terraform aws vpc

Модуль Terraform, который создает ресурсы VPC на AWS.

 module "vpc" {
  source = " terraform-aws-modules/vpc/aws "

  name = " my-vpc "
  cidr = " 10.0.0.0/16 "

  azs             = [ " eu-west-1a " , " eu-west-1b " , " eu-west-1c " ]
  private_subnets = [ " 10.0.1.0/24 " , " 10.0.2.0/24 " , " 10.0.3.0/24 " ]
  public_subnets  = [ " 10.0.101.0/24 " , " 10.0.102.0/24 " , " 10.0.103.0/24 " ]

  enable_nat_gateway = true
  enable_vpn_gateway = true

  tags = {
    Terraform = " true "
    Environment = " dev "
  }
}

По умолчанию этот модуль предоставит новые эластичные IP-адреса для шлюзов NAT VPC. Это означает, что при создании нового VPC выделяются новые IP-адреса, а когда этот VPC уничтожается, эти IP-адреса освобождаются. Иногда удобно сохранять одни и те же IP-адреса даже после уничтожения и повторного создания VPC. С этой целью можно назначить существующие IP-адреса шлюзам NAT. Это предотвращает освобождение этих IP-адресов при уничтожении VPC, в то же время делая возможным использование тех же IP-адресов в повторно созданном VPC.

Для этого выделите IP-адреса вне объявления модуля VPC.

 resource "aws_eip" "nat" {
  count = 3

  vpc = true
}

Затем передайте выделенные IP-адреса в качестве параметра этому модулю.

 module "vpc" {
  source = " terraform-aws-modules/vpc/aws "

  # The rest of arguments are omitted for brevity

  enable_nat_gateway  = true
  single_nat_gateway  = false
  reuse_nat_ips       = true                    # <= Skip creation of EIPs for the NAT Gateways
  external_nat_ip_ids = " ${ aws_eip . nat . * . id } "   # <= IPs specified here as input to the module
}

Обратите внимание, что в этом примере мы выделяем 3 IP-адреса, поскольку мы будем предоставлять 3 шлюза NAT (из-за single_nat_gateway = false и наличия 3 подсетей). Если, с другой стороны, single_nat_gateway = true , то aws_eip.nat нужно будет выделить только 1 IP. Передача IP-адресов в модуль осуществляется путем установки двух переменных reuse_nat_ips = true и external_nat_ip_ids = "${aws_eip.nat.*.id}" .

Этот модуль поддерживает три сценария создания шлюзов NAT. Каждый из них будет более подробно описан в соответствующих разделах.

• Один шлюз NAT на подсеть (поведение по умолчанию)
  • enable_nat_gateway = true
  • single_nat_gateway = false
  • one_nat_gateway_per_az = false
• Одиночный шлюз NAT
  • enable_nat_gateway = true
  • single_nat_gateway = true
  • one_nat_gateway_per_az = false
• Один NAT-шлюз на каждую зону доступности
  • enable_nat_gateway = true
  • single_nat_gateway = false
  • one_nat_gateway_per_az = true

Если для single_nat_gateway и one_nat_gateway_per_az установлено значение true , то single_nat_gateway имеет приоритет.

По умолчанию модуль определяет количество создаваемых шлюзов NAT на основе max() списков частных подсетей ( database_subnets , elasticache_subnets , private_subnets и redshift_subnets ). Модуль не учитывает количество intra_subnets , так как последние рассчитаны на отсутствие доступа в Интернет через NAT Gateway. Например, если ваша конфигурация выглядит следующим образом:

 database_subnets    = [ " 10.0.21.0/24 " , " 10.0.22.0/24 " ]
elasticache_subnets = [ " 10.0.31.0/24 " , " 10.0.32.0/24 " ]
private_subnets     = [ " 10.0.1.0/24 " , " 10.0.2.0/24 " , " 10.0.3.0/24 " , " 10.0.4.0/24 " , " 10.0.5.0/24 " ]
redshift_subnets    = [ " 10.0.41.0/24 " , " 10.0.42.0/24 " ]
intra_subnets       = [ " 10.0.51.0/24 " , " 10.0.52.0/24 " , " 10.0.53.0/24 " ]

Затем будет создано 5 шлюзов NAT, поскольку были указаны 5 блоков CIDR частной подсети.

Если single_nat_gateway = true , все частные подсети будут маршрутизировать свой интернет-трафик через этот единственный шлюз NAT. Шлюз NAT будет помещен в первую общедоступную подсеть в блоке public_subnets .

