将Atlantis与OpenTofu集成

文摘 2024-07-19 10:06 中国香港

本文最初撰写于 2024 年 5 月 27 日
原文链接：https://dev.to/jmateusousa/integrating-atlantis-with-opentofu-lnd

我们的动机是什么？

鉴于 Terraform 许可变更，许多公司正将其 IAC 流程迁移到 OpenTofu。考虑到这一点，并了解到他们中许多人使用 Atlantis 和 Terraform 作为基础设施交付自动化工具，我创建了这份文档，展示如何将 Atlantis 与 OpenTofu 集成。

技术栈：Atlantis、Terragrunt、OpenTofu、Github、ALB、EKS。

我们将通过Helm chart^[1]来实施：

1. 添加 runatlantis 仓库。

helm repo add runatlantis https://runatlantis.github.io/helm-charts

2. 创建文件 values.yaml 并执行：

helm inspect values runatlantis/atlantis > values.yaml

3. 编辑 values.yaml 文件，添加将在 Atlantis webhook 配置中使用的凭证访问密钥和密钥：参考创建GitHub App^[2]的方法。

githubApp:
  id: "CHANGE ME"
  key: |
    -----BEGIN RSA PRIVATE KEY-----
            "CHANGE ME"
    -----END RSA PRIVATE KEY-----
  slug: atlantis
# secret webhook Atlantis
  secret: "CHANGE ME"

4. 在 orgAllowlist 中指定 Atlantis 将交互的 GitHub 组织和仓库：

# All repositories the org
orgAllowlist: github.com/MY-ORG/*

or
# Just one repository
orgAllowlist: github.com/MY-ORG/MY-REPO-IAC

or
# All repositories that start with MY-REPO-IAC-
orgAllowlist: github.com/MY-ORG/MY-REPO-IAC-*

5. 接下来，配置初始化 Atlantis Pod 时将执行的脚本。在此步骤中，我们下载并安装 Terragrunt 和 OpenTofu，并将其二进制文件包含在共享目录/plugins 下。

initConfig:
  enabled: true
  image: alpine:latest
  imagePullPolicy: IfNotPresent
  # sharedDir is set as env var INIT_SHARED_DIR
  sharedDir: /plugins
  workDir: /tmp
  sizeLimit: 250Mi
  # example of how the script can be configured to install tools/providers required by the atlantis pod
  script: |
    #!/bin/sh
    set -eoux pipefail# terragrunt
    TG_VERSION="0.55.10"
    TG_SHA256_SUM="1ad609399352348a41bb5ea96fdff5c7a18ac223742f60603a557a54fc8c6cff"
    TG_FILE="${INIT_SHARED_DIR}/terragrunt"
    wget https://github.com/gruntwork-io/terragrunt/releases/download/v${TG_VERSION}/terragrunt_linux_amd64 -O "${TG_FILE}"
    echo "${TG_SHA256_SUM} ${TG_FILE}" | sha256sum -c
    chmod 755 "${TG_FILE}"
    terragrunt -v

    # OpenTofu
    TF_VERSION="1.6.2"
    TF_FILE="${INIT_SHARED_DIR}/tofu"
    wget https://github.com/opentofu/opentofu/releases/download/v${TF_VERSION}/tofu_${TF_VERSION}_linux_amd64.zip
    unzip tofu_${TF_VERSION}_linux_amd64.zip
    mv tofu ${INIT_SHARED_DIR}
    chmod 755 "${TF_FILE}"
    tofu -v

6. 在这里配置环境变量，避免下载 Terraform 的其他版本，并指示 Terragrunt 从何处获取 OpenTofu 二进制文件。

# envs
environment:
  ATLANTIS_TF_DOWNLOAD: false
  TERRAGRUNT_TFPATH: /plugins/tofu

7. 最后，我们在这里指定针对仓库的 Atlantis 侧配置。

# repository config
repoConfig: |
  ---
  repos:
  - id: /.*/
    apply_requirements: [approved, mergeable]
    allow_custom_workflows: true
    allowed_overrides: [workflow, apply_requirements, delete_source_branch_on_merge]

8. 配置 Atlantis webhook 的 Ingress，以下示例中我们使用 AWS ALB。

# ingress config
ingress:
  annotations:
    alb.ingress.kubernetes.io/backend-protocol: HTTP
    alb.ingress.kubernetes.io/certificate-arn: arn:aws:acm:certificate
    alb.ingress.kubernetes.io/group.name: external-atlantis
    alb.ingress.kubernetes.io/healthcheck-path: /healthz
    alb.ingress.kubernetes.io/healthcheck-port: "80"
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/ssl-redirect: "443"
    alb.ingress.kubernetes.io/success-codes: "200"
    alb.ingress.kubernetes.io/target-type: ip
  apiVersion: networking.k8s.io/v1
  enabled: true
  host: atlantis.your.domain
  ingressClassName: aws-ingress-class-name
  path: /*
  pathType: ImplementationSpecific

