있는지 확인합니다. -
TF_HTTP_PASSWORDCI/CD 변수를 설정한 경우, 해당 변수를TF_PASSWORD와 동일한 값으로 설정하거나:- CI/CD 작업이 명시적으로 사용하지 않으면
TF_HTTP_PASSWORD변수를 제거합니다.
- CI/CD 작업이 명시적으로 사용하지 않으면
파괴적 명령에 대한 개발자 역할 액세스 허용
개발자 역할을 하는 사용자가 파괴적인 명령을 실행할 수 있도록 하려면 해결 방법이 필요합니다:
-
api범위로 프로젝트 액세스 토큰을 만듭니다. - CI/CD 변수에
TF_USERNAME및TF_PASSWORD를 추가합니다:-
TF_USERNAME의 값을 프로젝트 액세스 토큰의 사용자 이름으로 설정합니다. -
TF_PASSWORD의 값을 프로젝트 액세스 토큰의 암호로 설정합니다. - 선택 사항입니다. 이러한 변수를 보호하여 보호된 브랜치 또는 보호된 태그에서 실행되는 파이프라인에서만 사용할 수 있도록 할 수 있습니다.
-
상태 이름에 마침표가 포함된 경우 상태를 찾을 수 없음
GitLab 15.6 및 이전 버전에서는 상태 이름에 마침표가 포함되어 있고 Terraform이 상태 잠금을 시도하면 404 오류가 발생했습니다.
이제는 마침표가 포함된 상태 이름을 사용할 수 있습니다. -lock=false 해결책을 사용하고 GitLab 15.7 이상으로 업그레이드하면 작업이 실패할 수 있습니다. 실패의 원인은 GitLab 백엔드에서 새로운 상태를 전체 상태 이름으로 저장하는 것인데, 이는 기존의 상태 이름과 다른 것입니다.
실패한 작업을 수정하려면 상태 이름을 마침표 및 그 뒤에 오는 문자를 제외하도록 변경해야 합니다. 예를 들어, Terraform 템플릿을 사용하는 경우:
include:
- template: Terraform.gitlab-ci.yml
variables:
TF_STATE_NAME: foo
TF_HTTP_ADDRESS, TF_HTTP_LOCK_ADDRESS 및 TF_HTTP_UNLOCK_ADDRESS가 설정되어 있는 경우 해당 상태 이름을 업데이트해야 합니다.
또는 Terraform 상태를 이전할 수도 있습니다.
도움말