az2tf

Cet utilitaire « Azure to Terraform » (az2tf) lit un abonnement Azure et génère tous les fichiers de configuration Terraform requis (.tf) à partir de chacun des groupes de ressources Azure composites. Il importe également l'état Terraform à l'aide d'un

Commande "importation Terraform..."

Et finalement il exécute un

"plan de terraformation." commande

Espérons qu'il n'y ait aucun ajout ou suppression ultérieur signalé par la commande terraform plan car tous les fichiers de configuration terraform appropriés auront été automatiquement créés.

• L'outil est écrit pour le script shell bash et a été testé sur un MAC
• Azure cli2 version 2.0.55 ou supérieure doit être installé et vous avez besoin d'une connexion avec au moins les privilèges « Lecture »
• La version Terraform v0.11.11 doit être installée
• jq voir : https://stedolan.github.io/jq/ (Sur macOS également disponible via $brew install jq)

L'exécution de l'outil dans votre shell local (bash) nécessitait ces étapes :

1. Décompressez ou clonez ce dépôt git dans un répertoire vide
2. connectez-vous à Azure cli2 ( az login )
3. exécuter l'outil

1. Construire avec : $ docker build --rm -f "Dockerfile" -t az2tf:latest .
2. S'il n'existe pas déjà, créez un répertoire "généré" ( $ mkdir generated )
3. Exécutez avec $ ./runme.sh

(j'apprécierais des commentaires sur la façon de mieux utiliser Docker)

Nous pouvons utiliser docker-compose pour simplifier l'exécution de l'image docker. Exécutez simplement docker-compose run shell bash .

Pour générer les fichiers Terraform pour l'intégralité d'un abonnement Azure :

 ./az2tf.sh -s <Subscription ID>

Pour inclure les stratégies d’abonnement Azure et les contrôles et attributions RBAC :

 ./az2tf.sh -s <Subscription ID> -p yes

Pour générer les fichiers Terraform pour un groupe de ressources spécifique dans un abonnement :

 ./az2tf.sh -s <Subscription ID> -g <Resource Group>

Pour inclure les secrets d’un Key Vault dans les fichiers Terraform (les secrets seront en texte brut) :

 ./az2tf.sh -s <Subscription ID> -g <Resource Group> -x yes

Pour filtrer le type de ressource Terraform : (par exemple : uniquement les ensembles à haute disponibilité)

 ./az2tf.sh -s <Subscription ID> -g <Resource Group> -r azurerm_availability_set

Soyez patient - de nombreux résultats sont donnés sous la forme az2tf :

• Boucles pour chaque fournisseur via vos groupes de ressources et
• Crée les fichiers de configuration *.tf requis dans le répertoire "généré"
• Exécute les commandes "terraform import" nécessaires
• Et exécute enfin un « plan de terraformation »

Les types de ressources Terraform suivants sont actuellement pris en charge par cet outil :

Ressources de base

• azurerm_resource_group (complet)

Ressources d'autorisation

• azurerm_role_definition (niveau d'abonnement)
• azurerm_role_assignment (niveau d'abonnement)

Ressources Active Directory

Ressources App Service (applications Web)

• azurerm_app_service
• azurerm_app_service_plan

Ressources d'automatisation

• azurerm_automation_account

Ressources de calcul

• azurerm_availability_set (complet)
• azurerm_image
• azurerm_managed_disk (commun)
• azurerm_virtual_machine (commun)
• azurerm_virtual_machine_scale_sets (commun)

Ressources de conteneur

• azurerm_container_registry (complet)
• azurerm_kubernetes_cluster

Ressources CosmosDB (DocumentDB)

• azurerm_cosmosdb_account (commun)

Ressources Databricks

• azurerm_databricks_resources

Ressources du coffre-fort de clés

• azurerm_key_vault (commun)
• azurerm_key_vault_secret (complet)

Ressources d'équilibrage de charge

• azurerm_lb (complet)
• azurerm_lb_backend_address_pool (complet)
• azurerm_lb_rule (complet)
• azure_nat_rule (complet - nécessite plus de tests)
• azurerm_lb_probe (complet)
• azure_nat_pool (complet - nécessite plus de tests)

Ressources de gestion

• azurerm_management_lock (complet)

Ressources de messagerie

• azurerm_servicebus_namespace (complet)
• azurerm_servicebus_queue (partiel)

Ressources de surveillance

• azurerm_autoscale_setting

Ressources réseau

• azurerm_application_gateway
• azurerm_application_security_group (complet)
• azurerm_express_route_circuit (complet)
• azurerm_express_route_circuit_authorization (complet)
• azurerm_express_route_circuit_peering (partiel)
• azurerm_local_network_gateway
• azurerm_network_interface (commun)
• azurerm_network_security_group (complet)
• azurerm_network_watcher
• azurerm_public_ip (commun)
• azurerm_route_table (complet)
• azurerm_subnet (complet)
• azurerm_subnet_network_security_group_association (complet)
• azurerm_subnet_route_table_group_association (complet)
• azurerm_traffic_manager_endpoint (partiel)
• azurerm_traffic_manager_profile (partiel)
• azurerm_virtual_network (complet)
• azurerm_virtual_network_gateway
• azurerm_virtual_network_gateway_connection
• azurerm_virtual_network_peering (complet)

Ressources politiques

• azurerm_policy_definition (politiques personnalisées uniquement)
• azurerm_policy_assignment

Ressources du SGD

• azurerm_log_analytics_solution (partiel)
• azurerm_log_analytics_workspace (complet)

Services de récupération

• azurerm_recovery_services_vault (complet)

Ressources de stockage

• azurerm_storage_account (Commun - support complet tf manquant)

(Complet) = prise en charge complète de tous les attributs Terraform (Commun) = prise en charge des attributs Terraform les plus courants (Partiel) = prise en charge de certains des attributs Terraform

• Bases de données et applications PaaS
• Règles de pare-feu de stockage
• meilleur support continu d'AKS à mesure qu'AKS évolue
• Autres fournisseurs Terraform où Terraform et Azure cli2 se prennent en charge mutuellement

Il est assez lent de tout boucler dans les gros abonnements, il existe des moyens d'accélérer cet outil (faire moins d'appels de commande az cli), mais cela rendrait également plus difficile le débogage, je pourrais envisager de le faire après avoir fini de développer le support. pour plus de fournisseurs.

Peut échouer si votre connexion/SPN n'a pas accès au KeyVault

Ces attributs sont toujours signalés dans le plan Terraform défini sur false par défaut - il peut être nécessaire de les remplacer manuellement

• delete_data_disks_on_termination : "" => "false"
• delete_os_disk_on_termination : "" => "false"

en attente de prise en charge de Terraform pour les points de terminaison de service/pare-feu de réseau virtuel. Peut échouer si votre connexion/SPN n'a pas accès au KeyVault utilisé pour le chiffrement. Peut également échouer si des verrous de ressources sont en place.

Si les solutions ont '[' & ']' dans leur nom, elles seront ignorées.

Pas de support pour le peering MS (je n'en ai pas à tester !)

Terraform ne prend pas en charge l'autorisation "Tous"

si aucun paramètre BGP n'est spécifié pour VNet Gateway, terraform plan signalera un changement bénin, voir le problème dans github

 ~ update in-place
Terraform will perform the following actions:

~ azurerm_virtual_network_gateway.rg-$RGNAME__vgw-$VGWNAME
	bgp_settings.#: "" => <computed>