将已部署的资源导入 Infrastructure Manager

本教程演示了如何将 Google Cloud 资源导入到 Infrastructure Manager 部署中。您只能导入使用 Terraform 预配的资源。

如果您有 Terraform 配置,但尚未在Google Cloud上部署,请参阅使用 Infrastructure Manager 部署基础架构

本教程首先介绍如何使用 Terraform CLI 将 Virtual Private Cloud (VPC) 部署到Google Cloud 。然后,本教程将演示如何将这些已部署的资源导入 Infrastructure Manager,以便将这些资源作为 Infrastructure Manager 部署进行管理。

您可以参考本教程中的示例,了解如何将其他Google Cloud 资源导入 Infra Manager。如需将部署导入到 Infra Manager 中,用于预配资源的 Terraform 配置需要符合限制,并且资源需要使用受支持的 Terraform 版本进行预配。

费用

本教程使用 Google Cloud的以下收费组件:

准备工作

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. Install the Google Cloud CLI.

  3. 如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI

  4. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init

  5. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Infrastructure Manager API: 

    gcloud services enable config.googleapis.com

  8. Set up authentication:

    1. Create the service account: 

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. Grant the roles/config.agent IAM role to the service account: 

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=roles/config.agent

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account

  9. Install the Google Cloud CLI.

  10. 如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI

  11. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init

  12. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  13. Verify that billing is enabled for your Google Cloud project.

  14. Enable the Infrastructure Manager API: 

    gcloud services enable config.googleapis.com

  15. Set up authentication:

    1. Create the service account: 

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. Grant the roles/config.agent IAM role to the service account: 

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=roles/config.agent

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
    16.
  16. 安装Terraform受支持版本

    17. 将资源部署到 Google Cloud

    您在本教程中部署的 Google Cloud 资源是 VPC。本部分介绍了如何部署资源,以便用作将已部署的资源导入到 Infra Manager 中的示例。

    本教程使用 us-central1 区域。如果您想使用其他区域,则可以使用 Infra Manager 运行的任何位置。如需查看有效位置的列表,请参阅 Infrastructure Manager 位置

    授予配置中资源的权限

    您已授予运行 Infra Manager 所需的权限,但还需要授予特定于您要部署的配置中所述资源的权限。

    授予权限,以便能够创建 VPC 网络(这是 Terraform 配置中定义的资源):

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/compute.networkAdmin

    替换以下内容:

    • SERVICE_ACCOUNT_NAME 替换为服务账号的名称。
    • PROJECT_ID:您的项目 ID。

    使用 Terraform CLI 部署资源

    1. 使用以下 Terraform 配置创建 VPC 网络。为此,请运行以下命令:

      mkdir vpc_to_import
cd vpc_to_import
cat <<EOF > main.tf
variable "project_id" {
  type = string
}

resource "google_compute_network" "vpc_network" {
  name = "my-custom-mode-network"
  project = var.project_id
}
EOF

    2. 使用 Terraform CLI 通过以下命令部署配置:

      terraform init
echo "**************  TERRAFORM APPLY  ******************"
terraform apply -var="project_id=PROJECT_ID" -auto-approve
cd ..

    当 VPC 完成配置后,您会看到以文本 Creation complete 开头的输出。

    Terraform 配置中定义的 VPC 现在已部署在 Google Cloud上。Terraform 会创建一个状态文件,该文件位于文件系统中 main.tf 文件旁边。

    在 Infrastructure Manager 中创建占位部署

    如需将资源导入 Infra Manager,您需要在 Infra Manager 中部署现有资源。

    本教程使用存储桶来存储 Terraform 配置。如果您使用本教程来了解如何将其他部署导入 Infra Manager,则可以将 Terraform 配置存储在存储桶、公共 Git 代码库或本地机器上。

    1. 向存储桶添加空的 Terraform 配置:

      gcloud storage buckets create gs://import-deployment-configuration --project=PROJECT_ID

mkdir placeholder_deployment
cd placeholder_deployment
cat <<EOF > main.tf
EOF

gcloud storage cp main.tf gs://import-deployment-configuration
cd ..

