以前、IaCでREST APIを設定するための要素やデプロイ方法について書きました。
記事内にも記載していますが、実際はTerraformやCloudFormationでAPI Gatewayをすべて構築することは少ないのではないかと思います。
今回は、Terraformで構築したREST APIに対してServerless Frameworkからデプロイを行いたいと思います。
誰が何を使ってAPI Gatewayを管理するか
API Gatewayをもっとも簡単に構築する方法はServerless Frameworkにすべて任せてしまうことだと思います。
しかし、以下のような理由からログ出力等の煩雑な設定を実施する人がいない場合があります。
- 開発担当者は機能実装に忙しいし、何を設定すればいいのか分からない
- インフラ担当者はServerless Frameworkについて知識がない
また、デプロイされるまでapi-idが分からないため、カスタムドメインやAWS WAFとの連携が設定できません。
これらもServerless Frameworkで実装可能ですが、上のように実施する人をさらに選ぶようになると思います。
そこで、今回はなるべくTerraform側に設定を寄せていきます。
作成するリソースの境界
API GatewayをTerraformで作るときでも、デプロイはServerless Frameworkで実施するのが適切です。その上で、ログ出力の設定等はTerraformで実施したいと思います。
前の記事で説明したとおり、ログ出力の設定はステージ(aws_api_gateway_stage
)にあります。
しかし、aws_api_gateway_stage
を作るためにはデプロイメント(aws_api_gateway_deployment
)が必要です。
そこで、今回紹介するのは以下の構成です。
- TerraformでREST APIと最初のデプロイメントを作成する
- ダミーのAPIを定義
aws_api_gateway_stage
のdeployment_id
は変更を検知しないようにする
- Serverless Frameworkで上記のREST APIを指定してデプロイする
- Serverless FrameworkはREST APIを作成しなくなる
- デプロイで
StageName
の指定されたAWS::ApiGateway::Deployment
が作成される - ステージの参照先デプロイメントも更新される
次から実際の設定を見ていきます。
Terraformの設定
まずTerraformのリソースを作成します。
実際に動作するメソッドがないとデプロイでエラーになるため、/staticcheck
というリソースにGETメソッドを作成しています。
Serverless Frameworkのデプロイ先はルート(/
)でもいいのですが、今回はTerraformで用意した/api
以下にデプロイします。
まず始めに、REST APIの作成とデプロイ先のリソースを作成するコードです。
# REST API resource "aws_api_gateway_rest_api" "api" { name = "test-api" } # /apiリソース resource "aws_api_gateway_resource" "api" { path_part = "api" rest_api_id = aws_api_gateway_rest_api.api.id parent_id = aws_api_gateway_rest_api.api.root_resource_id }
次に、/staticcheck
を作成するコードです。
最後のaws_api_gateway_integration_response
リソースに応答内容が定義されています。
# ダミー用statickcheck API resource "aws_api_gateway_resource" "staticcheck" { path_part = "staticcheck" rest_api_id = aws_api_gateway_rest_api.api.id parent_id = aws_api_gateway_rest_api.api.root_resource_id } resource "aws_api_gateway_method" "staticcheck_get" { rest_api_id = aws_api_gateway_resource.staticcheck.rest_api_id resource_id = aws_api_gateway_resource.staticcheck.id http_method = "GET" authorization = "NONE" } resource "aws_api_gateway_method_response" "staticcheck_get_200" { rest_api_id = aws_api_gateway_method.staticcheck_get.rest_api_id resource_id = aws_api_gateway_method.staticcheck_get.resource_id http_method = aws_api_gateway_method.staticcheck_get.http_method status_code = "200" } resource "aws_api_gateway_integration" "staticcheck_get" { rest_api_id = aws_api_gateway_method.staticcheck_get.rest_api_id resource_id = aws_api_gateway_method.staticcheck_get.resource_id http_method = aws_api_gateway_method.staticcheck_get.http_method type = "MOCK" passthrough_behavior = "WHEN_NO_TEMPLATES" request_templates = { "application/json" = jsonencode({ statusCode = 200 }) } } resource "aws_api_gateway_integration_response" "staticcheck_get_200" { rest_api_id = aws_api_gateway_method.staticcheck_get.rest_api_id resource_id = aws_api_gateway_method.staticcheck_get.resource_id http_method = aws_api_gateway_method.staticcheck_get.http_method status_code = aws_api_gateway_method_response.staticcheck_get_200.status_code response_templates = { "application/json" = jsonencode({ deployed = true }) } }
そして、これらをデプロイしてステージを設定するためのコードです。
