今時の現場では、管理対象のリソースの大半はIaC(Infrastructure as a Code)化されており、 
PRを契機にリソースのプロビジョニングを行うように綺麗に管理されている現場も多いかと思います。
一方で、前任のインフラ担当がリソースをIaC化せずに退職してしまったような荒れた現場や、 
あるいはIaC化が浸透しきっておらず、部署によっては担当者がWebコンソールを介してリソースを作ってしまっているような現場もまだまだ存在します。
通常、そのような現場の場合、コード管理されていない野良リソースの追跡は困難を極めますが、 
それを手助けするツールとして、driftctlというツールが登場しました。
<h2 id="driftctl%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#driftctl%E3%81%A8%E3%81%AF" aria-hidden="true"></a> driftctlとは</h2>
driftctlは、IaC化されていない野良リソース——driftctlの文脈で言うところのDrift——を検知するツールです。
<iframe id="zenn-embedded__77bab4cda4a5" src="https://embed.zenn.studio/card#zenn-embedded__77bab4cda4a5" data-content="https%3A%2F%2Fgithub.com%2Fcloudskiff%2Fdriftctl" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/cloudskiff/driftctl" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/cloudskiff/driftctl</a>
また、厳密には異なりますが、Terraformと実際のクラウドの状態との差分を検知するツールとも言い換えられます。 
主な特徴としては、次の通りです。
<ul>
<li>IaCと実際のクラウド上のリソースを比較し、差分を分析</li>
<li>IaCで管理されていない、あるいは不要なリソースを警告</li>
<li>検知対象リソースのフィルタリング
<ul>
<li>例: S3のバケットのみ差分を監視</li>
</ul>
</li>
<li>複数の出力フォーマットに対応</li>
</ul>
理解するにはハンズオンした方が早いので、早速触ってみましょう。
<h2 id="%E7%92%B0%E5%A2%83">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 環境</h2>
<ul>
<li>AWS
<ul>
<li>リージョン: ap-northeast-1</li>
</ul>
</li>
<li>Terraform: v0.14.4</li>
<li>driftctl: v0.2.3</li>
</ul>
<h2 id="%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B3">
<a class="header-anchor-link" href="#%E3%83%8F%E3%83%B3%E3%82%BA%E3%82%AA%E3%83%B3" aria-hidden="true"></a> ハンズオン</h2>
今回は、必要な権限を付与したIAMユーザーのCloudShell上でハンズオンを行います。 
必要な権限や認証については、<a href="https://github.com/cloudskiff/driftctl/blob/main/doc/cmd/scan/supported_resources/aws.md" target="_blank" rel="nofollow noopener noreferrer">こちら</a>を参考にして準備してください。
<ul>
<li>Webコンソール上でリージョンがap-northeast-1に設定されていることを確認</li>
<li>画面右上のアイコンをクリックし、CloudShellが起動されるまで待機</li>
</ul>
プロビジョニングに数分かかります。
<ul>
<li>CloudShellが起動したら、Terraformをインストール</li>
</ul>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ sudo yum install -y yum-utils &amp;&amp; \
sudo yum-config-manager --add-repo https://rpm.releases.hashicorp.com/AmazonLinux/hashicorp.repo &amp;&amp; \
sudo yum -y install terraform-0.14.4-1
</code></pre></div><ul>
<li>driftctlをインストール</li>
</ul>
driftctlも例によってGo言語製なので、シングルバイナリを配置するだけでインストールが可能です。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ curl -L https://github.com/cloudskiff/driftctl/releases/download/v0.2.3/driftctl_linux_amd64 -o driftctl &amp;&amp; \
sudo mv driftctl /usr/local/bin/ &amp;&amp; \
sudo chmod +x /usr/local/bin/driftctl
</code></pre></div><ul>
<li>ツール類のインストール確認</li>
</ul>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform version
Terraform v0.14.4
$ driftctl version 
v0.2.3
</code></pre></div><ul>
<li>試しにdriftctlを実行</li>
</ul>
本来、<code>driftctl scan</code>コマンドを実行するとクラウドプロバイダーとの差分が表示されますが、 
デフォルトだとカレントディレクトリ内のtfstateとの差分を見る設定になっているため、 
次のように怒られます。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ driftctl scan
Scanning AWS on region: ap-northeast-1
(省略)
open terraform.tfstate: no such file or directory
</code></pre></div>よって、一度Terraformによるプロビジョニングから行います。
<ul>
<li>作業用ディレクトリを作成</li>
</ul>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ mkdir terraform &amp;&amp; cd $_
</code></pre></div><ul>
<li>EC2作成用の最小限のtfファイルを作成</li>
</ul>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ cat &lt;&lt; EOF &gt; ec2.tf
provider "aws" {
 region = "ap-northeast-1"
}