Если one_nat_gateway_per_az = true и single_nat_gateway = false , то модуль разместит один шлюз NAT в каждой зоне доступности, указанной вами в var.azs . Существуют некоторые требования к использованию этого флага функции:

• Необходимо указать переменную var.azs .
• Количество блоков CIDR общедоступной подсети, указанное в public_subnets должно быть больше или равно количеству зон доступности, указанных в var.azs . Это необходимо для того, чтобы каждый шлюз NAT имел выделенную общедоступную подсеть для развертывания.

По умолчанию, если шлюзы NAT включены, в частных подсетях будут настроены маршруты для интернет-трафика, указывающие на шлюзы NAT, настроенные с использованием вышеуказанных параметров.

Если вам нужны частные подсети, в которых не должно быть маршрутизации через Интернет (в смысле подсетей RFC1918 категории 1), следует указать intra_subnets . Примером использования является настройка функций AWS Lambda в VPC, где функциям AWS Lambda необходимо только передавать трафик на внутренние ресурсы или конечные точки VPC для сервисов AWS.

Поскольку функции AWS Lambda выделяют эластичные сетевые интерфейсы пропорционально полученному трафику (подробнее), может быть полезно выделить большую частную подсеть для таких распределений, сохраняя при этом генерируемый ими трафик полностью внутри VPC.

Вы можете добавить дополнительные теги с помощью intra_subnet_tags , как и в случае с другими типами подсетей.

Журнал потока VPC позволяет захватывать IP-трафик для определенного сетевого интерфейса (ENI), подсети или всего VPC. Этот модуль поддерживает включение или отключение журналов потоков VPC для всего VPC. Если вам нужны журналы потоков VPC для подсети или ENI, вам придется управлять ими за пределами этого модуля с помощью ресурса aws_flow_log.

По умолчанию file_format представляет собой plain-text . Вы также можете указать parquet , чтобы журналы записывались в формате Apache Parquet.

 flow_log_file_format = "parquet"

Если вашей организации требуется, чтобы граница разрешений была прикреплена к роли журнала потока VPC, убедитесь, что вы указали ARN политики границ разрешений в качестве аргумента vpc_flow_log_permissions_boundary . Узнайте больше о необходимой политике IAM для публикации журналов потоков.

До Terraform 0.13 вы не могли указать count в блоке модуля. Если вы хотите переключить создание ресурсов модуля в более старой (до 0.13) версии Terraform, вы можете использовать аргумент create_vpc .

 # This VPC will not be created
module "vpc" {
  source = " terraform-aws-modules/vpc/aws "

  create_vpc = false
  # ... omitted
}

Иногда бывает удобно иметь публичный доступ к экземплярам RDS (не рекомендуется для производства), указав следующие аргументы:

  create_database_subnet_group           = true
  create_database_subnet_route_table     = true
  create_database_internet_gateway_route = true

  enable_dns_hostnames = true
  enable_dns_support   = true 

Этот модуль может управлять сетевыми ACL и правилами. После создания VPC AWS создает сетевой список ACL по умолчанию, которым можно управлять с помощью этого модуля ( manage_default_network_acl = true ).

Кроме того, каждый тип подсети может иметь свой собственный сетевой список управления доступом со специальными правилами для каждой подсети. Например, установите public_dedicated_network_acl = true , чтобы использовать ACL выделенной сети для общедоступных подсетей; установите значения public_inbound_acl_rules и public_outbound_acl_rules , чтобы указать все правила NACL, которые вам нужны в общедоступных подсетях (значения и структуры по умолчанию см. в variables.tf ).

По умолчанию все подсети связаны с сетевым ACL по умолчанию.

Иногда бывает удобно иметь публичный доступ к кластерам Redshift (например, если вам нужен доступ к ним с помощью Kinesis — конечная точка VPC для Kinesis еще не поддерживается Redshift), указав следующие аргументы:

  enable_public_redshift = true  # <= By default Redshift subnets will be associated with the private route table 

Этот модуль VPC можно интегрировать с модулем terraform-aws-transit-gateway, который управляет созданием ресурсов TGW и вложений VPC. См. полный пример там.

CIDR VPC можно назначить из пула AWS IPAM. Однако для создания подсетей в этом модуле Terraform должен знать CIDR подсетей, чтобы правильно планировать количество ресурсов для построения. Поскольку CIDR создается IPAM путем вызова CreateVpc, это невозможно внутри модуля, если cidr не известен заранее. Вы можете обойти это, «предварительно просмотрев» CIDR, а затем используя его в качестве значений подсети.

Примечание. Из-за условий гонки с terraform plan невозможно использовать ipv4_netmask_length или allocation_default_netmask_length в этом модуле. Вы должны явно установить CIDR для использования пулом.