# 初期デプロイ+ステージ resource "aws_api_gateway_deployment" "first" { rest_api_id = aws_api_gateway_rest_api.api.id description = "infra empty deployment" depends_on = [ aws_api_gateway_integration.staticcheck_get, aws_api_gateway_integration_response.staticcheck_get_200 ] } resource "aws_api_gateway_stage" "stage" { deployment_id = aws_api_gateway_deployment.first.id rest_api_id = aws_api_gateway_rest_api.api.id stage_name = var.env description = "${var.env} created by Terraform." lifecycle { ignore_changes = [ deployment_id, ] } }
上記ではステージの設定は入れていないの状態ですが、必要に応じてログ出力等の設定を入れていきます。
ここでポイントは、以下の2点です。
aws_api_gateway_deployment
のdepends_on
を定義するaws_api_gateway_stage
のignore_changes
にdeployment_id
を指定する
最初のdepends_on
の定義は、リソースの作成が完了する前にデプロイメント作成が走るのを防ぐためです。
デプロイメントはリソースやメソッドと依存関係を持たないので、実行順序を明示しています。
(デプロイはServerless Frameworkでコントロールしたいため、triggers
は定義していません)
次のignore_changes
の指定は、deployment_id
の変更を無視するように設定しています。
Serverless Frameworkのデプロイでステージの参照先デプロイメント(deployment_id
)が更新されるため、Terraformがそれを変更として検知しないようにします。
リソースの作成はここまでですが、最後にServerless Frameworkに渡す必要のある値をoutput
します。
output "apigw_api_id" { value = aws_api_gateway_rest_api.api.id } output "apigw_api_resource_id" { value = aws_api_gateway_resource.api.id }
REST APIのID(上記apigw_api_id
)とデプロイ先リソースのID(上記apigw_api_resource_id
)になります。
serverless.yml等に直接書かずCodeBuildの変数として渡す場合は、output
ではなく直接CodeBuildの変数等に設定してください。
また、ルートリソース(/
)にデプロイする場合は、apigw_api_resource_id
はaws_api_gateway_rest_api.api.root_resource_id
になります。
serverless.ymlの設定
serverless.ymlの設定に、上で作成したAPI Gatewayを設定します。
特別に必要な設定は以下の箇所のみです。
provider: apiGateway: restApiId: "<<REST APIのID(Terraformでoutputとしたapigw_api_id)>>" restApiRootResourceId: "<<リソースのID(Terraformでoutputとしたapigw_api_resource_id)>>"
restApiId
とrestApiRootResourceId
に、それぞれTerraformでoutputした内容を設定するだけです。
(ルート(/
)にデプロイする場合、restApiRootResourceId
は省略可能です)
あとは、REST APIのログ設定等を入れずに通常通りserverless.ymlの設定をおこなってください。
たとえば、以下のようになります。
service: apigwtest frameworkVersion: '3' provider: name: aws runtime: python3.9 stage: ${opt:stage, self:custom.defaultStage} region: ap-northeast-1 apiGateway: restApiId: xxxxxxxxxx restApiRootResourceId: yyyyyy package: individually: true excludeDevDependencies: true patterns: - '!**' custom: defaultStage: dev functions: test1: handler: functions/test/test.handler role: arn:aws:iam::123456789012:role/${self:provider.stage}-api-lambda-test disableLogs: true package: patterns: - functions/test/** events: - http: path: /test method: GET
これをデプロイすると、以下のようになります。赤いところがデプロイにより追加・変更されたところです。
restApiRootResourceId
に/api
のリソースIDを指定しているため、その下にリソースが作成されます。
デプロイの裏ではCloudFormationのAWS::ApiGateway::Deployment
リソースが作成されます。
このリソースにはStageName
が指定されているため、デプロイメントを作成するとともにステージの参照先デプロイを更新します。
これにより、Terraformで作成したステージの向き先デプロイメントが書き換えられ、Serverless Frameworkで作成したAPIもアクセス可能な状態になります。
(restApiRootResourceId
にルート以外のリソースIDを指定しているときはコマンド結果にあるURLのパスはずれてしまうようなのでご注意ください)
Lambda関数の定義
今回のテーマであるAPI Gatewayから少し外れますが、Lambda関数デプロイの話しも少し書いておきます。
先のserverless.ymlの例では以下のようにrole
とdisableLogs
を指定していました。
functions: test1: handler: functions/test/test.handler role: arn:aws:iam::123456789012:role/${self:provider.stage}-api-lambda-test disableLogs: true
role
はLambda関数が使うIAMロールで、disableLogs
はCloudWatch LogsのLogGroupを作らないようにする設定です。
いずれも、以下のような理由からTerraformで集中管理しています。
- 開発者にはなるべく機能の実装に集中してもらいたい
- セキュリティに関する設定はなるべく少人数で管理したい(開発者は人員の増減が多い)
- ログ保存期間等、運用に関する設定をなるべく近いところにまとめたい
API Gatewayと同じように、他のリソースもTerraformに寄せられる部分があるという例でした。
最後に
今回はTerraformで構築したAPI GatewayにServerless Frameworkからデプロイする方法について紹介しました。
どのリソースを誰が何を使って管理するか、その時の状況によって変わってくるかと思います。
Terraformに寄せて管理することはメリットも多いと思いますので、役割分担を決めるときには考えていいただければと思います。