Создать группу безопасности и назначить ее на порт сер�вера
Мы рекомендуем создавать ресурсы по порядку. Если вы создаете все ресурсы единовременно, Terraform будет учитывать зависимости между ресурсами, которые вы указали в конфигурационном файле. Если зависимости не указаны, ресурсы будут создаваться параллельно, что может приводить к ошибкам. Например, ресурс, который требуется для создания другого ресурса, может быть еще не создан.
- Опционально: настройте провайдеры.
- Создайте приватную сеть и подсеть.
- Создайте группу безопасности.
- Создайте правило.
- Создайте порт в сети.
- Назначьте группу на порт.
- Создайте сервер.
Конфигурационные файлы
Пример файла для настройки провайдеров
terraform {
required_providers {
servercore = {
source = "terraform.servercore.com/servercore/servercore"
version = "~> 6.0"
}
openstack = {
source = "terraform-provider-openstack/openstack"
version = "2.1.0"
}
}
}
provider "servercore" {
domain_name = "123456"
username = "user"
password = "password"
auth_region = "uz-1"
auth_url = "https://cloud.api.servercore.com/identity/v3/"
}
resource "servercore_project_v2" "project_1" {
name = "project"
}
resource "servercore_iam_serviceuser_v1" "serviceuser_1" {
name = "username"
password = "password"
role {
role_name = "member"
scope = "project"
project_id = servercore_project_v2.project_1.id
}
}
provider "openstack" {
auth_url = "https://cloud.api.servercore.com/identity/v3"
domain_name = "123456"
tenant_id = servercore_project_v2.project_1.id
user_name = servercore_iam_serviceuser_v1.serviceuser_1.name
password = servercore_iam_serviceuser_v1.serviceuser_1.password
region = "uz-1"
}
Пример файла для создания группы безопасности и назначения группы на порт сервера
resource "openstack_networking_network_v2" "network_1" {
name = "network"
port_security_enabled = "true"
}
resource "openstack_networking_subnet_v2" "subnet_1" {
name = "subnet"
network_id = openstack_networking_network_v2.network_1.id
cidr = "192.168.0.0/24"
}
resource "openstack_networking_secgroup_v2" "security_group_1" {
name = "sg"
description = "Test security group"
}
resource "openstack_networking_secgroup_rule_v2" "security_group_rule_1" {
direction = "ingress"
ethertype = "IPv4"
protocol = "tcp"
port_range_min = 443
port_range_max = 443
remote_ip_prefix = "0.0.0.0/0"
security_group_id = openstack_networking_secgroup_v2.security_group_1.id
}
resource "openstack_networking_port_v2" "port_1" {
name = "port"
network_id = openstack_networking_network_v2.network_1.id
admin_state_up = "true"
fixed_ip {
subnet_id = openstack_networking_subnet_v2.subnet_1.id
}
}
resource "openstack_networking_port_secgroup_associate_v2" "security_group_associate_1" {
port_id = openstack_networking_port_v2.port_1.id
security_group_ids = [openstack_networking_secgroup_v2.security_group_1.id]
}
data "openstack_images_image_v2" "image_1" {
name = "Ubuntu 20.04 LTS 64-bit"
most_recent = true
visibility = "public"
}
resource "servercore_keypair_v2" "keypair_1" {
name = "keypair"
public_key = file("~/.ssh/id_rsa.pub")
user_id = servercore_iam_serviceuser_v1.serviceuser_1.id
}
resource "openstack_blockstorage_volume_v3" "volume_1" {
name = "boot-volume"
size = "5"
image_id = data.openstack_images_image_v2.image_1.id
volume_type = "fast.uz-1a"
availability_zone = "uz-1a"
enable_online_resize = true
lifecycle {
ignore_changes = [image_id]
}
}
resource "openstack_compute_instance_v2" "server_1" {
name = "server"
flavor_id = "4011"
key_pair = servercore_keypair_v2.keypair_1.name
availability_zone = "uz-1a"
network {
port = openstack_networking_port_v2.port_1.id
}
lifecycle {
ignore_changes = [image_id]
}
block_device {
uuid = openstack_blockstorage_volume_v3.volume_1.id
source_type = "volume"
destination_type = "volume"
boot_index = 0
}
vendor_options {
ignore_resize_confirmation = true
}
}
1. Опционально: настроить провайдеры
Если вы настроили провайдеры Servercore и OpenStack, пропустите этот шаг.