    2. 使用 Infra Manager 创建部署。

      gcloud infra-manager deployments apply projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--gcs-source gs://import-deployment-configuration \
--input-values project_id=PROJECT_ID \
--service-account projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT

      部署完成后,您会看到:

      Creating the deployment...done

    您现在拥有一个 Infra Manager 部署。接下来,您需要将状态文件和 Terraform 配置添加到此部署中,以便此部署管理 VPC。

    导入状态文件和 Terraform 配置

    如需使用 Infra Manager 管理已部署的资源 (VPC),您需要将状态文件和 Terraform 配置添加到 Infra Manager。

    锁定部署

    锁定 Infra Manager 部署,以便您可以更改其状态。

    LOCK_ID=$(gcloud infra-manager deployments lock projects/PROJECT_ID/locations/us-central1/deployments/import-deployment --format="get(lockId)")

    将 Terraform 状态文件导入 Infra Manager

    导入已部署资源的状态文件。当您使用 Terraform CLI 部署 VPC 时,Terraform 会创建此状态文件。

    将 Terraform 状态文件上传到 Infra Manager 部署。

    SIGNED_STATE_UPLOAD_URL=$(gcloud infra-manager deployments import-statefile projects/PROJECT_ID/locations/us-central1/deployments/import-deployment --lock-id ${LOCK_ID} --format="get(signedUri)")
cd vpc_to_import
curl -s -X PUT --upload-file terraform.tfstate $SIGNED_STATE_UPLOAD_URL

    将 Terraform 配置上传到 Cloud Storage 存储桶

    上传 Terraform 状态文件后,您还需要上传用于创建 VPC 网络的 Terraform 配置。Infra Manager 需要 Terraform 状态文件,以便在运行 Infra Manager 预览版时,不会发现资源有任何更改。

    使用以下命令将 Terraform 配置上传到 Cloud Storage:

    gcloud storage cp main.tf gs://import-deployment-configuration

    解锁部署

    如果您使用本教程来了解如何将任何资源导入到 Infra Manager 中,请确保状态文件和 Terraform 配置没有差异。如果状态文件与 Terraform 配置之间存在差异,请确保状态文件描述的是您要部署的资源。解锁部署后,如果状态文件与 Terraform 配置之间存在差异,那么当您解锁部署时,Infra Manager 会创建或删除资源以与状态文件保持一致。

    您需要解锁部署,才能使用 Infra Manager 管理资源。在本教程中,状态文件和 Terraform 配置描述的是同一配置,因此 Infra Manager 不会创建或删除任何资源。

    运行以下命令,从部署中释放锁定。

    gcloud infra-manager deployments unlock projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--project PROJECT_ID \
--location us-central1 \
--lock-id ${LOCK_ID}

    现在,状态文件和 Terraform 配置已添加到 Infra Manager 部署中,您已完成对已部署资源的导入。部署的 VPC 现在由 Infra Manager 管理。

    预览资源更改

    对部署运行预览,以确认 Terraform 状态与部署在 Google Cloud 上的资源是否处于同步状态。

    1. 使用以下命令创建预览:

      gcloud infra-manager previews create projects/PROJECT_ID/locations/us-central1/previews/import-deployment-preview \
--gcs-source gs://import-deployment-configuration \
--input-values project_id=PROJECT_ID \
--deployment projects/PROJECT_ID/locations/us-central1/deployments/import-deployment \
--service-account projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

    2. 获取预览详情,确保预览已成功完成。

      gcloud infra-manager previews describe projects/PROJECT_ID/locations/us-central1/previews/import-deployment-preview

    3. 导出预览以查看更改。

      SIGNED_BIN_PLAN_URL=$(gcloud infra-manager previews export projects/PROJECT_ID/locations/us-central1/previews/import-deployment-preview --format "get(result.binarySignedUri)")
curl -X GET --output tfplan.out $SIGNED_BIN_PLAN_URL

    4. 确保本地存在配置,并使用以下命令进行初始化:

      terraform init

    5. 运行 Terraform show 以查看 Infrastructure Manager 部署状态与配置之间的更改。

      terraform show tfplan.out

    如果 Google Cloud 上的 VPC 资源与状态文件同步,则 terraform show 会输出以下内容,以验证 Infrastructure Manager 未发现部署状态与配置之间存在任何更改。您将看到类似如下所示的输出:

    No changes. Your infrastructure matches the configuration.

Terraform has compared your real infrastructure against your configuration and found no differences, so no changes are needed.

    您现在已导入部署的资源,以便由 Infra Manager 进行管理。例如,您现在可以使用 Infra Manager 来更新部署

    您还可以更新部署,以验证部署是否已成功导入到 Infra Manager 中。

    清理

    为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。

    删除项目

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

    删除各个资源

    删除 VPC 和与部署有关的元数据:

    gcloud infra-manager deployments delete projects/PROJECT_ID/locations/us-central1/deployments/quickstart-deployment

    后续步骤