在 Terraform 中定义模块依赖关系

Question

我们如何确保第一个模块“frontend_1”在其他模块之前执行？

module "frontend_1" {
  source = "/modules/frontend-app"
}
module "frontend_2" {
  source = "/modules/frontend-app"
}
module "frontend_3" {
  source = "/modules/frontend-app"
}

另外 - 记录了几个关于这个问题的 Gitissues，但其中任何一个都没有提供好的解决方法。作为一个开始 - 你可以检查这个，这样你就可以熟悉我的问题的本质 - https://github.com/hashicorp/terraform/issues/10462

以及如何在模块执行之前为模块资源构建一个外部资源 - 如果它依赖于从此类外部资源计算的值，则可以计算“计数”？ 例如 - 如果您需要在模块的“计数”中使用新创建的 VPC 的 ID，该模块在该 VPC 中创建多个 AWS 安全组？

Answer 1

如问题中所述，我能够使用 depends on 变量为您制定解决方法。

请参阅 this 了解 Terraform 依赖项。

假设我们有 2 个模块，一个定义 vpc 和子网，第二个定义要在基础架构中使用的各种安全组范围。

由于我们有依赖，所有的安全组都需要在VPC模块中成功创建vpc之后才能创建，所以可以通过下面的策略来满足。

variable "vpc_arn" {
   description = "The ARN of the VPC which is created in the VPC module"
}

resource "null_resource" "vpc_found" {
  triggers = {
    vpc_name = "${var.vpc_arn}"
  }
}

resource "aws_security_group" "allow_all" {

  depends_on = ["null_resource.vpc_found"]

  name        = "allow_all"
  description = "Allow all inbound traffic"
  vpc_id      = "${var.vpc_arn}"
  ......
}

有关空资源，请参阅this。

Answer 2

模块不是作为一个单元全部创建或全部销毁的资源包，因此一个模块在另一个模块之前或之后运行是没有意义的。如果您查看terraform graph 的输出，您会看到模块中的各个资源在执行引擎同时遍历的计划图中显示为节点。这意味着完全有可能在两个模块之间存在双向依赖（模块 A 从模块 B 输出中获取输入，并且还提供用于模块 B 输入的输出），只要计划图不包含循环即可。

使用 Terraform 观察的一件事是，计划图是通过查看哪些资源属性、变量、输入输出等通过插值依赖于其他哪些资源属性、变量、输入输出等，并结合使用 depends_on 的任何显式声明的依赖关系来构建的（这不是可用于模块）。对于您上面的示例，这样做的结果是，如果没有插值引用将值从一个模块的输出链接到另一个模块的输入，那么在计划图中就不能构造任何路径来指示资源之间的任何依赖关系。