resource "aws_instance" "driftsandbox" {
 count = 1
 ami = "ami-785c491f"
 instance_type = "t2.micro"
}
EOF
</code></pre></div><ul>
<li>初回プロビジョニング</li>
</ul>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform init
$ terraform plan
$ terraform apply
</code></pre></div>特に説明不要かと思われますが、<code>terraform apply</code>後に以下のように表示されたらOKです。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">Apply complete! Resources: 1 added, 0 changed, 0 destroyed.
</code></pre></div><ul>
<li>再スキャン</li>
</ul>
改めて<code>driftctl scan</code>を実行します。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ driftctl scan
Scanning AWS on region: ap-northeast-1
Found 2 resource(s)
 - 100% coverage
Congrats! Your infrastructure is fully in sync.
</code></pre></div>今回の環境では、元々野良リソースが存在しない環境であり、 
Terraformによって構築されたEC2しか存在しないため、100% coverageと表示されました。 
これが理想の状態となりますが、これでは面白くないので、わざと手動でEC2を構築します。
<ul>
<li>手動でEC2を構築</li>
</ul>
<div class="code-block-container"><pre><code>AMI: Amazon Linux2(x86)
タイプ: t2.micro
セキュリティグループ: default
キーペア: キーペアなしで続行
</code></pre></div><ul>
<li>再々スキャン</li>
</ul>
Driftを作成した状態だと、今度は50% coverageと表示されました。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ driftctl scan
Scanning AWS on region: ap-northeast-1
Found unmanaged resources:
 aws_instance:
 - i-0be9f168de9a1458d
 aws_ebs_volume:
 - vol-0e8325b5a348adb81
Found 4 resource(s)
 - 50% coverage
 - 2 covered by IaC
 - 2 not covered by IaC
 - 0 deleted on cloud provider
 - 0/2 drifted from IaC
</code></pre></div>また、どのリソースがunmanaged resourceかを分かりやすく表示してくれています。
<ul>
<li>スキャン対象のフィルタリング</li>
</ul>
先ほどのスキャンでは、EC2と付随するEBSの差分のどちらも表示されましたが、例えばEC2だけチェックしておきたい場合は、 
次のようにTerraformのリソース名でフィルタリングすることも可能です。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ driftctl scan --filter "Type=='aws_instance'"
Scanning AWS on region: ap-northeast-1
Found unmanaged resources:
 aws_instance:
 - i-0be9f168de9a1458d
Found 2 resource(s)
 - 50% coverage
 - 1 covered by IaC
 - 1 not covered by IaC
 - 0 deleted on cloud provider
 - 0/1 drifted from IaC
</code></pre></div>複雑なフィルタリングを行うことも可能なので、気になった方は<a href="https://github.com/cloudskiff/driftctl/blob/main/doc/cmd/scan/filter.md" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a>を覗いてみると良いかと思います。
<ul>
<li>スキャンの出力フォーマットの変更</li>
</ul>
最後に、スキャン結果の出力フォーマットを変更してみます。 
v0.2.3現在では、デフォルトのConsole形式とJSONをサポートしているので、 
試しにJSONに変更してみます。 
変更方法は2つあり、環境変数のDCTL_OUTPUTか、あるいは --output(-o) オプションのいずれかで指定が可能です。
今回は、後者のオプションで指定してみます。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ driftctl scan -o json://scan.json
Scanning AWS on region: ap-northeast-1
$ cat scan.json 
{
 "summary": {
 "total_resources": 4,
 "total_drifted": 0,
 "total_unmanaged": 2,
 "total_deleted": 0,
 "total_managed": 2
 },
 "managed": [
 {
 "id": "vol-073238016dbe56a0a",
 "type": "aws_ebs_volume"
 },
 {
 "id": "i-00e3af30d0ce7b997",
 "type": "aws_instance"
 }
 ],
 "unmanaged": [
 {
 "id": "vol-0e8325b5a348adb81",
 "type": "aws_ebs_volume"
 },
 {
 "id": "i-0be9f168de9a1458d",
 "type": "aws_instance"
 }
 ],
 "deleted": null,
 "differences": null,
 "coverage": 50
}
</code></pre></div>このように、任意の形式でスキャン結果を書き出すことも可能です。
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
このように、driftctlを使用すれば、簡単に野良リソースを発見することが可能です。 
荒れている現場はもちろんですが、すでに綺麗な現場であっても、今ある状態がDesiredであることを監査し続けるために、導入してみるのも良さそうです。
また、Terraformerのような既存のクラウドリソースをIaC化するツールとの違いですが、 
driftctlは検知に特化しているため、ガバナンスチェックはdriftctl、実際のIaC化はTerraformerのように住み分けされていくと考えられます。
まだベータ版ということもあり、v0.2.3現在のIaCソースとしてはTerraform、クラウドプロバイダーとしてはAWSのサポートのみですが、 
すでに2021年のロードマップの中にAzureとGCPも組み込まれているので、この先の発展に期待できそうです。
<h2 id="%E8%BF%BD%E8%A8%98">
<a class="header-anchor-link" href="#%E8%BF%BD%E8%A8%98" aria-hidden="true"></a> 追記</h2>
driftctl公式から当記事についてコメントを頂き、とても嬉しかったので貼っておきます。
<iframe id="zenn-embedded__2d1751a150d81" src="https://embed.zenn.studio/tweet#zenn-embedded__2d1751a150d81" data-content="https%3A%2F%2Ftwitter.com%2Fgetdriftctl%2Fstatus%2F1352268750599434241%3Fs%3D20" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://twitter.com/getdriftctl/status/1352268750599434241?s=20" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://twitter.com/getdriftctl/status/1352268750599434241?s=20</a>
<h2 id="%E9%96%A2%E9%80%A3%E8%A8%98%E4%BA%8B">
<a class="header-anchor-link" href="#%E9%96%A2%E9%80%A3%E8%A8%98%E4%BA%8B" aria-hidden="true"></a> 関連記事</h2>
<iframe id="zenn-embedded__360dd0d94031d" src="https://embed.zenn.studio/card#zenn-embedded__360dd0d94031d" data-content="https%3A%2F%2Fzenn.dev%2Fgosarami%2Farticles%2F0ac4133fb1a49d0db211" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://zenn.dev/gosarami/articles/0ac4133fb1a49d0db211" style="display:none" target="_blank">https://zenn.dev/gosarami/articles/0ac4133fb1a49d0db211</a>

IaC化されていないリソースをdriftctlで検知する

Discussion