camptocamp/terraboard

Terraboard

概述

Terraboard 是一个用于可视化和查询 Terraform 状态的 Web 仪表板。它主要功能包括：

• 概览页面：按最近更新日期列出最新的状态文件及其活动
• 状态页面：显示状态文件详情，包括版本和资源属性
• 搜索界面：按类型、名称或属性查询资源
• 比较界面：比较不同版本状态之间的差异

目前支持多种远程状态后端提供程序：

• AWS S3（状态）+ DynamoDB（锁）
• S3 兼容后端（如 MinIO）
• Google Cloud Storage
• Terraform Cloud（远程）
• GitLab

核心功能

概览

概览页面按最近修改日期显示 S3 存储桶中的所有状态文件。

搜索

搜索视图允许通过各种条件查找资源。

状态

状态视图显示特定版本的 Terraform 状态详情。

比较

从状态视图中，可以将当前状态版本与其他版本进行比较。

环境要求

无论状态文件的位置如何，Terraboard 都需要存储其内部数据集，因此需要 PostgreSQL 数据库。不过数据弹性并非至关重要，因为该数据集可随时从状态文件重建。

AWS S3（状态）+ DynamoDB（锁）

• 一个启用版本控制的 S3 存储桶，包含一个或多个以 .tfstate 为后缀的 Terraform 状态文件
• 具有以下 S3 存储桶 IAM 权限的 AWS 凭证：
  • s3:GetObject
  • s3:ListBucket
  • s3:ListBucketVersions
  • s3:GetObjectVersion
• 如果要从 DynamoDB 表检索锁状态，需确保提供的 AWS 凭证对该表具有 dynamodb:Scan 访问权限

Terraform Cloud

• Terraform Cloud 账户
• 现有组织
• 分配给组织的令牌

配置

Terraboard 目前支持三种配置方式：

1. 环境变量
2. CLI 参数
3. 配置文件（YAML）。配置文件示例可在仓库根目录找到

配置优先级按上述顺序排列。

可用参数

应用选项

• -V, --version：显示版本
• -c, --config-file <默认：$CONFIG_FILE>：配置文件路径
  • 环境变量：CONFIG_FILE

通用提供程序选项

• --no-versioning <默认：$TERRABOARD_NO_VERSIONING>：禁用 Terraboard 的版本控制支持（适用于 MinIO 等 S3 兼容提供程序）
  • 环境变量：TERRABOARD_NO_VERSIONING
  • Yaml：provider.no-versioning
• --no-locks <默认：$TERRABOARD_NO_LOCKS>：禁用 Terraboard 的锁支持（适用于 MinIO 等 S3 兼容提供程序）
  • 环境变量：TERRABOARD_NO_LOCKS
  • Yaml：provider.no-locks

日志选项

• -l, --log-level <默认："info">：设置日志级别（'debug'、'info'、'warn'、'error'、'fatal'、'panic'）
  • 环境变量：TERRABOARD_LOG_LEVEL
  • Yaml：log.level
• --log-format <默认："plain">：设置日志格式（'plain'、'json'）
  • 环境变量：TERRABOARD_LOG_FORMAT
  • Yaml：log.format

数据库选项

• --db-host <默认："db">：数据库主机
  • 环境变量：DB_HOST
  • Yaml：database.host
• --db-port <默认："5432">：数据库端口
  • 环境变量：DB_PORT
  • Yaml：database.port
• --db-user <默认："gorm">：数据库用户
  • 环境变量：DB_USER
  • Yaml：database.user
• --db-password <默认：$DB_PASSWORD>：数据库密码
  • 环境变量：DB_PASSWORD
  • Yaml：database.password
• --db-name <默认："gorm">：数据库名称
  • 环境变量：DB_NAME
  • Yaml：database.name
• --db-sslmode <默认："require">：数据库 SSL 模式
  • 环境变量：DB_SSLMODE
  • Yaml：database.sslmode
• --no-sync：不同步数据库
  • Yaml：database.no-sync
• --sync-interval <默认："1">：数据库同步间隔（分钟）
  • Yaml：database.sync-interval

AWS（及 S3 兼容提供程序）选项

• --dynamodb-table <默认：$AWS_DYNAMODB_TABLE>：用于锁的 AWS DynamoDB 表
  • 环境变量：AWS_DYNAMODB_TABLE
  • Yaml：aws.dynamodb-table
• --aws-endpoint <默认：$AWS_ENDPOINT>：AWS 端点
  • 环境变量：AWS_ENDPOINT
  • Yaml：aws.endpoint
• --aws-region <默认：$AWS_REGION>：AWS 区域
  • 环境变量：AWS_REGION
  • Yaml：aws.region
• --aws-role-arn <默认：$APP_ROLE_ARN>：要承担的角色 ARN
  • 环境变量：APP_ROLE_ARN
  • Yaml：aws.app-role-arn
• --aws-external-id <默认：$AWS_EXTERNAL_ID>：承担角色时使用的外部 ID
  • 环境变量：AWS_EXTERNAL_ID
  • Yaml：aws.external-id

S3 选项

• --s3-bucket <默认：$AWS_BUCKET>：AWS S3 存储桶
  • 环境变量：AWS_BUCKET
  • Yaml：aws.s3.bucket
• --key-prefix <默认：$AWS_KEY_PREFIX>：AWS 键前缀
  • 环境变量：AWS_KEY_PREFIX
  • Yaml：aws.s3.key-prefix
• --file-extension <默认：".tfstate">：状态文件的文件扩展名
  • 环境变量：AWS_FILE_EXTENSION
  • Yaml：aws.s3.file-extension
• --force-path-style <默认：$AWS_FORCE_PATH_STYLE>：强制路径样式 S3 存储桶调用
  • 环境变量：AWS_FORCE_PATH_STYLE
  • Yaml：aws.s3.force-path-style

