各種バージョンアップ

[fittecs]

概要

各種アクションや利用ツールのバージョンアップ。
OIDCがモジュールのバージョンアップと同時に設定の互換性が無くなって動かなくなっていたので修正。
あとシェルのシェバンを気分で変更。

作業手順

1. terraformコマンドのバージョンアップ

$ tfenv list-remote
$ tfenv install 1.10.3
$ tfenv use 1.10.3
$ terraform version

2. 各種ファイルに記載されたバージョンをアップ

ファイル	更新対象
.github/action/setup/action.yaml	terraform_version
.github/actions/**/*.yaml	各ツールおよびactionのバージョン
.github/workflows/*.yaml	各ツールおよびactionのバージョン
terraform/globals.tf	required_version
terraform/globals.tf	required_providersの各providerのバージョン
terraform/.tflint.hcl	googleプラグインのバージョン
.regal/config.yaml	capabilities.from.version
terraform/tier1-main.tf	project_servicesモジュールのバージョン
terraform/modules/**/main.tf	サードパーティのモジュールのバージョン

バージョンアップしたファイルに関連するツールが正しく動くかを確認するために、scriptsディレクトリ内のシェルを実行して正常系、異常系どちらも反応することを確認。

$ cd /path/to/infra-testing-google-sample/scripts
$ ./scripts/conftest.sh
.tflin.hclの定義を消して実行すれば異常系のテストが可能。

$ ./scripts/opafmt.sh
policies配下のregoのコードのフォーマット崩して実行して、フォーマッタが効くことを確認。

$ ./scripts/regal.sh
tflint_hcl.regoのpackage名をconftestから始まらないように修正してリンタ実行 -> 検知できることを確認。

$ ./scripts/tffmt.sh
何かしらの.tfファイルのインデントを崩すなどしてフォーマット実行 -> フォーマッタが効くことを確認。

$ ./scripts/tflint.sh
何かしらの.tfファイルのresourceのnameにハイフン入れてチェック実行 -> 検知できることを確認。

$ ./scripts/trivy.sh
バージョンアップ時の追加チェックで引っかかったので異常検知は出来ている。

あとREADME.mdにも各ツールのバージョン書いてるので、それらを最新に変更する必要がある。

3. OPAのメジャーバージョンアップ対応

ついにOPA1.0がリリースされたので対応。

まずリリースノートとマイグレーションのドキュメント読む。
https://github.com/open-policy-agent/opa/releases
https://www.openpolicyagent.org/docs/latest/v0-upgrade/

コードをopa, regal, conftestで検索。
そしてopa fmt --v1-compatible --rego-v1 $OPT policies/から--v1-compatible --rego-v1オプションを削除。

そもそもOPA1.0.0がリリースから3日しか経過していない状態であるため、Regalはv0.69.0を使用している。
Regalは0.70.0でも動くので.regal/config.yamlのcapabilities.from.versionはv0.70.0になる。
他はすでにv1のオプトイン行っていたため修正の必要はなかった。

4. test環境のtier1、tier2ディレクトリ内にある.terraform.lock.hclを更新(しないとCIが落ちる)

$ cd /path/to/infra-testing-google-sample/terraform/environments/test/tier1
$ terraform init -backend-config="bucket=infra-testing-google-sample-sbx-e-terraform" -upgrade

$ cd ../tier2
$ terraform init -backend-config="bucket=infra-testing-google-sample-sbx-e-terraform" -upgrade

stg環境と本番環境では不要。

[github-actions]

Action URL: https://github.com/erueru-tech/infra-testing-google-sample/actions/runs/12482332175

stg$ terraform apply -auto-approve

$\color{red}\textsf{[tier1] Plan: 4 to add, 1 to change, 1 to destroy.}$

$\color{green}\textsf{[tier2] Plan: 6 to add, 0 to change, 0 to destroy.}$

[github-actions]

Action URL: https://github.com/erueru-tech/infra-testing-google-sample/actions/runs/12482323110

stg$ terraform plan

$\color{green}\textsf{[tier1] No changes. Your infrastructure matches the configuration.}$

$\color{green}\textsf{[tier2] No changes. Your infrastructure matches the configuration.}$