问题标签 [terraform-provider-gcp]

我正在使用 Terraform 来管理我的 GCP 资源。为了签署过期的 URL，我使用https://cloud.google.com/cdn/docs/using-signed-urls#configuring_google_compute_engine_vm_instances制作了一个 POC， 我可以在 Terraform 中放置存储桶、负载平衡的东西，但我找不到使用 terraform 此命令配置的任何信息：

感谢任何想法和帮助。

编辑：

自我回答

terraform terraform 文档和Github 源中的新资源

所以不再需要 bash/CLI/手动操作。

我有一个目前使用单一google_project_iam_policy资源的 TF 项目，并希望过渡到使用 google_project_iam_member.

文档警告：

google_project_iam_policy 不能与 google_project_iam_binding 和 google_project_iam_member 一起使用，否则它们会为您的策略应该是什么而争吵。

是否有从一种风格迁移到另一种风格的安全途径？

google_compute_disk在 Google 云平台中使用自定义托管 KMS 密钥加密的 Terraform 语法是什么？

参考文档并使用 KMS 密钥似乎不起作用self_link。disk_encryption_key.raw_key生成的磁盘显示磁盘是通过 Google 托管密钥加密的。

使用了错误的格式？

正在使用的示例如下：

我正在努力关注 Terraform 文档。在我面临导入网络import之前，我对（我导入了虚拟机等）没有任何问题。Google VPC

我创建了一个模块：

我在main.tf别处创建了一个：

我也尝试不使用模块并从单个main.tf文件中导入它。我得到的回应是这样的：

但是这个网络是存在的——我正在使用它:)（出于明显的原因，我更改了名称）。难道我做错了什么？ https://www.terraform.io/docs/providers/google/r/compute_network.html

K。

使用 Terraform 时锁定状态文件的 Google Cloud Platform 机制是什么？像DynamoDB在 AWS 上的东西......

谢谢

我想只是一个快速的理智检查，也许我的眼睛变得混乱了。我正在将一个单一的 terraform 文件分解为模块。

我main.tf只调用了两个模块，gke用于 google kubernetes 引擎，storage它在之前创建的集群上创建了一个持久卷。

模块gke有一个outputs.tf输出以下内容：

然后在main.tf存储模块中，我有：

然后在根目录中main.tf我有以下内容：

从我所见，它看起来是正确的。certs、key 和 host 变量的值应该由gke模块输出outputs.tf，由main.tfroot 获取，然后storage作为常规变量传递给。

我是不是弄错了？或者我只是发疯了，似乎有些不对劲。

当我运行一个计划时，我被问到变量没有被填充。

编辑：

添加一些附加信息，包括我的代码。

如果我为它要求的变量手动添加虚拟条目，则会收到以下错误：

看起来它在抱怨 data.google_container_cluster 资源需要项目属性。但它不是一个有效的资源。它是给提供者的，但它是为提供者填写的。

下面的代码：

文件夹结构：

根文件夹/gke/main.tf：

根文件夹/gke/outputs.tf：

根文件夹/gke/variables.tf：

/根文件夹/storage/main.cf：

/root/storage/variables.tf:

/根文件夹/main.tf：

/根文件夹/variables.tf：

出于显而易见的原因，我不会粘贴我的内容staging.json和内容terraform.tfvars:)

我正在使用 Terraform 来管理 Google Cloud Platform (GCP) 资源。我使用Google Cloud Storage 后端来存储状态文件。GCP 提供托管密钥管理服务，因此可以管理密钥并使用这些密钥轻松启用存储桶上的加密。所以我使用以下来加密我的后端存储桶（test-terraform-state，这个存储桶将只包含 Terraform 状态）。

所以我的问题是：存储桶内容（此处为 Terraform 状态）可以加密，但它真的有用吗？如果存储桶上有策略，例如“只有某些用户可以访问它（读/写）”，那么添加加密是否有好处？我在这里只看到了额外的安全层（必要的？），因为人们需要访问此存储桶 + 角色roles/cloudkms.cryptoKeyEncrypterDecrypter才能访问内容。但我认为我错过了一些证明 Terraform 状态加密的用例。

我创建了一个私有集群，使用谷歌提供者启用了私有端点。但在使用 Kubernetes 提供程序创建机密时出现以下错误。

kubernetes_secret.create-secret：机密被禁止：用户“system：anonymous”无法在命名空间“default”中创建机密

此外，状态文件不包含主身份验证详细信息，如用户名、密码、私钥等。

Terraform google 提供程序模块的文档列出了设置区域的全局选项：

region - （可选）如果未由给定资源指定，则在其下操作的区域。这也可以使用以下任何环境变量来指定（按优先顺序列出）：

GOOGLE_REGION

GCLOUD_REGION

CLOUDSDK_COMPUTE_REGION

但是，我发现无法为google_compute_instance或google_compute_disk资源指定区域。如何在同一个项目的不同区域创建多个实例/磁盘？

我需要每周安排 ec2 卷快照的帮助，并且需要使用 terraform aws 的云监视规则归档\删除超过 1 个月的备份。

请指导我使用 terraform 编写云监视规则。

问候， 公羊