Налаштування Pulumi Infrastructure as Code
Pulumi — це альтернатива Terraform, де інфраструктура описується на звичайних мовах програмування: TypeScript, Python, Go, C#. Дозволяє використовувати цикли, функції, умови та переиспользовувати код без необхідності учити HCL.
Встановлення
# CLI
brew install pulumi/tap/pulumi # macOS
choco install pulumi # Windows
# Створити проект (TypeScript)
pulumi new aws-typescript
# Створити проект (Python + AWS)
pulumi new aws-python
TypeScript-стек для веб-додатку
// index.ts
import * as aws from "@pulumi/aws";
import * as awsx from "@pulumi/awsx";
import * as pulumi from "@pulumi/pulumi";
const config = new pulumi.Config();
const dbPassword = config.requireSecret("dbPassword");
// VPC
const vpc = new awsx.ec2.Vpc("myapp-vpc", {
numberOfAvailabilityZones: 2,
enableDnsHostnames: true,
});
// ECS Cluster
const cluster = new aws.ecs.Cluster("myapp-cluster", {
settings: [{ name: "containerInsights", value: "enabled" }],
});
// RDS PostgreSQL
const db = new aws.rds.Instance("myapp-db", {
engine: "postgres",
engineVersion: "16.1",
instanceClass: aws.rds.InstanceType.T3_Medium,
allocatedStorage: 100,
dbName: "myapp",
username: "myapp",
password: dbPassword,
skipFinalSnapshot: !pulumi.getStack().startsWith("prod"),
vpcSecurityGroupIds: [dbSg.id],
dbSubnetGroupName: dbSubnetGroup.name,
storageEncrypted: true,
});
// ECS Fargate Service
const service = new awsx.ecs.FargateService("myapp-web", {
cluster: cluster.arn,
taskDefinitionArgs: {
container: {
name: "web",
image: "registry.example.com/myapp:latest",
cpu: 256,
memory: 512,
essential: true,
portMappings: [{ containerPort: 8080 }],
environment: [
{ name: "APP_ENV", value: "production" },
{ name: "DB_HOST", value: db.endpoint },
],
secrets: [
{ name: "DB_PASSWORD", valueFrom: dbPasswordSecret.arn },
],
},
},
desiredCount: 3,
loadBalancers: [{
targetGroupArn: targetGroup.arn,
containerName: "web",
containerPort: 8080,
}],
});
// Outputs
export const dbEndpoint = db.endpoint;
export const serviceUrl = pulumi.interpolate`https://${loadBalancer.dnsName}`;
Python-стек (Google Cloud)
# __main__.py
import pulumi
import pulumi_gcp as gcp
config = pulumi.Config()
# Cloud Run Service
service = gcp.cloudrun.Service("myapp",
location="europe-west3",
template=gcp.cloudrun.ServiceTemplateArgs(
spec=gcp.cloudrun.ServiceTemplateSpecArgs(
containers=[gcp.cloudrun.ServiceTemplateSpecContainerArgs(
image="gcr.io/myproject/myapp:latest",
resources=gcp.cloudrun.ServiceTemplateSpecContainerResourcesArgs(
limits={"cpu": "1000m", "memory": "512Mi"},
),
envs=[
gcp.cloudrun.ServiceTemplateSpecContainerEnvArgs(
name="DB_HOST",
value=config.require("db_host"),
),
],
)],
container_concurrency=80,
),
metadata=gcp.cloudrun.ServiceTemplateMetadataArgs(
annotations={"autoscaling.knative.dev/maxScale": "10"},
),
),
)
# Дозволити неавтентифіцований доступ
iam = gcp.cloudrun.IamMember("public",
service=service.name,
location=service.location,
role="roles/run.invoker",
member="allUsers",
)
pulumi.export("service_url", service.statuses[0].url)
Управління стеками
# Створити production стек
pulumi stack init production
# Налаштувати
pulumi config set aws:region eu-west-1
pulumi config set dbPassword "secret" --secret
# Розгортання
pulumi up
# Перегляд змін без застосування
pulumi preview
# Знищити
pulumi destroy
# Переключення між стеками
pulumi stack select staging
pulumi stack select production
Автоматизація CI/CD
- name: Pulumi Deploy
uses: pulumi/actions@v4
with:
command: up
stack-name: production
cloud-url: https://api.pulumi.com
env:
PULUMI_ACCESS_TOKEN: ${{ secrets.PULUMI_ACCESS_TOKEN }}
AWS_ACCESS_KEY_ID: ${{ secrets.AWS_ACCESS_KEY_ID }}
AWS_SECRET_ACCESS_KEY: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
Pulumi проти Terraform
Pulumi є кращим вибором коли: потрібна складна логіка (генерація ресурсів у циклі за зовнішніми даними), команда краще знає TypeScript/Python ніж HCL, компоненти потрібно переиспользовувати як npm/pip-пакети.
Лінія часу
TypeScript-стек для типового AWS-додатку: 5–7 днів.