 # Find the pool RAM shared to your account
# Info on RAM sharing pools: https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html
data "aws_vpc_ipam_pool" "ipv4_example" {
  filter {
    name   = " description "
    values = [ " *mypool* " ]
  }

  filter {
    name   = " address-family "
    values = [ " ipv4 " ]
  }
}

# Preview next CIDR from pool
data "aws_vpc_ipam_preview_next_cidr" "previewed_cidr" {
  ipam_pool_id   = data . aws_vpc_ipam_pool . ipv4_example . id
  netmask_length = 24
}

data "aws_region" "current" {}

# Calculate subnet cidrs from previewed IPAM CIDR
locals {
  partition       = cidrsubnets (data . aws_vpc_ipam_preview_next_cidr . previewed_cidr . cidr , 2 , 2 )
  private_subnets = cidrsubnets (local . partition [ 0 ], 2 , 2 )
  public_subnets  = cidrsubnets (local . partition [ 1 ], 2 , 2 )
  azs             = formatlist ( " ${ data . aws_region . current . name } %s " , [ " a " , " b " ])
}

module "vpc_cidr_from_ipam" {
  source            = " terraform-aws-modules/vpc/aws "
  name              = " vpc-cidr-from-ipam "
  ipv4_ipam_pool_id = data . aws_vpc_ipam_pool . ipv4_example . id
  azs               = local . azs
  cidr              = data . aws_vpc_ipam_preview_next_cidr . previewed_cidr . cidr
  private_subnets   = local . private_subnets
  public_subnets    = local . public_subnets
}

• Полное VPC с конечными точками VPC.
• VPC с использованием IPAM
• Двойной стек IPv4/IPv6 VPC
• Только IPv6 подсети/VPC
• Управление VPC по умолчанию
• Сетевой ACL
• VPC с Outpost
• VPC со вторичными блоками CIDR
• VPC с уникальными таблицами маршрутов
• Простой VPC
• Журналы потоков VPC
• Несколько тестов и примеров крайних случаев

Сообщайте о проблемах/вопросах/запросах функций в разделе проблем.

Полные рекомендации по участию описаны здесь.

Никаких модулей.

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "действие": "разрешить",
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 «номер_правила»: 100,
 "to_port": 0
 },
 {
 "действие": "разрешить",
 «из_порта»: 0,
 "ipv6_cidr_block": "::/0",
 "протокол": "-1",
 «номер_правила»: 101,
 "to_port": 0
 }
 ]

 [
 {
 "действие": "разрешить",
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 «номер_правила»: 100,
 "to_port": 0
 },
 {
 "действие": "разрешить",
 «из_порта»: 0,
 "ipv6_cidr_block": "::/0",
 "протокол": "-1",
 «номер_правила»: 101,
 "to_port": 0
 }
 ]

 [
 «AmazonProvidedDNS»
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 список(объект({
 тест = строка
 переменная = строка
 значения = список (строка)
 }))

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 «из_порта»: 0,
 "протокол": "-1",
 "rule_action": "разрешить",
 «номер_правила»: 100,
 "to_port": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 "from_port": 0,
 "Протокол": "-1",
 "rule_action": "разрешить",
 "rule_number": 100,
 "TO_PORT": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 "from_port": 0,
 "Протокол": "-1",
 "rule_action": "разрешить",
 "rule_number": 100,
 "TO_PORT": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 "from_port": 0,
 "Протокол": "-1",
 "rule_action": "разрешить",
 "rule_number": 100,
 "TO_PORT": 0
 }
 ]

 [
 {
 "cidr_block": "0.0.0.0/0",
 "from_port": 0,
 "Протокол": "-1",
 "rule_action": "разрешить",
 "rule_number": 100,
 "TO_PORT": 0
 }
 ]

Модуль поддерживается Антоном Бабенко с помощью этих удивительных участников.

Apache 2 Licensed. Смотрите лицензию для полной информации.

• Россия незаконно аннексировала Крым в 2014 году и вступила в войну в Донбасе, а затем полномасштабное вторжение в Украину в 2022 году.
• Россия принесла печаль и разрушения миллионам украинцев, погибли тысячи невинных людей, повредили тысячи зданий, включая критическую инфраструктуру, вызвали экоцид, взорвав плотину, бомбил театр в мариуполе, у которого были «дети» на земле, изнасиловали мужчины и и и изнасиловали мужчины, и и изнасиловали мужчины и и изна Мальчики, депортированные дети на оккупированной территории и заставили миллионы людей бежать.
• Путин Хуило!