第一次使用 Terraform 时,我持怀疑态度。在代码编辑器中更新基础架构而不是通过云控制台进行点击,感觉非常奇怪,而且我当时不了解这样做的好处。但由于这是公司政策,所以我就照做了。后来,有一天,我被要求启动一个全新的开发环境。我清楚地记得我去找团队中的高级开发人员,问他我错过了什么,因为这只花了我 10 分钟。他检查了我的工作,笑着确认说,是的,就是这么简单。
难怪 Terraform 在业界得到如此广泛的采用。随着云计算的快速发展,全球各地的团队都在转向基础设施即代码 (IaC) 来管理日益复杂的基础设施。Terraform 能够提供一致、可重复且可扩展的基础设施管理方法,这使其成为各个行业公司的首选。
在 Terraform 面试中,评估的不仅仅是您知道多少命令,还包括您有效使用 Terraform 以适应现代 DevOps 工作流程和解决实际问题的能力。在本文中,我将带您了解一些最常见的 Terraform 面试问题。我将它们分为几类 – 基础、中级和高级 – 因此无论您处于职业生涯的哪个阶段,这里都有适合您的内容!
开始之前:如果您对云计算完全陌生,我建议您先学习我们的云计算入门课程。本课程将分解云基础知识,解释可扩展性和延迟等关键术语,并介绍AWS等提供商提供的云工具的优势。Terraform 完全是关于处理云基础设施的,因此请确保您首先熟悉这些概念,无论是理论还是实践!
Terraform 基本面试问题
这些问题主要关注 Terraform 是什么以及它是如何工作的。如果你以前从未使用过 Terraform,或者面试官不确定你的技能水平并想从基础开始,你很可能会遇到这些问题。
1. 什么是 Terraform,其主要用途是什么?
Terraform 是 HashiCorp 创建的开源基础设施即代码 (IaC) 工具。它允许您使用名为 HCL(HashiCorp 配置语言)的声明式配置语言来定义和管理云和本地基础设施。Terraform 可自动配置、更新和版本控制基础设施,以确保一致性并减少手动工作量。
2. Terraform 与 CloudFormation 或 Ansible 等其他 IaC 工具有何不同?
Terraform 与 CloudFormation:Terraform 与云无关,这意味着它可以管理跨多个提供商(AWS、Azure、GCP 等)的基础设施,而 AWS CloudFormation 特定于 AWS。Terraform 还具有更灵活的语法和状态管理。
Terraform 与 Ansible:Ansible 主要是一个配置管理工具(管理软件、包和操作系统配置),而 Terraform 专注于以声明方式配置和管理基础设施资源。
3. Terraform 的主要命令是什么,它们的作用是什么?
terraform init– 初始化 Terraform 项目并下载必要的提供程序插件。
terraform plan– 创建一个执行计划,显示 Terraform 将应用哪些更改。
terraform apply– 应用计划的变更并提供资源。
terraform destroy– 删除所有管理资源。
terraform validate– 检查 Terraform 配置文件中的语法错误。
4.什么是 Terraform 状态文件?
Terraform 维护一个状态文件 ( terraform.tfstate) 来跟踪其管理的实际基础设施。状态文件可帮助 Terraform 了解资源的当前状态、检测偏差并有效地应用更改。它对于协作至关重要,但由于它包含敏感数据,因此应安全存储。
5. 什么是 Terraform 提供商,为什么它们很重要?
Terraform 中的提供程序是使其能够与云平台、SaaS 服务和其他 API 交互的插件。每个提供程序(例如 AWS、Azure、Kubernetes)都定义了 Terraform 可以管理的资源。如果没有提供程序,Terraform 就不知道如何创建或配置基础设施资源。
如果您想了解有关 Terraform 及其工作原理的更多信息,请查看此初学者指南。 在那篇文章中,我更详细地介绍了 Terraform 的关键组件,并讨论了该工具的优缺点。 甚至还有一个迷你教程,帮助您开始在 AWS 上配置基础设施。
中级 Terraform 面试问题
本节深入探讨 Terraform 的工作流程、配置实践以及在实际项目中管理状态和资源的策略。您需要大量的 Terraform 实践经验才能回答这些问题,尤其是当您被要求谈论具体示例时。
6.什么是 Terraform 模块?
