Terraform에서 하나의 보안 그룹에 여러 규칙 설정

하고 싶은 일



아래 그림과 같이 하나의 보안 그룹에 대해 두 개 이상의 규칙을 설정합니다.
이것을 Terraform에서 하고 싶다.


예를 들면, 웹 서버용의 보안 그룹을 작성해, 80번 포트와 443번 포트에의 인바운드를 설정하는 등이라고 하는 것이다.

Terraform 구현



aws_security_group 쓰기



우선 하나의 보안 그룹에 80번 포트에 인바운드 규칙을 추가해 보자.
다음과 같이 aws_security_group 안에 ingress를 지정하여 보안 그룹과 인바운드 규칙을 만들 수 있습니다.

security_group.tf
# web_serverというセキュリティグループを作成し、そこに80番ポートのインバウンドルールを追加する
resource "aws_security_group" "web_server_sg" {
  name        = "web_server"
  description = "Allow http and https traffic."
  vpc_id      = "xxxxx" # デフォルトvpcのID

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = [
      "0.0.0.0/0"
    ]
  }
}

게다가 web_server 보안 그룹에 대해서, 443번 포트에의 인바운드 룰도 추가해 보자.
위에 쓴 web_server_sg 에 또 하나 ingress 를 추가하면 좋지 않아? 될 것입니다.
아래와 같은 느낌.

security_group.tf
resource "aws_security_group" "web_server_sg" {
  name        = "web_server"
  description = "Allow http and https traffic."
  vpc_id      = "xxxxx" # デフォルトvpcのID

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = [
      "0.0.0.0/0"
    ]
  }

  # このように、2つ目のingressを書きたい
  ingress {
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = [
      "0.0.0.0/0"
    ]
  }
}

그러나, 이 방법이라면 에러가 되어 버린다.
1개의 aws_security_group 안에 ingress는 단 하나만 쓸 수 있기 때문이다.

aws_security_group_rule을 사용합시다.



물론 「Terraform을 사용할 때는 1개의 시큐리티 그룹에 대해서 1개의 룰 밖에 설정할 수 없다」라고 하는 제약은 없고, 해결책은 확실히 준비되어 있다.aws_security_group_rule 자원을 사용하자.

이번 경우라면 아래와 같이 쓴다.

security_group.tf
resource "aws_security_group" "web_server_sg" {
  name        = "web_server"
  description = "Allow http and https traffic."
  vpc_id      = "xxxxx" # デフォルトvpcのID
  # ここにingressを書かず、ルールはaws_security_group_ruleを使って定義する
}

# 80番ポート許可のインバウンドルール
resource "aws_security_group_rule" "inbound_http" {
  type        = "ingress"
  from_port   = 80
  to_port     = 80
  protocol    = "tcp"
  cidr_blocks = [
    "0.0.0.0/0"
  ]

  # ここでweb_serverセキュリティグループに紐付け
  security_group_id = "${aws_security_group.web_server_sg.id}"
}

# 443番ポート許可のインバウンドルール
resource "aws_security_group_rule" "inbound_https" {
  type        = "ingress"
  from_port   = 443
  to_port     = 443
  protocol    = "tcp"
  cidr_blocks = [
    "0.0.0.0/0"
  ]

  # ここでweb_serverセキュリティグループに紐付け
  security_group_id = "${aws_security_group.web_server_sg.id}"
}

이렇게 aws_security_group_rule 를 사용하여 web_server 보안 그룹에 연결하려는 두 개의 규칙을 만듭니다.
이러한 규칙 중에서 "어떤 보안 그룹에 연결할지"를 지정합니다.
보다 많은 인바운드 룰이나 아웃바운드 룰을 작성하고 싶은 경우는, 똑같이 aws_security_group_rule 를 늘려 갈 뿐이다.

이렇게 하면 Terraform을 사용하여 하나의 보안 그룹에 대해 둘 이상의 규칙을 설정할 수 있습니다.

공식 사이트


  • aws_security_group
  • aws_security_group_rule
  • 좋은 웹페이지 즐겨찾기