2024年8月13日 / 最終更新日時 : 2024年9月17日 officeの杜 Google

TerraformでCompute Engineのデプロイを自動化する - 基礎編

Google Workspace Migrateを使うに当たっては、Google Cloud上に何台ものCompute Engineの仮想環境を構築しセットアップする必要性があります。最大で1プロジェクト40台のノードサーバを手作業で構築しセットアップするのはとても大変。

ということで、これらの仮想マシンのデプロイをTerraformを使って自動化し、検証・再検証・先行ユーザ・本番ユーザといったような何回も手作業での構築時間の圧縮を図れるようにすると、コストも減るのでここにその手法と手順を記録する。

今回使用するツール

macOSでなくとも利用できますが、今回はmacOSのTerminal上で作業をし、利用するスクリプトについてはVSCodeを使って記述します。

テストの検証では、Linuxの仮想マシンを構築しますが、本来のGWMで使う仮想マシンはWindows Server 2019をもって構築する必要があります。

作業工程と事前準備

作業の流れ

構築の流れですが、Google Cloud側に事前にプロジェクトは用意されてる状態で進みます。このプロジェクトに対して作業を行いますが、Compute Engineの稼働時間がコストに跳ね返るので、Terraformのスクリプトを作成してから、作業に取り掛かることになります。

  1. main.tfというファイル(本体)をVSCodeで作成する
  2. ファイルのProvider設定はGoogleで行う
  3. ターミナルのコマンドでterraform initで初期化する.
  4. 手動でCompute Engine上で仮想マシンを作成しておく(検証時は最小構成で十分)
  5. 4.の仮想環境にRDPで接続してアプリをインストールしたりなどをしておく(検証時はファイル1個作成などでOK)
  6. 仮想マシンのディスクのスナップショットを取る(terraformはこのスナップショットからコピーする)
  7. ターミナルのコマンドでterraform importコマンドにて4.の仮想マシン設定を取り込む。
  8. ターミナルのコマンドでterraform applyにて4.の仮想マシンを必要台数分複製する(ここで1.のファイルが利用される)

この仕組みを利用することで、例えば40台分作成するに当たって、作成済みのマシンを除いて必要台数をコピーして作成してくれるのがTerraformの良い所。

よってmain.tfのファイルが最初に必要になるため、Compute Engineの作業はスクリプトを用意出来てからとなります。

※不要になったらスナップショットもお金が掛かるので削除しておきましょう。

Google Cloud側の準備

プロジェクト概要とCompute Engine API

この作業はmain.tfというファイルが用意出来て複製実行直前に行います。以下の手順でプロジェクトに対して、手動で1個複製元になるマシンを構築します。

  1. Google Cloud Consoleのトップページを開く
  2. 表示されてるプロジェクト番号とプロジェクトIDを後ほど利用するので控えておく。
  3. 次に左サイドバーからCompute Engineをクリックする
  4. APIを有効化しろと出てくるので、有効にするをクリックする

図:プロジェクト番号等を控えておく

サービスアカウントの作成も自動化する場合

今回は手動で作成したサービスアカウントを使うのでこのAPIは特に有効化しなくて良いですが、サービスアカウントの作成もTerraformで自動化することが可能です。その場合にはIdentity and Access Management (IAM) APIを有効化しないと、terraformでapplyした時にエラーとなります。

サービスアカウント作成自動化の場合は有効化しておきましょう。

図:有効化しないとエラーになる

図:API有効化

サービスアカウントを作成する

後述のgcloudコマンドでも作れますが、ここでは手作業で作っておきます。

  1. 左サイドバーよりIAMと管理を開き、サービスアカウントを開きます。
  2. 上部にあるサービスアカウントを作成をクリックする
  3. サービスアカウント名はterraformとでも入れて、説明を入れて作成して続行をクリック
  4. ロールでは、編集者を選択します。続行をクリックします。
  5. 3つ目の設定は特に何もせずにスルー。完了をクリックします。
  6. terraform@プロジェクト名.iam.gserviceaccount.com」というサービスアカウントが出来ました。アカウント名をクリックして中に入ります。
  7. 上部にあるキータブをクリックして、鍵を追加⇒新しい鍵を作成をクリックする
  8. キーのタイプはJSONのままで、作成をクリック。
  9. JSONファイルがダウンロードされるので、後述のローカルプロジェクトフォルダにでも入れておきます。

