一ヶ月ぐらい前から、 tfupdate を Github Actions から定期的に実行する生活をしている。

tfupdate は、個人的にはとても嬉しいツールで、確かにこれは欲しかったものだということを感じさせてくれるものだった。

仕事で管理している terraform の state はどんどん増えていて、それぞれに terraform や provider のバージョンを指定している。これまでは、たまに思い立ったようにアップデートしたり、新しい AWS のサービスが使えなくて都度アップデートしたりしていたが、state 数が多いと結構面倒な作業だった。

tfupdate を CI で定期的に実行して、自動で PR 作成、あとはマージするだけ、としておくと常に最新の terraform と provider で日々仕事が行える。

CircleCI で実行する場合は、作者の方の記事 や、Orbもあるようなので、それを使うと良いと思う。

自分は、最近は CircleCI から Github Actions に徐々に移行していて、tfupdate も Github Actions から実行するようにしている。

Github Actions から tfupdate を実行する

自分の場合は、自作の Actions を作っていて、これを使っている。

daisaru11/tfupdate-github-actions

これを使う場合は、次のような yaml をリポジトリに置くだけで動くと思う。

on:
  schedule:
    - cron:  '0 0 * * *'

jobs:
  update_terraform:
    runs-on: ubuntu-latest
    name: Update terraform versions
    steps:
    - name: "Checkout"
      uses: actions/checkout@v1
    - name: tfupdate
      uses: daisaru11/tfupdate-github-actions@v1
      with:
        github_token: ${{ secrets.GITHUB_TOKEN }}
        tfupdate_subcommand: terraform
        tfupdate_path: './my_workspace'

  update_provider:
    runs-on: ubuntu-latest
    name: Update provider versions
    steps:
    - name: "Checkout"
      uses: actions/checkout@v1
    - name: tfupdate
      uses: daisaru11/tfupdate-github-actions@v1
      with:
        github_token: ${{ secrets.GITHUB_TOKEN }}
        tfupdate_subcommand: provider
        tfupdate_path: './my_workspace'
        tfupdate_provider_name: aws

tfenv に対応する

tfenv を使っていて、 .terraform-version ファイルを置いている場合は、これもアップデートしないと、HCL 側の required_version と齟齬が出てしまう。

若干、アドホックな対応で、これでよかったのかと思うところはあるけれど、 update_tfenv_version_files というフラグを action に渡せるようになっていて、これを有効にすると .terraform-version も更新してくれるようになっている。

        with:
          github_token: ${{ secrets.GITHUB_TOKEN }}
          tfupdate_subcommand: terraform
          tfupdate_path: "./my_workspace"
          update_tfenv_version_files: true

Terraform の Github Actions と一緒に使う

Terraform の plan と apply も 公式の action を使って行っている場合。

こちらの action には、 tf_actions_version という使用する Terraform の バージョンを指定する引数があるので、これも更新されるようにしないといけない。

いくつか方法をある気がするけど、自分は前述の tfenv を使っていて .terraform-version が置いてある状況だったので、これを参照するようにした。

    - name: "Detect terraform version"
      id: get_tf_version
      working-directory: "./my_workspace"
      run: echo "::set-output name=tf_version::$(cat .terraform-version)"
    - name: "Terraform Plan"
      id: tfplan
      uses: hashicorp/terraform-github-actions@master
      with:
        tf_actions_version: ${{ steps.get_tf_version.outputs.tf_version }}
        tf_actions_subcommand: "plan"
        tf_actions_working_dir: "./my_workspace"
        tf_actions_comment: true

::set-output というコマンドを標準出力に出しておくと、それを後続のステップで使用することができる。

まとめ

上記のような感じで、terraform と provider のバージョンを最新に保つようにしている。

今は毎週月曜の朝に定期実行されるようにセットしている。自動でつくられた PR をみて、plan に変な差分が出てないことだけを確認してマージする。良い気分で一週間が始まるようになった。