Terraform 模块是可重复使用的组件,可通过将相关资源分组来帮助组织基础架构代码。它们可提高可维护性,使您的团队能够跨项目重复使用代码,并简化部署。
模块可以简单到只是一个包含.tf文件和可选的variables.tf文件的目录!
7.Terraform 如何管理远程状态?
默认情况下,Terraform 在本地存储状态,但为了便于协作,它支持远程后端(AWS 的 DynamoDB 为 S3,Google Cloud 的 GCS 或 Terraform Cloud)。远程状态可实现以下功能:
多个团队成员共享访问权限。
状态锁定以防止冲突。
通过加密和控制访问提高安全性。
8.什么是 Terraform 工作区?何时应该使用它们?
Terraform 工作区允许您在同一配置中维护单独的状态文件。它们在管理多个环境(如开发、暂存、生产)而无需重复代码时非常有用。
工作区最适合简单的环境分离,但对于复杂的多账户设置来说可能太难维护。
Terraform 工作区
来源:DevOps Mojo
9. Terraform 如何处理导入现有基础设施,以及有哪些限制?
Terraform 可以使用terraform import命令将现有资源导入其状态。但是,它不会自动为这些资源生成配置文件(文件),因此您需要手动编写它们。.tf
此导入功能有一些限制:
复杂的设置需要手动配置协调。
某些资源类型不支持导入。
如果导入的资源配置与实际基础设施不匹配,则存在偏差风险。
10.什么是 Terraform 供应器,何时应该使用它们?
置备程序在资源创建后对其执行脚本或命令。它们通常用于配置虚拟机或安装软件等任务。
有两种类型的供应器:
本地供应商,在执行 Terraform 的机器上运行。
远程配置程序,通过 SSH 或 WinRM 在目标资源上运行。
由于配置程序会引入依赖项并降低 Terraform 的声明性,因此应谨慎使用。另一种方法是使用配置管理工具,例如 Ansible 或 cloud-init。
Terraform 插件
来源:Opcito
11. Terraform 中的漂移检测是什么,如何解决它?
偏差检测是指实际基础设施状态与 Terraform 配置中定义的状态不一致的情况。当在 Terraform 之外进行手动更改(例如在云提供商的控制台或其他自动化工具中进行更新)时,可能会发生这种情况。
Terraform 可以通过运行terraform plan 来检测漂移,它将状态文件中的当前状态与真实基础设施进行比较。
如果检测到偏差,您应该恢复手动更改以匹配 Terraform 配置,更新配置以反映新的所需状态并运行terraform apply以使基础设施重新与配置保持一致。
12. 如何使用 Terraform 对部署在多个实例中的应用程序实现滚动更新?
滚动更新允许您逐步更新基础架构,以减少停机时间并确保在更新期间应用程序实例的子集保持可用。在滚动更新场景中,Terraform 会创建资源的新实例,等待其恢复健康(使用健康检查),然后逐渐替换旧实例。
实际上,您可以通过在 Terraform 中定义不可变的基础设施并在资源定义(例如 EC2 实例、负载均衡器)中使用count或for_each来实现滚动更新。
13. Terraform 中如何处理资源依赖关系,隐式和显式依赖关系的作用是什么?
在 Terraform 中,资源依赖关系通过其图形构建机制自动处理。当一个资源在其配置中引用另一个资源时(例如,在aws_instance中引用aws_security_group ),就会创建隐式依赖关系,并且 Terraform 会自动推断依赖关系顺序。
显式依赖项对于处理 Terraform 无法自动推断依赖项顺序的极端情况非常有用。它们是在使用depends_on参数时创建的,这会强制 Terraform 应用特定的执行顺序,即使没有直接引用资源也是如此。
Terraform 图形命令输出
来源:HashiCorp
云课程
通过由现实世界的专家精心挑选的交互式课程来培养您的云技能。
高级 Terraform 面试问题
在高级水平上,面试官希望了解你使用 Terraform 管理大型基础设施的专业知识。问题可能包括多云部署、团队协作和自动化挑战等主题。这是你真正展示经验和技能的地方,所以不要犹豫,谈谈你参与过的项目并提供实际例子!