Terraform Enterprise 选项

• --tfe-address <默认：$TFE_ADDRESS>：用于状态访问的 Terraform Enterprise 地址
  • 环境变量：TFE_ADDRESS
  • Yaml：tfe.address
• --tfe-token <默认：$TFE_TOKEN>：用于状态访问的 Terraform Enterprise 令牌
  • 环境变量：TFE_TOKEN
  • Yaml：tfe.token
• --tfe-organization <默认：$TFE_ORGANIZATION>：用于状态访问的 Terraform Enterprise 组织
  • 环境变量：TFE_ORGANIZATION
  • Yaml：tfe.organization

Google Cloud Platform 选项

• --gcs-bucket：要搜索的 Google Cloud 存储桶
  • Yaml：gcp.gcs-bucket
• --gcp-sa-key-path <默认：$GCP_SA_KEY_PATH>：用于连接 Google Cloud Platform 的服务账户路径
  • 环境变量：GCP_SA_KEY_PATH
  • Yaml：gcp.gcp-sa-key-path

GitLab 选项

• --gitlab-address <默认："[**]"*>：GitLab 地址（根地址）
  • 环境变量：GITLAB_ADDRESS
  • Yaml：gitlab.address
• --gitlab-token <默认：$GITLAB_TOKEN>：用于 GitLab 认证的令牌
  • 环境变量：GITLAB_TOKEN
  • Yaml：gitlab.token

Web 选项

• -p, --port <默认："8080">：监听端口
  • 环境变量：TERRABOARD_PORT
  • Yaml：web.port
• --base-url <默认："/">：基础 URL
  • 环境变量：TERRABOARD_BASE_URL
  • Yaml：web.base-url
• --logout-url <默认：$TERRABOARD_LOGOUT_URL>：登出 URL
  • 环境变量：TERRABOARD_LOGOUT_URL
  • Yaml：web.logout-url

帮助选项

• -h, --help：显示帮助信息

使用 Docker

Docker Compose

可通过 卷 或 配置 向容器提供配置文件。

shell
# 将 AWS 凭证设置为环境变量：
export AWS_ACCESS_KEY_ID=<access_key>
export AWS_SECRET_ACCESS_KEY=<access_secret>

# 将 AWS 配置设置为环境变量：
export AWS_DEFAULT_REGION=<AWS 默认区域>
export AWS_BUCKET=<S3 存储桶名称>
export AWS_DYNAMODB_TABLE=<AWS DynamoDB 表>

docker-compose up

然后在浏览器中访问 http://localhost:8080。

Docker 命令行

shell
# 将 AWS 凭证设置为环境变量：
export AWS_ACCESS_KEY_ID=<access_key>
export AWS_SECRET_ACCESS_KEY=<access_secret>

# 将 AWS 配置设置为环境变量：
export AWS_DEFAULT_REGION=<AWS 默认区域>
export AWS_BUCKET=<S3 存储桶名称>
export AWS_DYNAMODB_TABLE=<AWS_DYNAMODB_TABLE>

# 创建网络并启动两个容器：
docker network create terraboard
docker run --name db \
  -e POSTGRES_USER=gorm \
  -e POSTGRES_DB=gorm \
  -e POSTGRES_PASSWORD="<mypassword>" \
  -e GODEBUG="netdns=go" \
  --net terraboard \
  --detach \
  --restart=always \
  postgres:9.5

docker run -p 8080:8080 \
  -e AWS_ACCESS_KEY_ID="${AWS_ACCESS_KEY_ID}" \
  -e AWS_SECRET_ACCESS_KEY="${AWS_SECRET_ACCESS_KEY}" \
  -e AWS_REGION="${AWS_DEFAULT_REGION}" \
  -e AWS_BUCKET="${AWS_BUCKET}" \
  -e WS_DYNAMODB_TABLE="${AWS_DYNAMODB_TABLE}" \
  -e DB_PASSWORD="<mypassword>" \
  -e DB_SSLMODE="disable" \
  --net terraboard \
  camptocamp/terraboard:latest

然后在浏览器中访问 http://localhost:8080。

与 Rancher 一起使用

https://github.com/camptocamp/camptocamp-rancher-catalog 包含 Terraboard 模板，可在 Cattle 中自动安装。

认证和基础 URL

Terraboard 不实现认证。建议使用如 https://github.com/bitly/oauth2_proxy 之类的认证代理。

如果需要为 Terraboard 设置路由路径，可以通过 BASE_URL 环境变量设置基础 URL。

使用认证代理时，Terraboard 将从代理传递的标头中检索登录用户和电子邮件。还可以传递 TERRABOARD_LOGOUT_URL 参数，允许用户退出代理。

从源代码安装

shell
$ go get github.com/camptocamp/terraboard

兼容性矩阵

开发

架构

Terraboard 由两个组件组成：

服务器进程

服务器用 Go 编写，运行一个 Web 服务器，提供：

• API：在已知访问点提供数据，数据来自 PostgreSQL 数据库
• 索引页面：在所有其他 URL 上提供 static/index.html

服务器还有一个定期（每 1 分钟）从 S3 存储桶更新 PostgreSQL 数据库的例程。

Web UI

UI 是一个 AngularJS 应用，从 index.html 提供。所有 UI 代码可在 static/ 目录中找到。

测试

shell
$ docker-compose build && docker-compose up -d
# 在浏览器中访问 http://localhost

贡献

参见 CONTRIBUTING.md