図:これでサービスアカウントが出来ました

IAMの権限付与

前述のサービスアカウント作成時のロールの付与にて、本来はIAMのパネルで対象のサービスアカウントが出てこないとオカシイです。しかし、お客様環境で自身に割り当てられてる権限がなく、IAMに登録されていないことがあります。このロールをつける権限は「Project IAM 管理者」を付けてもらう必要があります。

このままTerraformを実施すると、403エラーで動かないことになります。

この場合、IAMを操作できる権限の人に以下の作業をしてもらう必要があります。

  1. IAMのパネルにて、アクセス権を付与をクリックする

  2. プリンシパルネームはterraform用に作ったサービスアカウントの名前(terraform@project名.iam.gserviceaccount.comみたいなの)

  3. ロールは「編集者」をつける

これで、terraform applyを実行しても403エラーにならずに実行することが出来るようになります。

図:403エラーが発生してしまった

図:編集者ロールが必要

VSCodeの準備

VSCodeでmain.tfなどのTerraformファイルを開けますが、より便利にする為に拡張機能をインストールしておきます。日本語化などの拡張機能も入れておくと良いでしょう。

  1. VSCodeを起動する
  2. 左サイドバーの拡張機能をクリックする
  3. 検索窓からTerraformと検索すると、Hashicorp製のものが見つかるので、installをクリックする
  4. ダイアログが出るので、ワークスペースを信頼してインストールをクリックする

これでVSCodeの準備は完了です。

図:VSCodeでデフォルトで開くようにしておく

図:拡張機能を入れておく

図:キレイに書くことが可能になる

Terraform環境の構築

Homebrewのインストール

macOSの様々なパッケージをインストールする「homebrew」。非常によく使うのでインストールします。今回のTerraformコマンドもこちらでインストールするほうが手っ取り早いです。

  1. ターミナルを起動する

  2. 以下のコマンドを実行する。その際にユーザのmacへのログインパスワードを問われるので入力する。
  3. installation successfulと出たら成功ですが、パスが通っていないので、以下の作業を続ける。ユーザ名の所は書き換えて実行が必要です。

    これでbrewのバージョンが表示されたら成功

  4. 続けてterraformをインストールしましょう。

図:Homebrewをまず準備する

gcloud CLI をインストールする

ツールのインストール

TerraformだけだとGoogle Cloudにアクセス出来ないので、Google Cloud CLIをインストールします。

  1. こちらのページにアクセスしてmacOS版をダウンロードする(M1はARM64, Apple M1 siliconを選択)
  2. ダブルクリックして解凍する
  3. ターミナルを起動して、2.の解凍先のフォルダまで移動しておく
  4. 中に入ってるinstall.shを実行する

    Do you want to help improve the Google Cloud CLIと問われるますが、「改善のために匿名の使用統計情報を送信するかどうか」なので、nでも問題ないです。
  5. Do you want to continue?と問われるので、Yと入力してEnterを実行
  6. Enter a path to an rc file to update, or leave blank to useと出ますが、blankのままEnterで問題ないです。
  7. Download and run Python 3.11 installer?と出るので、Yと入力してEnterを実行し、Pythonをインスコします。
  8. macOSのユーザパスワードを入力して続行します。
  9. 完了したら、一旦ターミナルは終了させておき、再度ターミナルを起動します(これをしないとgcloudコマンドが使えない)
  10. gcloud versionでバージョン表記が出たらオッケー

これでインストールが完了します。

もし、解凍先フォルダを他に移動してしまうとパスが通っていない状態なので、以下の作業をしなおしてパスを通し直す必要があります。

  1. 対象のフォルダをクリックした状態で、option + command + cでフルパスを取得できる

  2. ターミナルを起動する

  3. open ~/.zshrcを実行して設定ファイルを開く

  4. ファイルが開かれるので、中に記述されてるGoogle Cloud SDKやshell command completion for gcloudに記述されてるパスを書き直す

  5. 上書き保存する

  6. source ~/.zshrcで反映する

これで、gcloudコマンドが使えるようになります。

図:gcloud cliのインストールの様子

図:パスを通し直す場合

初期化しておく

続けて、ターミナル上でGoogle Cloudに接続し最初の認証作業を済ませておきます。

  1. ターミナルを起動する
  2. 以下のコマンドを実行する
  3. You must log in to continue. Would you like to log inと聞かれるのでYを入力してEnterを実行する
  4. Chromeが起動するので自身のGoogleアカウントにログインして認証を許可する
  5. This account has a lot of projects! Listing them all can take a whileと出るので、Enter a project IDを選択するので、1を入力する
  6. 続けて、プロジェクト番号を入力してEnterを実行する