保存对 values.yaml 所做的所有更改。

9. 利用 Atlantis 的自定义工作流选项，我们可以在仓库的根目录下创建一个 atlantis.yaml 文件，下面的例子应能满足大多数场景，根据需要调整。

version: 3
automerge: true
parallel_plan: true
parallel_apply: false
projects:
- name: terragrunt
  dir: .
  workspace: terragrunt
  delete_source_branch_on_merge: true
  autoplan:
    enabled: false
  apply_requirements: [mergeable, approved]
  workflow: terragrunt
workflows:
  terragrunt:
    plan:
      steps:
      - env:
          name: TF_IN_AUTOMATION
          value: 'true'
      - run: find . -name '.terragrunt-cache' | xargs rm -rf
      - run: terragrunt init -reconfigure
      - run:
          command: terragrunt plan -input=false -out=$PLANFILE
          output: strip_refreshing
    apply:
      steps:
        - run: terragrunt apply $PLANFILE

10. 现在进行安装本身，查看可用的 Atlantis 版本：

helm search repo runatlantis

将 CHART-VERSION 替换为你想安装的版本，然后运行以下命令：

helm upgrade -i atlantis runatlantis/atlantis --version CHART-VERSION -f values.yaml --create-namespace atlantis

接下来，设置 GitHub 仓库上的 Atlantis webhook^[3]。

了解 Atlantis如何工作^[4]。

更多信息请访问：

https://www.runatlantis.io/guide.html
https://opentofu.org/docs/
https://github.com/runatlantis/atlantis/issues/3741

分享给你的朋友们吧！

参考资料

[1]

Helm chart: https://www.runatlantis.io/docs/deployment.html#kubernetes-helm-chart

[2]

GitHub App: https://docs.github.com/pt/apps/creating-github-apps/about-creating-github-apps

[3]

webhook: https://www.runatlantis.io/docs/configuring-webhooks.html

[4]

如何工作: https://www.runatlantis.io/docs/using-atlantis.html

点击【阅读原文】阅读网站原文。

文章转载自CNCF。点击这里阅读原文了解更多。

联系Linux Foundation APAC

Linux基金会是非营利性组织，是技术生态系统的重要组成部分。

Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中，Linux基金会及其项目通过共同努力形成了非凡成功的投资。请关注LFAPAC（Linux Foundation APAC）微信公众号。

http://mp.weixin.qq.com/s?__biz=MzUwOTg5NTA0Ng==&mid=2247517813&idx=3&sn=e197b5de4f39822173423e619f8f6b14

LFAPAC

Linux基金会通过提供财务和智力资源、基础设施、服务、活动以及培训来支持创建永续开源生态系统。在共享技术的创建中，Linux基金会及其项目通过共同努力形成了非凡成功的投资。

最新文章

开源的未来：研讨会亮点和行动号召，激发全球可持续发展的进步

Fluent Bit: 转换 GBK 日志

从 CrowdStrike 的错误更新中吸取的教训：健壮的发布流程至关重要

使用 Shipwright 构建安全的容器镜像

容器干扰检测与治理（上篇）

CNCF 2024 云原生可持续发展周

LF AI & Data中国6月回顾：展示创新和扩大合作

使用Kubescape和Copa修复镜像漏洞

LFAPAC Weekly 24-29

在联合国的开源力量：关于OSPOs For Good研讨会和“下一步？”工作坊的反思

云原生技术深耕者：朱佳庆的Kubestronaut成长故事

将Atlantis与OpenTofu集成

LLM On Kubernetes

Operating v0.5.0 发布啦！

使用Radius和Dapr构建云无关应用程序

KubeEdge 遇上 Cilium！！！

CNCF一个全新的应用开发工作组现已启动！

基于etcd/RawNode的Multi-Raft设计与实现

针对内部开发者平台的全面提案——平台工程++

不要忽视闲置功率: Kepler的公有云能耗利用率指标

保障云安全：CloudNativeSecurityCon 2024洞见分享

机密计算的挑战和回报

LFAPAC Weekly 24-28

2024年中回顾CNCF、Linux基金会以及排名前30的开源项目的发展速度

KCL 测试框架设计

Score 加入成为 CNCF 沙箱项目

异步运行时IO问题分析

openGemini 晋级CNCF官方项目，技术发展迎来新篇章！

Kubestronaut 是如何炼成的 - Khushboo Khatter 的云原生之路

将 oVirt 虚拟机迁移到 KubeVirt

领先市场参与者携手Linux基金会成立Global Synchronizer基金会

在个人电脑一键运行谷歌最新 Gemma-2-9B 大模型

KCL v0.9.0 重磅发布 - 小体积，高性能，更丰富的生态集成

Linux基金会：布局 AI 原生未来，打造工作能力优势

Databricks加入LF AI & Data基金会，成为高级会员

随着LF Edge通过4个新项目扩大技术范围，开放边缘计算达到临界质量

Linux基金会最新SkillCred证书 Regex 上线！

LFAPAC Weekly 24-26

2024 OSPO Survey

Linux基金会新报告揭示开源如何驱动垂直行业技术变革

赞助 2024 中国 KubeCon + CloudNativeCon + 开源峰会 + AI_dev

Koordinator v1.5: 持续优化，进入 CNCF Sandbox

KubeCon 中国：移动云与云猿生联合议题《在没有专用 Operator 的情况下管理数据库集群》

Delta Lake加入LF AI & Data基金会：推进开源人工智能和数据的创新

详解微服务应用灰度发布最佳实践

Argo Rollouts 现已支持 K8s Gateway API 1.0 版本

快来查收 KCL 最新动态 | 获取最新的模型库、工具链与 IDE 更新

推动AI革命：PyTorch纪录片

Linux基金会宣布将成立LF Decentralized Trust

冰火交融：蚂蚁集团通过平台工程加速互联网和金融服务创新

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