CI/CD cho Hạ Tầng: Hiệu Quả và An Toàn

Giới thiệu

Trong thời đại công nghệ hiện đại, việc quản lý hạ tầng thông qua CI/CD (Continuous Integration/Continuous Deployment) đã trở thành một yêu cầu thiết yếu cho sự phát triển bền vững của các dự án. Tuy nhiên, rất nhiều hệ thống CI/CD vẫn gặp khó khăn trong việc triển khai hiệu quả, đặc biệt là khi liên quan đến hạ tầng. Bài viết này sẽ cung cấp cho bạn những hiểu biết cần thiết về cách xây dựng một pipeline CI/CD cho hạ tầng thực sự hiệu quả, an toàn và tiết kiệm chi phí.

Tại sao các Pipeline Hạ Tầng Thường Thất Bại?

Nhiều dự án vẫn thực hiện Terraform trên máy tính cá nhân với các khóa AWS tĩnh. Hậu quả là:

• Rủi ro về thông tin xác thực: Các khóa tồn tại lâu dài có thể bị lộ.
• Thay đổi không được ghi chép: Không có dấu vết kiểm toán, không có tầm nhìn chia sẻ.
• Môi trường không đồng nhất: Các môi trường dev, staging và prod không còn giống nhau.
• Tài nguyên thử nghiệm bị quên lãng: Làm gia tăng hóa đơn đám mây một cách âm thầm.

Việc chạy IaC (Infrastructure as Code) theo cách này tuy có vẻ nhanh chóng nhưng có thể gây ra các vấn đề về tính nhất quán, chi phí và bảo mật thông tin xác thực.

CI/CD có thể khắc phục điều này, nhưng để vượt ra ngoài “pipeline demo”, cần hai thực tiễn sau để đảm bảo hiệu quả trong môi trường sản xuất:

1. Xác thực dựa trên OIDC → không dùng thông tin xác thực lâu dài.
2. Tầm nhìn chi phí trong PRs → ngăn chặn những bất ngờ tài chính.

8 Bước của CI/CD (Phiên Bản Hạ Tầng)

1. Đẩy mã → kích hoạt pipeline.
2. Xây dựng → đóng gói artifact / tạo kế hoạch Terraform.
3. Xác thực → kiểm tra cú pháp, terraform validate.
4. Quét → kiểm tra bảo mật / tuân thủ.
5. Triển khai vào dev/staging → môi trường an toàn.
6. Kiểm tra tích hợp → xác nhận trong môi trường thực.
7. Triển khai vào prod → phê duyệt có điều kiện.
8. Giám sát → nhật ký, chi phí, độ trôi.

Khung này tương tự như các pipeline ứng dụng — chỉ khác ở artifact.

Các Yếu Tố Khác Biệt Để Sẵn Sàng Sản Xuất

1. OIDC: Thông tin xác thực ngắn hạn, an toàn

Thay vì lưu trữ khóa AWS trong bí mật GitHub, các pipeline sử dụng OIDC để giả định vai trò một cách động.

• Thông tin xác thực ngắn hạn, không có gì để bị rò rỉ.
• Vai trò IAM riêng biệt theo môi trường (dev/staging/prod).
• Mọi giả định đều được ghi lại trong CloudTrail.

Chính sách tin cậy AWS tối thiểu cho GitHub OIDC (ví dụ):

resource "aws_iam_role" "terraform_dev" {
  name = "uketui-terraform-cicd-dev"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Principal = {
          Federated = aws_iam_openid_connect_provider.github.arn
        }
        Action = "sts:AssumeRoleWithWebIdentity"
        Condition = {
          StringEquals = {
            "token.actions.githubusercontent.com:sub" = "repo:Anthonyuketui/Terraform-Project-with-Multi-Environment-Support-on-AWS:environment:dev"
            "token.actions.githubusercontent.com:aud" = "sts.amazonaws.com"
          }
        }
      }
    ]
  })
}

2. Tầm Nhìn Chi Phí: Infracost trong PRs

Với một bước đơn giản, bạn có thể đăng ước tính chi phí vào pull requests sau khi thực hiện terraform plan.

Ví dụ bình luận PR:

Điều này giúp nâng cao nhận thức về tài chính trong quá trình xem xét mã. Một sai lầm tài chính sẽ được phát hiện trước khi hợp nhất, không phải trên hóa đơn AWS tiếp theo.