14. 如何使用 Terraform 管理复杂的多云部署?
管理多云环境需要在一个配置中处理多个提供商。Terraform 允许您通过指定不同的提供商并使用提供商特定的资源在同一个main.tf文件中配置来自不同云提供商(例如 AWS、Azure、Google Cloud)的资源。
您可以使用提供商别名来管理同一提供商的多个实例(例如,不同地区的 AWS),并利用模块来抽象通用配置并防止重复。不过,请务必谨慎管理跨云依赖关系,因为不同云中的资源可能没有直接关系。
15. Terraform 中的 taint 和 untaint 命令是什么?在实际场景中您将如何使用它们?
terraform taint 会在下次运行terraform apply时标记资源以供重新使用,即使配置没有任何变化。当资源出现问题或处于不良状态时,这很有用。
例如,如果 EC2 实例失败并需要重新创建,则可以对其进行污染以在下次应用期间触发其销毁和重新创建。terraform untaint用于撤消污染命令并防止重新创建资源。
16. 什么是 Terraform Cloud 和 Terraform Enterprise,它们的主要区别是什么?
Terraform Cloud是 HashiCorp 提供的一款 SaaS 产品,提供协作功能,例如远程状态管理、工作区管理、版本控制集成和策略实施。它非常适合中小型团队。
Terraform Enterprise是一个自托管版本,它添加了更多高级功能,如私有模块注册表、更细粒度的访问控制和高级安全功能,包括内部部署。
简而言之:Terraform Cloud 由 HashiCorp 托管和维护,而 Terraform Enterprise 是自托管的,让组织可以完全控制其基础设施。
Terraform Cloud 与 Enterprise
来源:Google Cloud
17. 与大型团队合作时,如何管理 Terraform 中的状态锁定和并发问题?
Terraform 中的状态锁定旨在防止两个用户同时修改相同的状态,因为这可能导致状态文件损坏。
Terraform Cloud 和 Enterprise 使用后端自动处理状态锁定。
对于带有 DynamoDB 的 S3 等远程后端,Terraform 使用 DynamoDB 进行状态锁定并防止并发问题。
18. 什么是零停机部署,Terraform 如何实现零停机部署?
零停机部署是指在不中断服务可用性的情况下对基础设施进行更改。Terraform可以通过以下策略实现这一点:
蓝绿部署:使用两个相同的环境(蓝和绿),您可以在它们之间切换流量以部署更改而无需停机。
滚动更新:每次逐渐将更改应用于一小部分实例,同时允许其余实例在更新期间保持活动状态。
这些是云架构中的常见策略,Terraform 提供的功能可以帮助实现这些策略。但是,完全实现这些零停机策略通常需要额外的工具,例如负载平衡器。
19. 您如何处理 Terraform 中的机密管理,最佳实践是什么?
Terraform 本身不管理机密,但可以与外部机密管理工具集成。例如,您可以使用:
HashiCorp Vault:Terraform 内置对 Vault 的支持,可以在运行时检索 API 密钥或密码等机密信息,确保它们不会硬编码在配置文件中。
环境变量:对于敏感值,可以将其设置为环境变量。
具有加密的远程后端:将状态文件存储在启用加密的远程后端,以防止未经授权访问敏感数据。
使用敏感参数:将输出和变量标记为敏感,以防止它们出现在 Terraform 计划/应用日志中。
20. 如何实现自定义 Terraform 提供程序,何时需要它?
当您需要管理 Terraform 本身不支持的资源或服务时,可以使用自定义 Terraform 提供程序。它们使用 Go 实现,涉及创建与现有提供程序未涵盖的 API 或服务(如内部 API、小众云服务或专有技术)交互的自定义函数。