Terraforms Data Sources sind ein beliebtes Mittel, um Variablen dynamisch mit real existierenden Werten der jeweiligen Cloudumgebung zu befüllen. Aber ihre Benutzung in dynamischen Infrastrukturen erfordert etwas Weitblick. Es reicht zum Beispiel ein harmloses data.oci_identity_availability_domains in einem Modul - und plötzlich dauert jeder terraform plan Minuten statt Sekunden. Denn 100 Modulinstanzen bedeuten 100 API-Calls, und Ihr Cloud-Provider beginnt zu throtteln. Willkommen in der Welt der ungewollten API-Amplifikation durch Data Sources.
In diesem Artikel zeige ich Ihnen, warum Data Sources in Terraform-Modulen ein Skalierungsproblem darstellen können.
Weiterlesen: Terraform @ Scale - Teil 4a: Data Sources sind gefährlich!
Selbst die ausgeklügeltste Infrastrukturarchitektur kann nicht jeden Fehler verhindern. Deshalb ist es entscheidend, Terraform-Operationen proaktiv zu überwachen - insbesondere jene, die potenziell destruktive Auswirkungen haben. Ziel ist, kritische Änderungen frühzeitig zu erkennen und automatisiert zu alarmieren, bevor es zu einem unkontrollierten Blast-Radius kommt.
Ja klar – Ihr System Engineer weist Sie mit Sicherheit jetzt darauf hin, dass Terraform vor der Ausführung eines apply den kompletten Plan anzeigt und man die Ausführung vorher noch durch Eingabe von "yes" freigeben muss.
Was Ihr Engineer allerdings nicht sagt: Er liest den Plan nicht tatsächlich, bevor er ihn ausführen lässt.
„Wird schon gutgehen.“
Weiterlesen: Terraform @ Scale - Teil 3c: Monitoring und Alerting für Blast-Radius Events
Die Key/Value Secrets Engine ist fester Bestandteil nahezu jeder Vault-Implementierung. Sie bildet das Fundament für die sichere Ablage statischer Secrets und wird in der Praxis deutlich häufiger genutzt als viele dynamische Engines.
Nach der theoretischen Einführung in Teil 2a wenden wir uns in diesem Artikel der konkreten Arbeit mit der KV Engine zu. Wir zeigen, wie sich Secrets schreiben, lesen, aktualisieren und löschen lassen und analysieren praxisnah die Unterschiede zwischen KV Version 1 und Version 2. Der Fokus liegt auf produktionsrelevanten Kommandos, realistischen Fallstricken und konkreten Empfehlungen für den operativen Alltag, weshalb ich Ihnen dieses Wissen als Mischung von Tutorial und Cheat-Sheet mitgebe.
Weiterlesen: HashiCorp Vault Deep Dive – Teil 2b: Praktische Arbeit mit der Key/Value Secrets Engine
Trotz sorgfältiger Blast-Radius-Minimierung, segmentierter States und Lifecycle-Guardrails kann es früher oder später passieren: Ein terraform apply löscht versehentlich produktive Ressourcen - oder ein terraform destroy trifft mehr als beabsichtigt.
Was tun, wenn das Kind schon in den Brunnen gefallen ist?
Im letzten Artikel dieser Serie habe ich Ihnen erklärt, wie man den Blast Radius minimiert. In dieser Fortsetzung zeige ich bewährte Techniken zur Wiederherstellung beschädigter Terraform-States und zur Schadensbegrenzung nach einem Incident.
Weiterlesen: Terraform @Scale - Teil 3b: Blast-Radius Recovery Strategien
Nachdem wir im ersten Teil bereits einen fundierten Überblick über das gesamte Ökosystem der Secrets Engines gewonnen haben, tauchen wir nun in den Alltag eines jeden Vault‑Clusters ein. Die Key / Value (KV) Secrets Engine ist das Arbeitspferd für alle Situationen, in denen Geheimnisse sicher abgelegt, versioniert und später gezielt wieder abgerufen werden müssen.
Weiterlesen: HashiCorp Vault Deep Dive - Teil 2a: Die Key/Value Secrets Engine aktivieren