これで初期化が完了しました。「gcloud auth application-default login」でも後から認証作業が可能です。

図:プロジェクト番号を入れて接続する

図:ログイン認証の様子

Terraformのインストール

ツールのインストール

まずは、Terraformをインストールします。公式ドキュメント通りに前述のHomebrewにてインストールをすることになります。

  1. ターミナルを起動する
  2. 以下のコマンドを実行する。
  3. terraform -versionと実行してバージョン表示がでれば成功です。

図:Terraformのインストール

プロジェクトをローカルに作成する

ターミナルから以下のコマンドを実行してプロジェクトフォルダとmain.tfファイルを作成します。このmain.tfに対してコマンドを記述していくことになります。

これで書類フォルダ以下にプロジェクト用のフォルダが作成されて、空のmain.tfファイルが作成されます。

gwm-projectは適当な名前でオッケーです。同じディレクトリに前述のサービスアカウントで作ってダウンロードしたJSONキーファイルを入れておくと良いでしょう。

図:プロジェクトにファイルが生成されました

Terraformスクリプトを書く

これでTerraformのスクリプトを書く準備が整いました。ここまでで用意した環境の値を元に構築していきます。

初期化作業

プロバイダの指定

まずは、初期化の為に必要なコードをmain.tfに書き込んでおきます。

  • サービスアカウント作成時のjsonファイルを使うので、上記のようにfileにて指定します。
  • GCPのプロジェクトのIDをprojectに記入します。プロジェクト番号ではないので注意。
  • regionはGCEをどのリージョンに作成するか?を指定する。今回は「us-central1」を指定。
  • zoneを指定しなかった場合、同じリージョン内に勝手に作られます。今回は「us-central1-a」が指定されていました

zoneを指定せずに後述のImportを実行しようとすると「Cannot determine zone: set in this resource, or set provider-level zone」というエラーが出るので必ず指定しましょう。

Terraformの初期化

ここまで来たら、ターミナルからTerraformの初期化を実行します。

  1. ターミナルを起動する
  2. 作成しておいたTerraformのプロジェクトフォルダまで移動する
  3. 以下のコマンドを実行して初期化する
  4. ターミナルで以下のコマンドを実行すると生成された2つのファイルが確認できます。
  5. .terraformフォルダ.terraform.lock.hclが存在するのが確認できます。

生成されたファイルやフォルダはドットから始まる隠しファイル・フォルダなのでFinder上からは通常見えません。

図:プラグインとか色々ダウンロードされる

仮想マシンを作成する

Compute EngineでVMを作る

続けて、スナップショットを複製するコードを書く必要がありますが、その前にCompute Engine上でベースになる仮想マシンを1台作成してスナップショットを取ります

今回は検証なので必要最低限のスペックのマシンを作成します。

  1. GCPの左サイドバーよりCompute Engineをクリックする
  2. インスタンスを作成をクリックする
  3. インスタンス名は適当に設定する(今回はgwmprj-20240813とでもしました)
  4. リージョンは「us-central1(アイオワ)」を選択します(後から変更出来ません)
  5. ゾーンはとりあえず指定なしで進めます。
  6. マシン構成は汎用ではE2を選択します。
  7. コンピューティング最適化ではC2を選択します。
  8. メモリ最適化ではM3を選択します。
  9. ストレージ最適化ではZ3しか選択できません。
  10. それぞれの項目に下の方にマシンプリセットがあるので最小のものを選んでいく。
  11. 下の方にあるブートディスクで警告が出てるので、変更をクリックする
  12. 右サイドバーが出てくるので、Debian GNU Linux 12のx86/64に変更する
  13. ディスクはとりあえず20GBくらいにしておく
  14. 選択をクリックする
  15. サービスアカウントは前述までに作っておいたterraform用のサービスアカウントを指定する
  16. 作成をクリックする

