Terraform + AWS CLI Docker镜像文档

镜像概述和主要用途

该Docker镜像预先集成了Terraform和AWS CLI工具，旨在提供便捷、隔离的环境用于AWS云资源管理。通过容器化方式，用户可快速启动包含这两个核心工具的环境，无需在本地系统手动安装和配置，有效避免版本冲突和环境依赖问题。

主要用途：

• 基于基础设施即代码（IaC）理念，使用Terraform编写、部署、更新和销毁AWS云资源（如VPC、EC2、S3、RDS等）；
• 通过AWS CLI执行AWS服务的命令行操作，如查询资源状态、创建/删除资源、配置服务参数等。

核心功能和特性

• 工具集成：预安装Terraform（支持指定版本或最新稳定版）和AWS CLI（v2版本，兼容AWS服务最新API）；
• 环境隔离：基于Docker容器运行，与本地系统环境隔离，避免工具安装对系统造成干扰，同时确保多项目间工具版本一致性；
• 即开即用：无需手动下载、安装和配置工具，拉取镜像后即可直接使用Terraform和AWS CLI命令；
• 兼容性：支持标准的Terraform配置文件（.tf）和AWS CLI命令，与***工具功能完全一致；
• 轻量级：基于精简的基础镜像（如Alpine或Debian Slim）构建，减少镜像体积，提升启动速度。

使用场景和适用范围

使用场景

• 开发环境快速验证：开发人员在本地快速测试Terraform配置文件（如执行terraform plan验证资源定义），无需在本地安装工具；
• CI/CD流水线集成：在CI/CD流程中（如GitHub Actions、GitLab CI）作为执行步骤，通过容器运行terraform apply部署AWS资源或执行AWS CLI命令同步数据；
• 多环境资源管理：在开发、测试、生产等不同环境中，使用统一版本的工具执行资源部署，确保环境一致性；
• 临时命令行操作：需要临时执行AWS CLI命令（如查询S3桶列表、查看EC2实例状态）时，无需本地安装AWS CLI，直接启动容器执行；
• 团队协作：团队成员使用相同镜像，避免因本地工具版本差异导致的“在我电脑上能运行”问题。

适用范围

• 开发人员、DevOps工程师、云架构师等需要管理AWS云资源的技术角色；
• 采用基础设施即代码（IaC）方式管理AWS资源的项目；
• 需要通过命令行高效操作AWS服务的场景；
• 对环境一致性要求高的团队或项目。

使用方法和配置说明

前提条件

• 已安装Docker Engine（19.03+版本）；
• 已获取AWS账号及访问凭证（Access Key ID和Secret Access Key，具备操作目标资源的权限）。

1. 拉取镜像

根据实际镜像名称和版本标签拉取（示例中使用占位符[镜像名称]和[标签]，需替换为实际值，如Docker Hub上的***或自定义镜像名）：

docker pull [镜像名称]:[标签]  # 标签可选，如指定版本组合（如terraform-1.6.0-awscli-2.13.0）或使用latest

2. 验证工具安装

运行容器验证Terraform和AWS CLI版本，确认工具正常安装：

# 验证Terraform版本
docker run --rm [镜像名称] terraform --version

# 验证AWS CLI版本
docker run --rm [镜像名称] aws --version

3. 基本使用

执行Terraform命令

通过挂载本地Terraform配置目录，在容器内执行初始化、计划、应用等操作：

# 假设本地Terraform配置文件位于当前目录下的terraform目录
docker run --rm -it \
  -v $(pwd)/terraform:/workspace \  # 挂载本地配置目录到容器内/workspace
  -w /workspace \  # 设置工作目录为/workspace
  [镜像名称] \
  terraform init  # 初始化Terraform工作目录（下载Provider等）

# 生成资源部署计划（验证配置正确性）
docker run --rm -it \
  -v $(pwd)/terraform:/workspace \
  -w /workspace \
  [镜像名称] \
  terraform plan

# 应用配置部署资源（执行前需确认）
docker run --rm -it \
  -v $(pwd)/terraform:/workspace \
  -w /workspace \
  [镜像名称] \
  terraform apply  # 输入"yes"确认部署

执行AWS CLI命令

通过容器直接执行AWS CLI命令，操作AWS服务：

# 列出当前账号下的S3桶（需先配置AWS凭证，见下文）
docker run --rm [镜像名称] aws s3 ls

# 查看指定区域的EC2实例列表（JSON格式输出）
docker run --rm [镜像名称] aws ec2 describe-instances --region us-west-2

4. AWS凭证配置

操作AWS资源前需配置凭证（Access Key ID和Secret Access Key），支持以下两种常用方式：

方式1：通过环境变量传递

运行容器时通过-e参数注入凭证和区域信息：

docker run --rm -it \
  -e AWS_ACCESS_KEY_ID="AKIAEXAMPLE123" \  # 替换为实际Access Key ID
  -e AWS_SECRET_ACCESS_KEY="secret123example" \  # 替换为实际Secret Access Key
  -e AWS_DEFAULT_REGION="us-west-2" \  # 指定默认AWS区域
  [镜像名称] \
  aws s3 ls  # 示例命令：列出S3桶

方式2：挂载本地AWS凭证文件

将本地~/.aws/credentials和~/.aws/config文件（标准AWS CLI配置文件）挂载到容器内：

# 假设本地凭证文件位于~/.aws/（Linux/macOS路径）
docker run --rm -it \
  -v ~/.aws:/root/.aws:ro \  # 只读挂载本地凭证目录到容器内/root/.aws
  [镜像名称] \
  aws s3 ls  # 无需额外配置，直接使用本地凭证

5. docker-compose配置示例

创建docker-compose.yml简化多参数启动，适用于固定项目场景：

version: '3.8'
services:
  terraform-aws:
    image: [镜像名称]:[标签]  # 替换为实际镜像名称和版本
    volumes:
      - ./terraform:/workspace  # 挂载本地Terraform配置目录
      - ~/.aws:/root/.aws:ro     # 挂载本地AWS凭证（可选，若未使用环境变量）
    environment:
      - AWS_DEFAULT_REGION=us-west-2  # 默认AWS区域（若未通过config文件指定）
    working_dir: /workspace  # 工作目录设为挂载的配置目录
    # 可选：指定默认执行命令，如启动时直接运行terraform plan
    # command: terraform plan

启动服务（根据配置执行对应命令或进入交互模式）：

docker-compose up

注意事项

• 数据持久化：容器内文件（如Terraform状态文件.tfstate）默认不持久化，需通过-v挂载宿主机目录保存关键数据；
• 版本兼容性：选择镜像标签时需匹配项目依赖的Terraform和AWS CLI版本，避免因工具更新导致配置文件不兼容；
• 权限控制：挂载本地目录时注意文件权限，确保容器内用户（通常为root）有读写权限（可通过-u $(id -u):$(id -g)指定宿主机用户ID）；
• 安全建议：避免在命令行明文暴露凭证，生产环境建议使用AWS IAM角色（如在EC2或EKS中运行容器时通过IAM Role for Service Accounts绑定角色）。