Ví dụ Về Pipeline Dev (GitHub Actions)

Workflow này chạy trong môi trường dev để lặp lại. Nó cố tình nhẹ nhàng, nhưng hãy chú ý rằng nó đã bao gồm các thực tiễn chuẩn sản xuất (OIDC, kiểm tra chi phí, cách ly môi trường) mà thiết kế tương tự có thể mở rộng an toàn sang staging và prod.

name: Terraform Dev DevSecOps Pipeline

on:
  pull_request:
    branches:
      - dev
  push:
    branches:
      - dev

jobs:
  cost-analysis:
    runs-on: ubuntu-latest
    environment: dev
    steps:
      - name: Checkout code
        uses: actions/checkout@v4

      - name: Setup Terraform
        uses: hashicorp/setup-terraform@v3

      - name: Run Infracost
        uses: infracost/actions/setup@v2
        with:
          api-key: ${{ secrets.INFRACOST_API_KEY }}

      - name: Generate Infracost diff
        run: |
          cd environments/dev
          terraform init -backend=false
          infracost breakdown --path . \
            --format table \
            --out-file cost-estimate.txt
      - name: Output cost estimate
        run: cat environments/dev/cost-estimate.txt

      - name: Post cost estimate on PR
        if: github.event_name == 'pull_request'
        run: |
          body="#### Infracost Estimate
          \`\`\`
          $(cat environments/dev/cost-estimate.txt)
          \`\`\`"

          echo "comment=${body}" >> $GITHUB_OUTPUT
        id: cost_estimate

      - name: Add PR comment
        if: github.event_name == 'pull_request'
        uses: actions/github-script@v6
        with:
          script: |
            const body = `${{ steps.cost_estimate.outputs.comment }}`;
            github.rest.issues.createComment({
              issue_number: context.issue.number,
              owner: context.repo.owner,
              repo: context.repo.repo,
              body: body
            });

  terraform-dev:
    runs-on: ubuntu-latest
    environment: dev
    needs: cost-analysis

    permissions:
      id-token: write
      contents: read

    env:
      TF_IN_AUTOMATION: true

    steps:
      - name: Checkout code
        uses: actions/checkout@v4

      - name: Configure AWS credentials (OIDC)
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ secrets.TERRAFORM_ROLE_ARN }}
          aws-region: ${{ vars.AWS_REGION }}

      - name: Setup Terraform
        uses: hashicorp/setup-terraform@v3

      - name: Terraform Format Check
        working-directory: environments/dev
        run: terraform fmt -recursive


      - name: Terraform Init
        working-directory: environments/dev
        run: terraform init -backend-config=backend.tfvars

      - name: Terraform Validate
        working-directory: environments/dev
        run: terraform validate

      - name: Terraform Plan
        working-directory: environments/dev
        run: terraform plan -var-file=terraform.tfvars -out=tfplan

      - name: Terraform Apply (on push only)
        if: github.event_name == 'push'
        working-directory: environments/dev
        run: terraform apply -auto-approve tfplan

Đối với staging/prod, thêm cổng phê duyệt và vai trò IAM nghiêm ngặt hơn.

Cài Đặt Nhiều Môi Trường

Sử dụng các thư mục và backend trạng thái riêng biệt:

├── environments/
│   ├── dev/
│   ├── staging/
│   └── prod/
├── modules/
└── .github/workflows/

Mỗi môi trường:

• Có terraform.tfvars + backend.tfvars riêng.
• Có bucket S3 + bảng khóa DynamoDB riêng.
• Phân lập vai trò thông qua IAM.

Tại Sao Điều Này Quan Trọng

Đối với các kỹ sư: cấu trúc này loại bỏ độ trôi của môi trường và làm cho việc triển khai hạ tầng có thể tái tạo.
Đối với các nhà quản lý: nó giảm rủi ro thông tin xác thực, ngăn chặn chi phí bất ngờ và tạo ra một dấu vết kiểm toán rõ ràng.

Các Thực Hành Tốt Nhất

• Sử dụng OIDC: Đảm bảo không dựa vào thông tin xác thực lâu dài.
• Thường xuyên kiểm tra chi phí: Tích hợp ước tính chi phí vào quy trình xem xét mã.
• Cách ly môi trường: Luôn sử dụng các thư mục riêng cho từng môi trường.

Những Cạm Bẫy Thường Gặp

• Quên cập nhật tài nguyên: Luôn kiểm tra và duy trì tài nguyên cần thiết.
• Thiếu kiểm tra an ninh: Đảm bảo rằng có các bước kiểm tra an ninh trong pipeline.

Mẹo Tối Ưu Hiệu Suất

• Tối ưu hóa tài nguyên: Sử dụng Terraform để giảm thiểu chi phí vận hành.
• Theo dõi hiệu suất: Sử dụng các công cụ giám sát để theo dõi hiệu suất của các tài nguyên.

Kết luận

Việc triển khai CI/CD cho hạ tầng không chỉ giúp tự động hóa quy trình mà còn tăng cường bảo mật và giảm thiểu rủi ro tài chính. Thực hiện tốt các thực hành này sẽ giúp bạn xây dựng một hệ thống hạ tầng vững chắc và hiệu quả. Nếu bạn đang tìm kiếm cách để cải thiện quy trình của mình, hãy bắt đầu áp dụng những gì đã học được từ bài viết này ngay hôm nay!