Terraformのデプロイパイプラインに使用できるツールをまとめてみた

佐藤雅樹

2023.06.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

「Terraformデプロイパイプラインを作るなら、どのツールが自分の組織にあっているのだろう？」

Terraformのデプロイパイプラインの実装方法は、選択肢が多くて迷ってしまいます。

この記事では、デプロイに使用できるツールをまとめてみました。

デプロイパイプラインのツール選定の参考になれば幸いです。

前提

Terraformは様々なリソースを管理することができますが、今回はAWSリソースをTerraformで管理する想定としています。

所々AWS固有の単語がでてきますが、ご了承ください。

なぜTerraformのデプロイパイプラインは必要なのか？

デプロイフローをおさらいして、デプロイパイプラインなしの運用の課題を考えてみます。

Terraformのデプロイフロー

Terraformで構成管理している場合、リソースの設定変更時は以下のようなフローで行うことが多いです。

コードの編集
Pull Requestの作成
Pull Requestのレビュー・マージ
変更差分の確認(terraform plan)
変更の適用(terraform apply)

ローカルで手動で行う場合を図にしてみると、こんな感じです。

手動デプロイの課題とデプロイパイプラインの必要性

デプロイパイプラインが無く、ローカルで手動デプロイする運用は何が困るのでしょうか？

手動デプロイも選択肢の一つではあります。検証時や小規模な環境では、特に困ることも無いかもしれません。

しかし、Terraformの利用規模が大きくなると、手動デプロイは以下の課題があります。

手作業による作業ミス(デプロイ忘れ/デプロイ先の環境間違い)
シークレットの管理(AWS IAMアクセスキー等)

手作業による作業ミス

手動作業である限り、作業ミスは発生します。

コードを修正したが環境に適用するのを忘れたり、デプロイ時の引数や認証情報を間違い環境に意図しない変更を行ってしまうこともあります。

適用漏れが発生しても、すぐに問題は起きないこともあるかもしれません。しかし、次の変更時に編集範囲外の差分が発生します。

こういった差分は実行するユーザーに「何かが壊れるのでは？」という不安を与えます。

結果、「1.例外的に手作業を行う」->「２. インフラの状態がカオスになる」->「3.何かが壊れそうで心配」->「1.」に戻るという負のサイクルが発生します。(オートメーション恐怖症)

この状態は、IaC管理自体が破綻する要因にもなるため避けたいところです。

シークレットの管理

シークレット管理も悩ましいです。Terraformを実行するユーザーには、対象リソースに対する強い権限が必要です。

ローカルで手動実行する場合は、認証情報をローカルに保存する必要があります。

強い権限を持った永続的なシークレットをローカルに保存しているのは、セキュリティリスクが高いです。

また共有ユーザーは好ましくないため、認証情報はTerraformを実行するユーザー分用意すると思います。

認証情報の数が多いと管理の手間もかかります。(IAMアクセスキーのローテーション、ユーザー増減によるIAMユーザーの棚卸し)

デプロイパイプラインを導入したTerraformデプロイフロー

デプロイパイプラインを導入することで課題を解決できます。

手作業による作業ミス->Gitの変更をトリガーに自動で、Terraformを適用。手作業でTerraformを実行する必要がなくなる。
シークレットの管理-> デプロイパイプライン上で管理、ローカルにSecretsを渡す必要がなくなる

Terraformのデプロイパイプラインに使えるツールは色々あります。各ツールを確認してみましょう。

Terraformのデプロイパイプラインに使用できるツール

よく使われるツールとしては、以下があると思います。

Terraform Cloud
Atlantis
Codeシリーズ
CIツール(Github Actions,GitLab CI/CD,Circle CI等)
GitOpsツール(Flux、PipeCD)

それぞれ説明していきます。

ざっくりした比較は以下になります。

項目	Terraform Cloud	Atlantis	CIツール(Github Actions等)	CIツール(Codeシリーズ)	GitOpsツール(Flux、PipeCD)
インフラ管理	不要	必要	不要	不要	必要
料金	Resource数 Plusプランは要問い合わせ	ホスティングするインフラ料金	実行時間	実行時間	ホスティングするインフラ料金
AWS認証情報の取得方法	IAMロール(OIDC)	IAMロール(ホストするインフラ)	IAMロール(OIDC)	IAMロール	IAMロール(ホストするインフラ)
デプロイ設定の管理方法	GUI or Terraform(tfe provider)	yaml	yaml	yaml	GUI or yaml(k8s マニフェストファイル)
対応しているVCS	GitHub GitLab Bitbucket Azure DevOps (※1)	GitHub GitLab Bitbucket Azure DevOps	製品による	GitHub CodeCommit Bitbucket	GitHub GitLab Bitbucket (ここから下はPipeCDはサポートしていない) CodeCommit Azure DevOps Google Cloud Source Repositories
ドリフト検出 ※1	◯	△	△	△	◯
Stateロック	◯	◯	-	-	-
Stateファイル管理	◯	-	-	-	-

※1 機能としてサポートしているものは◯にしています。以下の記事のように作り込めば、どのツールでもドリフト検出が可能です。

AtlantisでTerraformのドリフト検出 - クラウドワークスエンジニアブログ

Terraform Cloud

HashiCorpが提供しているTerraformの運用管理プラットフォームサービスです。

今回紹介するデプロイパイプライン以外にも、Private Registoryやガバナンス系の機能を提供しており多機能です。

Saas型で提供しているTerraform Cloudの他にも、ユーザー管理のサーバ上にインストールできるTerraform Enterpriseがあります。

機能的にはほぼ同一ですが、新しい機能はTerraform Cloudの方が先にサポートされることが多いです。

HashiCorp Terraform - Provision & Manage any Infrastructure

Pros

Terraformのデプロイに最適化されたツールのため、少ない工数でTerraform用のデプロイパイプラインを作成できる
Saasのため、パイプライン用のリソースを自前で管理する必要がない
Stateファイルの管理やPolicy機能、Drift検出等、その他機能も充実している

Cons

デフォルト設定では、VCS(GitHub、GitLab)上ではPlanの結果が見れない
その他の方法より料金が高い(※)

※ 見積もりをすると割高に見えるかもしれませんが、作り込みをする工数やホスティングするインフラの管理が不要であることを考えると妥当な金額と個人的には思います。

HashiCorp Terraform: Enterprise Pricing, Packages & Features

参考

Atlantis

OSSのツールで、VCS(GitHub/GitLab等)のPull Request上のコマンドでTerraformのワークフロー(terraform planやterraform apply)を実行するツールです。

独自のStateロック機能があり、Pull Requestがマージされるまで他の変更が加えられないようにすることができます。

Locking | Atlantis

Atlantisは自前でサーバーの用意して運用する必要があります。AWS上であれば、EKSやECSにホスティングすることが可能です。

ECS Fargateでデプロイする場合は、AtlantisのTerraformモジュールを使用することができます。

Terraform Pull Request Automation | Atlantis

Pros

VCS(GitHubやGitLab)と同じUIを使用して、Terraformの操作(planやapply)が可能
- Pull Requestのコメントベース
Terraformのデプロイに最適化されたツールのため、少ない工数でTerraform用のデプロイパイプラインを作成できる
OSS製品のため、Atlantisの利用自体には料金がかからない