Sägetstrasse 18, 3123 Belp, Switzerland +41 79 173 36 84 info@ict.technology

      Terraform @ Scale - 第 3c 部分:针对 Blast-Radius 事件的监控与告警

      即使是最复杂的基础设施架构也无法防止所有错误。因此,主动监控 Terraform 操作至关重要 - 尤其是那些可能造成破坏性影响的操作。其目标是在出现不可控的 Blast-Radius(爆炸半径)之前,尽早识别关键变更并自动发出警报。

      当然了 —— 您的系统工程师现在肯定会提醒您,Terraform 在执行 apply 之前会显示完整的计划,且需要在执行前手动输入 "yes" 进行确认。

      但您的工程师没有告诉您的是:他在执行前并不会真正阅读这个计划。

      “应该不会出问题。”

      预警系统:自动化计划分析

      Terraform 通过 -json 参数提供了一种机制,可对计划信息进行机器解析。这使得可以识别计划中的删除操作(destroy),并自动采取相应措施,例如发送 Slack 警告或自动中止 CI/CD 流水线。

      另一个早期指示器是 terraform plan -detailed-exitcode 的返回值:退出码 2 表示存在计划变更,包括计划删除。

      示例:用于计划分析的 Bash 脚本

      此脚本可以作为 Hook 集成进 CI/CD 流水线中。一旦识别出计划中的删除操作,系统会立即发出通知 —— 或者根据需要自动中止发布过程。

      以下是一个可供参考的示例脚本:

      #!/bin/bash
# Automated Plan Analysis Script

set -e  # Exit on any error

# Create the Terraform plan and export it in JSON format
terraform plan -out=tfplan -detailed-exitcode
PLAN_EXIT_CODE=$?

# Check if there are changes (exit code 2)
if [ $PLAN_EXIT_CODE -eq 2 ]; then
    terraform show -json tfplan > plan.json
    
    # Analyze planned deletions with more robust jq query
    DELETIONS=$(jq -r '.resource_changes[]? | select(.change.actions[]? == "delete") | .address' plan.json 2>/dev/null)
    
    if [ -n "$DELETIONS" ]; then
        echo "BLAST RADIUS ALERT: Planned deletions detected:"
        echo "$DELETIONS" | while read -r resource; do
            echo "  - $resource"
        done
        
        # Send alert with proper error handling
        if ! curl -f -X POST "https://hooks.slack.com/services/YOUR/SLACK/WEBHOOK" \
            -H 'Content-type: application/json' \
            --data "{\"text\":\"ALERT: Terraform Destroy detected in $WORKSPACE:\\n$DELETIONS\"}"; then
            echo "Warning: Failed to send Slack notification"
        fi
        
        exit 2
    fi
fi

      基于云的日志监控与告警机制

      对于生产环境,建议使用集中式、云原生的监控方式。这可以通过在本地数据中心运行的 Splunk 实现,也可以使用 AWS CloudWatch 或 Oracle Logging 等云服务。目标是识别包含破坏性关键词(如 “destroy”)的可疑日志条目,并在实时触发告警。

      提示:以下示例用于提供参考,虽然已包含必要的资源声明,但尚未实现端到端可运行的配置。诸如 versions.tfvariables.tf 等尚未补充的细节,留给具备相应专业知识的读者自行完善。

      示例:集成 AWS CloudWatch

      这些告警可以直接绑定到一个 aws_sns_topic,该主题可将通知发送到 E-Mail、Slack、PagerDuty 或其他通知系统。这样可确保任何关键的 terraform destroy 操作都不会被忽略。

      provider "aws" {
  region = "eu-central-1"
}

resource "aws_cloudwatch_log_group" "terraform_logs" {
  name              = "/terraform/cicd"
  retention_in_days = 7

  tags = {
    Environment = "production"
    Purpose     = "terraform-monitoring"
  }
}

resource "aws_cloudwatch_metric_filter" "terraform_destroy_filter" {
  name           = "terraform-destroy-keyword"
  log_group_name = aws_cloudwatch_log_group.terraform_logs.name
  pattern = "\"destroy\""

  metric_transformation {
    name      = "DestroyMatches"
    namespace = "Terraform/CI"
    value     = "1"
    unit      = "Count"  
  }
}

resource "aws_sns_topic" "alerts" {
  name = "terraform-blast-radius-alerts"
  
  tags = {
    Environment = "production"
    Purpose     = "terraform-alerts"
  }
}

resource "aws_sns_topic_subscription" "email_alert" {
  topic_arn = aws_sns_topic.alerts.arn
  protocol  = "email"
  endpoint  = var.alert_email 
}

resource "aws_cloudwatch_metric_alarm" "blast_radius_alarm" {
  alarm_name          = "Terraform-Destroy-Detected"
  alarm_description   = "Detects destroy operations in Terraform CI output"
  comparison_operator = "GreaterThanThreshold"
  evaluation_periods  = 1
  threshold           = 0
  metric_name         = "DestroyMatches"
  namespace           = "Terraform/CI"
  statistic           = "Sum"
  period              = 60
  treat_missing_data  = "notBreaching"
  
  insufficient_data_actions = []
  alarm_actions            = [aws_sns_topic.alerts.arn]
  ok_actions              = [aws_sns_topic.alerts.arn]

  tags = {
    Environment = "production"
    Purpose     = "blast-radius-monitoring"
  }
}

