Terraform CloudのPlanの結果をGithub Actionsを使ってGithub上で確認する

2023.01.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

「Terraform Cloudのplanの結果を、Github上で見たいな」

Terraform Cloud上で以下のように terraform planの結果を確認することができます。

表示も見やすくて、この機能はとても便利です。

ただ、TerraformコードへのPull Request時にコードと一緒にPlanを確認するといった運用をする場合を考えてみます。

その際に、GithubとTerraform Cloudの画面を行き来するのが面倒だと感じる人もいると思います。

「Github上で確認するいい方法がないかな」と思っていたら、以下のチュートリアルを見つけました。

Automate Terraform with GitHub Actions | Terraform | HashiCorp Developer

今回は、Terraform Cloudで実行されるPlanの結果をGithubActionsを使って、GithubのPull Request上で確認してみます。

最終的には、以下のように確認できます。

構成図

今回の構成をざっくり図にしました。

Terraform Cloudにてterraform planを実行するため、Github ActionsにはAWS環境の認証情報は不要です。

やってみた

チュートリアル上では、新規にGithubリポジトリとTerraform Cloudのワークスペースを作成しています。

少し変えて、今回は既存のGithubリポジトリとワークスペースに対して設定してみます。

既存に変更する関係で、Workspaceに対するAWSの認証情報の設定は完了している状態で作業しています。

WorkspaceにAWS認証情報を設定していない場合は、何らかの方法でAWS認証情報を設定してください。

Create a Credentials Variable Set | Terraform | HashiCorp Developer

WorkspaceをAPI-driven Workflowに変更

Github Actions上でTerraform CloudのAPIを叩く必要があるため、API-drivenにWorkflowを変更します。

Terraform Cloud API Tokenを発行・GithubリポジトリのSecretsに登録

Token Pageに遷移して、Tokenを発行します。 Github Actionsで使用するので、descriptionGithub Actionsとしました。

createを押すとTokenが表示されるので、コピーしておきます。

その後、Githubの設定したいリポジトリに移動して、Secrets に登録します。

  • Name: TF_API_TOKEN
  • Secrets: [Terraform Cloudで作成したToken]

GithubActionsのワークフローファイルを用意

$ mkdir -p .github/workflows
$ vi .github/workflows/terraform.yml

.github/workflows/terraform.yml

name: 'Terraform'

on:
  push:
    branches:
      - main
  pull_request:

jobs:
  terraform:
    name: 'Terraform'
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@v3

      - name: Setup Terraform
        uses: hashicorp/setup-terraform@v2
        with:
          cli_config_credentials_token: ${{ secrets.TF_API_TOKEN }}

      - name: Terraform Format
        id: fmt
        run: terraform fmt -check

      - name: Terraform Init
        id: init
        run: terraform init

      - name: Terraform Validate
        id: validate
        run: terraform validate -no-color

      - name: Terraform Plan
        id: plan
        if: github.event_name == 'pull_request'
        run: terraform plan -no-color -input=false
        continue-on-error: true

      - name: Update Pull Request
        uses: actions/github-script@v6
        if: github.event_name == 'pull_request'
        env:
          PLAN: "terraform\n${{ steps.plan.outputs.stdout }}"
        with:
          github-token: ${{ secrets.GITHUB_TOKEN }}
          script: |
            const output = `#### Terraform Format and Style ?\`${{ steps.fmt.outcome }}\`
            #### Terraform Initialization ⚙️\`${{ steps.init.outcome }}\`
            #### Terraform Plan ?\`${{ steps.plan.outcome }}\`
            #### Terraform Validation ?\`${{ steps.validate.outcome }}\`

            <details><summary>Show Plan</summary>

            \`\`\`\n
            ${process.env.PLAN}
            \`\`\`

            </details>

            *Pushed by: @${{ github.actor }}, Action: \`${{ github.event_name }}\`*`;

            github.rest.issues.createComment({
              issue_number: context.issue.number,
              owner: context.repo.owner,
              repo: context.repo.repo,
              body: output
            })

      - name: Terraform Plan Status
        if: steps.plan.outcome == 'failure'
        run: exit 1

      - name: Terraform Apply
        if: github.ref == 'refs/heads/main' && github.event_name == 'push'
        run: terraform apply -auto-approve -input=false

Pull Requestの作成

Terraformコード上に任意の変更を行なって、Pull Requestを作成します。

以下のようにPull Request上でPlanの結果が確認できました。

Terraform Cloud上でコマンドが実行されるため、Terraform Cloudのコンソールからも実行結果は確認できます。

おわりに

Terraform Cloudの実行結果をGithubのPull Request上で確認する方法でした。

レビュー時にTerraform CloudとGithubを行き来しなくて良くなりますね。

Github Actions分の実行時間を消費するというデメリットはありますが、この仕組みを使えばTerraform CloudにログインできないユーザーもPlanの結果確認やApplyの実行(今回はPRのマージをトリガーに設定)ができます。

以上、AWS事業本部の佐藤(@chari7311)でした。