-
Убедитесь, что в панели управления вы создали сервисного пользователя с ролями
memberв области доступа Аккаунт иiam.admin. -
Создайте директорию для хранения конфигурационных файлов и отдельный файл с расширением
.tfдля настройки провайдеров. -
В файл для настройки провайдеров добавьте провайдеры Servercore и OpenStack:
terraform {
required_providers {
servercore = {
source = "terraform.servercore.com/servercore/servercore"
version = "~> 6.0"
}
openstack = {
source = "terraform-provider-openstack/openstack"
version = "2.1.0"
}
}
}Здесь
version— версии провайдеров. Актуальную версию провайдера OpenStack можно посмотреть в Terraform Registry и GitHub.Подробнее о продуктах, услугах и сервисах, которыми можно управлять с помощью провайдеров, в инструкции Провайдеры Servercore и OpenStack.
-
Инициализируйте провайдер Servercore:
provider "servercore" {
domain_name = "123456"
username = "user"
password = "password"
auth_region = "uz-1"
auth_url = "https://cloud.api.servercore.com/identity/v3/"
}Здесь:
domain_name— номер аккаунта Servercore. Можно посмотреть в панели управления в правом верхнем углу;username— имя сервисного пользователя с ролямиmemberв области доступа Аккаунт иiam.admin. Можно посмотреть в панели управления: в верхнем меню нажмите Аккаунт → раздел Сервисные пользователи (раздел доступен только Владельцу аккаунта и пользователю с рольюiam.admin);password— пароль сервисного пользователя. Можно посмотреть при создании пользователя или изменить на новый;auth_region— пул для авторизации, напримерuz-1. Создавать ресурсы можно в других пулах. Список доступных пулов можно посмотреть в инструкции Матрицы доступности.
-
Создайте проект:
resource "servercore_project_v2" "project_1" {
name = "project"
}Посмотрите подробное описание ресурса servercore_vpc_project_v2.
-
Создайте сервисного пользователя для доступа к проекту и назначьте ему роль
memberв области доступа Проект:resource "servercore_iam_serviceuser_v1" "serviceuser_1" {
name = "username"
password = "password"
role {
role_name = "member"
scope = "project"
project_id = servercore_project_v2.project_1.id
}
}Здесь:
username— имя пользователя;password— пароль пользователя. Пароль должен быть не короче восьми символов и содержать латинские буквы разных регистров и цифры;project_id— ID проекта. Можно посмотреть в панели управления: в верхнем меню нажмите Продукты и выберите Облачные серверы → откройте меню проектов → в строке нужного проекта нажмите .
Посмотрите подробное описание ресурса servercore_iam_serviceuser_v1.
-
Инициализируйте провайдер OpenStack:
provider "openstack" {
auth_url = "https://cloud.api.servercore.com/identity/v3"
domain_name = "123456"
tenant_id = servercore_project_v2.project_1.id
user_name = servercore_iam_serviceuser_v1.serviceuser_1.name
password = servercore_iam_serviceuser_v1.serviceuser_1.password
region = "uz-1"
}Здесь:
domain_name— номер аккаунта Servercore. Можно посмотреть в панели управления в правом верхнем углу;region— пул, напримерuz-1. Все ресурсы будут создаваться в этом пуле. Список доступных пулов можно посмотреть в инструкции Матрицы доступности.
-
Если одновременно с настройкой провайдеров вы создаете ресурсы, то для ресурсов OpenStack добавьте аргумент
depends_on. Например, для ресурса openstack_networking_network_v2:resource "openstack_networking_network_v2" "network_1" {
name = "private-network"
admin_state_up = "true"
depends_on = [
servercore_project_v2.project_1,
servercore_iam_serviceuser_v1.serviceuser_1
]
} -
Откройте CLI.
-
Инициализируйте конфигурацию Terraform в директории:
terraform init -
Проверьте, что конфигурационные файлы составлены без ошибок:
terraform validate -
�Отформатируйте конфигурационные файлы:
terraform fmt -
Проверьте, какие ресурсы будут созданы:
terraform plan -
Примените изменения и создайте ресурсы:
terraform apply -
Подтвердите создание — введите yes и нажмите Enter. Созданные ресурсы отобразятся в панели управления.
-
Если для создания ресурсов оказалось недостаточно квот, увеличьте квоты.