      示例:OCI Logging 与告警集成

      在 Oracle Cloud Infrastructure 中,您可以将 Logging 服务与查询语句、告警机制以及 Notifications 服务结合使用。通过分析 CI/CD 流水线日志流或审计日志中的关键词,例如 terraform destroy,即可识别出破坏性操作。

      配置步骤如下:

      1. 为构建日志或审计日志配置一个日志组(Log Group)
      2. 使用查询语句(如 data.message CONTAINS "destroy")定义日志搜索(Logging Search)
      3. 定义一个告警(Alarm),在搜索结果匹配时触发
      4. 绑定一个通知主题(Notification Topic)(如 E-Mail、PagerDuty 等)

      以下为通过 Terraform 定义的示例告警:

      resource "oci_logging_log_group" "terraform_logs" {
  display_name   = "terraform-ci-logs"
  compartment_id = var.compartment_id
  
  freeform_tags = {
    "Environment" = "production"
    "Purpose"     = "terraform-monitoring"
  }
}

resource "oci_logging_log" "cicd_log" {
  display_name = "terraform-cicd-log"
  log_group_id = oci_logging_log_group.terraform_logs.id
  log_type     = "CUSTOM"
  
  configuration {
    source {
      category    = "write"
      resource    = var.compartment_id
      service     = "objectstorage"
      source_type = "OCISERVICE"
    }
    
    compartment_id = var.compartment_id
  }

  is_enabled         = true
  retention_duration = 30
}

resource "oci_ons_notification_topic" "alerts" {
  name           = "terraform-destroy-alerts"
  compartment_id = var.compartment_id
  description    = "Alerts for blast-radius related events"
  
  freeform_tags = {
    "Environment" = "production"
    "Purpose"     = "terraform-alerts"
  }
}

resource "oci_ons_subscription" "email_subscription" {
  compartment_id = var.compartment_id
  topic_id       = oci_ons_notification_topic.alerts.id
  protocol       = "EMAIL"
  endpoint       = var.alert_email
}

resource "oci_monitoring_alarm" "terraform_destroy_alarm" {
  display_name         = "Terraform-Destroy-Detected"
  compartment_id       = var.compartment_id
  metric_compartment_id = var.compartment_id
  
  query = <<-EOQ
    LoggingAnalytics[1m]{
      logGroup = "${oci_logging_log_group.terraform_logs.display_name}",
      log = "${oci_logging_log.cicd_log.display_name}"
    } | where data.message =~ ".*destroy.*" | count()
  EOQ
  
  severity     = "CRITICAL"
  body         = "Terraform destroy operation detected in CI/CD pipeline!"
  is_enabled   = true
  
  pending_duration             = "PT1M"
  repeat_notification_duration = "PT15M"
  resolution                   = "1m"

  suppression {
    description = "Planned maintenance window"
    # time_suppress_from und time_suppress_until can be added if needed
  }

  destinations = [oci_ons_notification_topic.alerts.id]
  
  freeform_tags = {
    "Environment" = "production"
    "Purpose"     = "blast-radius-monitoring"
  }
}

      提示:此查询使用了简单的文本匹配方式。针对生产环境,建议根据需要使用更精确的过滤逻辑 —— 例如正则表达式或结构化日志字段(前提是您的 CI 工具支持结构化日志)。
      如果您的租户未启用 Logging Analytics,也可以使用更简单的 LoggingSearch 查询引擎。

      附加价值:这种方法在 OCI 中同样可扩展到 apply 操作、策略违规或 Drift 检测,只要日志记录保持规范(例如通过 Terraform Plan 输出、Sentinel 警告或审计事件)。

      ✅检查清单:Blast Radius 就绪状态

      以下检查清单可帮助您尽可能构建具有韧性的基础设施。

      ✅ 预防性措施

      • [ ] 按 Blast Radius 影响范围划分状态(State)
      • [ ] 为关键资源设置 Lifecycle 规则
      • [ ] 启用远程状态校验(Remote State Validations)
      • [ ] 针对 Destroy 操作实施 Policy-as-Code
      • [ ] 启用自动化计划分析(Automated Plan Analysis)
      • [ ] 建立跨状态依赖映射(Cross-State Dependency Mapping)

      🚨 应对突发事件的准备

      • [ ] 实施状态备份策略(State Backup Strategy)
      • [ ] 针对关键资源测试导入脚本
      • [ ] 具备事件响应剧本(Incident Response Playbooks)
      • [ ] 团队完成状态手术(State Surgery)培训
      • [ ] 启用对 Blast Radius 事件的监控与告警

      ✍️ 周密规划与思维模式

      企业级成功实施 Terraform 还需要:

      • 前瞻性的架构设计:依据 Blast Radius 影响划分状态
      • 防御式编程:实现 Guardrails 与验证机制
      • 监控与告警:及早发现 Blast Radius 事件
      • 恢复准备:为最坏情境做好准备

      结语:有控制的爆炸,而非混乱

      重要提示:Blast Radius 管理不是一次性的配置,而是一个持续性的过程

      其核心在于在灵活性与可控性之间取得平衡 —— 正如我们在前文中提到的 Goldilocks 原则。

      毕竟,最理想的爆炸,就是从未发生的那一次。

      Ralf Ramge's Avatar

      Ralf Ramge

      Founder, Cloud Architect & IT Consultant