Terraform 0.11：无法将动态安全组添加到 aws 实例

Question

在 ec2 实例模块中，我有几个安全组，一个来自变量，另一个在模块中创建。我有一种情况，需要在来自该模块的 terraform 文件中添加新的安全组。

为了能够连接一个新列表，我想将现有的 format1 转换为一个我无法做到的显式列表。我怎样才能做到这一点？

resource "aws_instance" "instance" {
//...
# (current)format1: Works
vpc_security_group_ids = ["${aws_security_group.secGrp_1.id}", "${var.secGrp_2}"] 

# format2: Doesn't work
vpc_security_group_ids = "${list(aws_security_group.secGrp_1.id, var.secGrp_2)}"

# format3: Works
vpc_security_group_ids = "${list(var.secGrp_2)}"

# format3: Doesn't works
vpc_security_group_ids = "${list(tostring(aws_security_group.secGrp_1.id), var.secGrp_2)}"

Format2 失败并显示：“vpc_security_group_ids：应该是一个列表”。 我怀疑 secGrp1 id 在此表示中未被识别为字符串。

Format4 失败并显示：“未知函数调用：tostring in: ${(list(tostring(aws_security_group.secGrp_1.id), var.secGrp_2))}"

P.S：我们使用的 Terraform 版本是 0.11.x

Answer 1

Terraform v0.11 在表达式评估期间无法表示部分未知的列表。在初始创建时，aws_security_group.secGrp_1.id 将是未知的，因此将其传递给 list 函数将产生一个完全未知的值，该值不能用作列表参数的值。

这是 Terraform v0.12 解决的各种与表达式语言相关的问题之一。在 Terraform v0.12 中，与您的第二个等效的以下表达式应该可以工作：

  vpc_security_group_ids = [
    aws_security_group.secGrp_1.id,
    var.secGrp_2,
  ]

要使用 Terraform v0.11 获得预期结果，需要分两个阶段应用此配置，以便 Terraform 可以在评估 aws_instance.instance 之前知道 aws_security_group.secGrp_1.id 的值：

1. terraform apply -target=aws_security_group.secGrp_1 仅应用该资源及其依赖的其他资源。
2. 然后只需 terraform apply 即可应用其他所有内容，包括 aws_instance.instance。