2. Создать приватную сеть и подсеть
resource "openstack_networking_network_v2" "network_1" {
name = "network"
port_security_enabled = "true"
}
resource "openstack_networking_subnet_v2" "subnet_1" {
name = "subnet"
network_id = openstack_networking_network_v2.network_1.id
cidr = "192.168.0.0/24"
}
3. Создать группу безопасности
resource "openstack_networking_secgroup_v2" "security_group_1" {
name = "sg"
description = "Test security group"
}
Посмотрите подробное описание ресурса openstack_networking_secgroup_v2.
4. Создать правило
resource "openstack_networking_secgroup_rule_v2" "security_group_rule_1" {
direction = "ingress"
ethertype = "IPv4"
protocol = "tcp"
port_range_min = 443
port_range_max = 443
remote_ip_prefix = "0.0.0.0/0"
security_group_id = openstack_networking_secgroup_v2.security_group_1.id
}
Здесь:
direction— направление трафика:ingressдля входящего трафика,egressдля исходящего;ethertype— тип протокола:IPv4илиIPv6;protocol— протокол, напримерtcp;port_range_min— первый порт из диапазона портов, с которыми разрешено соединение, например443;port_range_max— последний порт из диапазона;remote_ip_prefix— IP-адреса, с которых разрешено принимать трафик, например0.0.0.0/0.
Посмотрите подробное описание ресурса openstack_networking_secgroup_rule_v2.
5. Создать порт в сети
resource "openstack_networking_port_v2" "port_1" {
name = "port"
network_id = openstack_networking_network_v2.network_1.id
fixed_ip {
subnet_id = openstack_networking_subnet_v2.subnet_1.id
}
}
Посмотрите подробное описание ресурса openstack_networking_port_v2.
6. Назначить группу на порт
resource "openstack_networking_port_secgroup_associate_v2" "security_group_associate_1" {
port_id = openstack_networking_port_v2.port_1.id
security_group_ids = [openstack_networking_secgroup_v2.security_group_1.id]
}
Посмотрите подробное описание ресурса openstack_networking_secgroup_associate_v2.
7. Создать облачный сервер
1. Добавить публичный SSH-ключ
resource "servercore_keypair_v2" "keypair_1" {
name = "keypair"
public_key = file("~/.ssh/id_rsa.pub")
user_id = servercore_iam_serviceuser_v1.serviceuser_1.id
}
Здесь public_key — путь до публичного SSH-ключа. Если SSH-ключи не сгенерированы, создайте их.
Посмотрите подробное описание ресурса servercore_vpc_keypair_v2.
2. Получить образ
data "openstack_images_image_v2" "image_1" {
name = "Ubuntu 20.04 LTS 64-bit"
most_recent = true
visibility = "public"
}
Посмотрите подробное описание источника данных openstack_images_image_v2.
3. Создать загрузочный сетевой диск
resource "openstack_blockstorage_volume_v3" "volume_1" {
name = "boot-volume-for-server"
size = "5"
image_id = data.openstack_images_image_v2.image_1.id
volume_type = "fast.uz-1a"
availability_zone = "uz-1a"
enable_online_resize = true
lifecycle {
ignore_changes = [image_id]
}
}
Здесь:
size— размер диска в ГБ. Учитывайте лимиты сетевых дисков на максимальный размер;volume_type— ID или имя типа сетевого диска. Например,fast.uz-1a— имя для создания сетевого диска с типом SSD Быстрый в сегменте пула uz-1a. Список типов можно посмотреть в таблице Список типов сетевого диска во всех сегментах пула;availability_zone— сегмент пула, в котором будет создан сетевой диск, напримерuz-1a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности.
Посмотрите подробное описание ресурса openstack_blockstorage_volume_v3.
4. Создать облачный сервер
resource "openstack_compute_instance_v2" "server_1" {
name = "server"
flavor_id = "1015"
key_pair = servercore_keypair_v2.keypair_1.name
availability_zone = "uz-1a"
network {
port = openstack_networking_port_v2.port_1.id
}
lifecycle {
ignore_changes = [image_id]
}
block_device {
uuid = openstack_blockstorage_volume_v3.volume_1.id
source_type = "volume"
destination_type = "volume"
boot_index = 0
}
vendor_options {
ignore_resize_confirmation = true
}
}
Здесь:
availability_zone— сегмент пула, в котором будет создан облачный сервер, напримерuz-1a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности;flavor_id— ID флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций. Например,1015— ID для создания сервера с фиксированной конфигурацией линейки Standard с 4 vCPU, 16 ГБ RAM в пуле uz-1. Список флейворов можно посмотреть в таблице Список флейворов фиксированной конфигурации во всех пулах.
Посмотрите подробное описание ресурса openstack_compute_instance_v2.