これで仮想マシンが作成されました。すでにVMは起動状態なので、必要なければ停止などをしておきましょう。IPなどは自動で割り当てがされています。

図:VMの設定

図:ブートディスクを変更

スナップショットを取得する

スナップショットのディスクを元に複製をするので、ここでスナップショットの作成を行います。

  1. GCEのトップ画面を開いておく
  2. 作成したVMの名前をクリックする
  3. 左サイドバーからストレージ項目にある「スナップショット」をクリックする
  4. スナップショットを作成をクリックする
  5. スナップショットの名前は適当にセットする。今回は snapshot-1とした(この名前をあとで使うので控えておく)
  6. スナップショットソースの種類では、ディスクを指定する
  7. ソースディスクではすでに作成したCompute Engineが出てくるのでそれを選択する
  8. タイプはスナップショットのままにしておく
  9. あとはデフォルトのままで、作成をクリックする

図:スナップショットを作成してる様子

Terraformにインポートする

GCE情報を追記する

作成したVMのインスタンス管理をTerraform管理下にする為にimportという作業を行います。main.tfに対して以下の内容を追記していく作業をします。

  • service accout項目のaccount_idはGCPのプロジェクト名を入れる
  • google_compute_instanceのnameは今回で言えば「gwmprj-20240813」を入力することになる。
  • Machine typeも作成時に指定したものを入力(今回はc2-standard-4を選んでみてます)
  • zoneは今回指定していませんが、自動で同じリージョンに割り当てられています(us-central1-aを入力しました)
  • bootdiskは今回はDebian Gnu Linux 12なので、debian-cloud/debian-12と入力します。
  • bootdiskでsizeを20で指定すると20GBのディスクサイズで作成します。
  • allow_stopping_for_updateをtrueで指定すると、VMを停止して構成を強制変更許可します。
  • IPアドレスは特にnetworkで指定していないので自動割り当てになります。
  • 他は上記の設定のままで行きます。

インポートを実行する

今回の設定では前述までの間で

  • Compute Engineリソース:google_compute_instanceのdefaultで作成してる
  • name : 作成済みのインスタンス名は「gwmprj-20240813」である

この状態で、ローカルのTerraform側でImportを実行します。その場合のコマンドは以下のようになります。

実行完了するとプロジェクトフォルダ内に「terraform.tfstate」というtfstateファイルが生成されます。複数名で共同で運用する場合は、これをCloud Storageなどにアップして参照するようにしますが、今回は個人利用なので、このままにしておきます。

図:TerraformでImportを実行してる様子

Terraformを実行する

ここまでで、Compute EngineにVMが無い状態であっても、指定のサービスアカウントを割り当てた状態でVMが作成可能です。また、VMの設定変更をしたい場合、すでに作成済みのVMに対して設定変更だけ行ってくれるので、勝手に新しいものが作られたりはしません。

スクリプトを実行する

以下のコマンドを叩くだけで、Compute Engineに対してスクリプトの内容に従ってVMが新規に作成されます。また、すでに同名のものが作成済みの場合には、強制停止した上で設定変更を行います(自動再起動はされないので手動で起動が必要です)。

実行するか?という問い合わせが途中入るので、「yes」と入力してEnterすれば作業が開始されます。結構早く構築されて起動までします。

図:terraformの実行中の様子

差分の確認

スクリプトのVMの構成内容を変更して、変更差分を確認するコマンドが用意されています。ただし、内容が盛り沢山なので、その中から見つけるのはちょっと大変。

図:更新差分を確認できる

削除する

作成したVMはそのまま放置してると恐ろしい金額が請求される可能性があります。40台マックスで立てた場合は、月間で300万円くらい行くと思います。停止しておけばお金が掛からないというものでもなく、ディスクの使用量は継続して請求が掛かることになります。

よって、検証などで立てた場合には作業の終わりと共に必ず、仮想環境を削除しましょう。その為のコマンドが用意されています。但し本番環境もコマンド一発で吹き飛ばすことになるので、要注意です。といっても、必ず確認でyes⇒Enterをしないと実行はされないので、おかしな事をしなければここで踏みとどまれます。

※VMを消しても取得したスナップショットは消えていないので要注意。

図:Destroyで環境を削除します

関連リンク

カテゴリー
GooglemacOS開発
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

AppSheet

前の記事

AppSheetで安否確認アプリを作ろう【GAS】
2024年8月9日
Google

次の記事

TerraformでCompute Engineのデプロイを自動化する - 応用編
2024年8月14日