# 部署云应用策略组 ## 应用场景 华为云云桌面(Workspace)是一种基于云计算的桌面虚拟化服务,为企业用户提供安全、便捷的云上办公解决方案。云应用策略组是Workspace服务中云应用功能的重要组成部分,用于为云应用组配置统一的管理策略,包括客户端行为控制、会话管理、安全策略等。 通过云应用策略组,企业可以实现对云应用的精细化管理和安全控制,包括自动重连间隔、会话持久化时间、禁止截屏等策略配置。策略组支持按优先级应用,可以针对不同的应用组或所有应用组设置不同的策略,满足企业多样化的管理需求。本最佳实践将介绍如何使用Terraform自动化部署Workspace云应用策略组,包括云应用服务器组创建、云应用组创建和策略组配置。 ## 相关资源/数据源 本最佳实践涉及以下主要资源和数据源: ### 数据源 * [Workspace服务查询数据源(data.huaweicloud\_workspace\_service)](https://registry.terraform.io/providers/huaweicloud/huaweicloud/latest/docs/data-sources/workspace_service) ### 资源 * [Workspace应用服务器组资源(huaweicloud\_workspace\_app\_server\_group)](https://registry.terraform.io/providers/huaweicloud/huaweicloud/latest/docs/resources/workspace_app_server_group) * [Workspace应用组资源(huaweicloud\_workspace\_app\_group)](https://registry.terraform.io/providers/huaweicloud/huaweicloud/latest/docs/resources/workspace_app_group) * [Workspace应用策略组资源(huaweicloud\_workspace\_app\_policy\_group)](https://registry.terraform.io/providers/huaweicloud/huaweicloud/latest/docs/resources/workspace_app_policy_group) ### 资源/数据源依赖关系 ``` data.huaweicloud_workspace_service.test └── huaweicloud_workspace_app_server_group.test └── huaweicloud_workspace_app_group.test └── huaweicloud_workspace_app_policy_group.test ``` ## 操作步骤 ### 1. 脚本准备 在指定工作空间中准备好用于编写当前最佳实践脚本的TF文件(如main.tf),确保其中(也可以是其他同级目录下的TF文件)包含部署资源所需的provider版本声明和华为云鉴权信息。 配置介绍参考[部署华为云资源前的准备工作](https://hcbp.gitbook.io/hua-wei-yun-provider/chan-pin-jie-shao/prepare_before_deploy)一文中的介绍。 ### 2. 通过数据源查询Workspace服务信息 在TF文件(如main.tf)中添加以下脚本以告知Terraform进行一次数据源查询,其查询结果用于创建云应用服务器组: ```hcl # 获取指定region(region参数缺省时默认继承当前provider块中所指定的region)下所有的Workspace服务信息,用于创建云应用服务器组 data "huaweicloud_workspace_service" "test" {} ``` **参数说明**: * 该数据源无需额外参数,会自动查询当前region下的Workspace服务信息 ### 3. 创建Workspace云应用服务器组 在TF文件(如main.tf)中添加以下脚本以告知Terraform创建云应用服务器组资源: ```hcl variable "app_server_group_name" { description = "云应用服务器组的名称" type = string } variable "app_server_group_app_type" { description = "云应用服务器组的应用类型" type = string default = "SESSION_DESKTOP_APP" } variable "app_server_group_os_type" { description = "云应用服务器组的操作系统类型" type = string default = "Windows" } variable "app_server_group_flavor_id" { description = "云应用服务器组的规格ID" type = string } variable "app_server_group_image_id" { description = "云应用服务器组的镜像ID" type = string } variable "app_server_group_image_product_id" { description = "云应用服务器组的镜像产品ID" type = string } variable "app_server_group_system_disk_type" { description = "云应用服务器组的系统盘类型" type = string default = "SAS" } variable "app_server_group_system_disk_size" { description = "云应用服务器组的系统盘大小(GB)" type = number default = 80 validation { condition = var.app_server_group_system_disk_size >= 40 && var.app_server_group_system_disk_size <= 2048 error_message = "系统盘大小必须在40到2048 GB之间。" } } # 在指定region(region参数缺省时默认继承当前provider块中所指定的region)下创建Workspace云应用服务器组资源 resource "huaweicloud_workspace_app_server_group" "test" { name = var.app_server_group_name app_type = var.app_server_group_app_type os_type = var.app_server_group_os_type flavor_id = var.app_server_group_flavor_id image_type = "gold" image_id = var.app_server_group_image_id image_product_id = var.app_server_group_image_product_id vpc_id = data.huaweicloud_workspace_service.test.vpc_id subnet_id = try(data.huaweicloud_workspace_service.test.network_ids[0], null) system_disk_type = var.app_server_group_system_disk_type system_disk_size = var.app_server_group_system_disk_size is_vdi = true } ``` **参数说明**: * **name**:云应用服务器组的名称,通过引用输入变量 `app_server_group_name` 进行赋值 * **app\_type**:应用类型,通过引用输入变量 `app_server_group_app_type` 进行赋值,默认为"SESSION\_DESKTOP\_APP" * **os\_type**:操作系统类型,通过引用输入变量 `app_server_group_os_type` 进行赋值,默认为"Windows" * **flavor\_id**:规格ID,通过引用输入变量 `app_server_group_flavor_id` 进行赋值 * **image\_type**:镜像类型,固定设置为"gold"(黄金镜像) * **image\_id**:镜像ID,通过引用输入变量 `app_server_group_image_id` 进行赋值 * **image\_product\_id**:镜像产品ID,通过引用输入变量 `app_server_group_image_product_id` 进行赋值 * **vpc\_id**:VPC ID,根据Workspace服务查询数据源(data.huaweicloud\_workspace\_service)的返回结果进行赋值 * **subnet\_id**:子网ID,根据Workspace服务查询数据源(data.huaweicloud\_workspace\_service)的返回结果进行赋值 * **system\_disk\_type**:系统盘类型,通过引用输入变量 `app_server_group_system_disk_type` 进行赋值,默认为"SAS" * **system\_disk\_size**:系统盘大小,通过引用输入变量 `app_server_group_system_disk_size` 进行赋值,默认为80GB * **is\_vdi**:是否为VDI模式,固定设置为true ### 4. 创建Workspace云应用组 在TF文件中添加以下脚本以告知Terraform创建云应用组资源: ```hcl variable "app_group_name" { description = "云应用组的名称" type = string } # 在指定region(region参数缺省时默认继承当前provider块中所指定的region)下创建Workspace云应用组资源 resource "huaweicloud_workspace_app_group" "test" { depends_on = [huaweicloud_workspace_app_server_group.test] server_group_id = huaweicloud_workspace_app_server_group.test.id name = var.app_group_name type = "SESSION_DESKTOP_APP" description = "Created APP group by Terraform" } ``` **参数说明**: * **depends\_on**:显式依赖声明,确保云应用服务器组创建完成后再创建云应用组 * **server\_group\_id**:云应用服务器组的ID,引用前面创建的云应用服务器组资源的ID * **name**:云应用组的名称,通过引用输入变量 `app_group_name` 进行赋值 * **type**:云应用组的类型,固定设置为"SESSION\_DESKTOP\_APP"表示会话桌面应用组 * **description**:云应用组的描述,固定设置为"Created APP group by Terraform" ### 5. 创建Workspace云应用策略组 在TF文件中添加以下脚本以告知Terraform创建云应用策略组资源: ```hcl variable "policy_group_name" { description = "策略组的名称" type = string } variable "policy_group_priority" { description = "策略组的优先级" type = number default = 1 } variable "policy_group_description" { description = "策略组的描述" type = string default = "Created APP policy group by Terraform" } variable "target_type" { description = "策略组的目标类型" type = string default = "APPGROUP" validation { condition = contains(["APPGROUP", "ALL"], var.target_type) error_message = "target_type必须是'APPGROUP'或'ALL'。" } } variable "automatic_reconnection_interval" { description = "自动重连间隔(分钟)" type = number default = 10 validation { condition = var.automatic_reconnection_interval >= 1 && var.automatic_reconnection_interval <= 60 error_message = "自动重连间隔必须在1到60分钟之间。" } } variable "session_persistence_time" { description = "会话持久化时间(分钟)" type = number default = 120 validation { condition = var.session_persistence_time >= 1 && var.session_persistence_time <= 1440 error_message = "会话持久化时间必须在1到1440分钟之间。" } } variable "forbid_screen_capture" { description = "是否禁止截屏" type = bool default = true } # 在指定region(region参数缺省时默认继承当前provider块中所指定的region)下创建Workspace云应用策略组资源 resource "huaweicloud_workspace_app_policy_group" "test" { depends_on = [huaweicloud_workspace_app_group.test] name = var.policy_group_name priority = var.policy_group_priority description = var.policy_group_description targets { id = var.target_type == "APPGROUP" ? huaweicloud_workspace_app_group.test.id : "default-apply-all-targets" name = var.target_type == "APPGROUP" ? huaweicloud_workspace_app_group.test.name : "All-Targets" type = var.target_type } policies = jsonencode({ "client": { "automatic_reconnection_interval": var.automatic_reconnection_interval, "session_persistence_time": var.session_persistence_time, "forbid_screen_capture": var.forbid_screen_capture } }) } ``` **参数说明**: * **depends\_on**:显式依赖声明,确保云应用组创建完成后再创建策略组 * **name**:策略组的名称,通过引用输入变量 `policy_group_name` 进行赋值 * **priority**:策略组的优先级,通过引用输入变量 `policy_group_priority` 进行赋值,默认为1,数值越小优先级越高 * **description**:策略组的描述,通过引用输入变量 `policy_group_description` 进行赋值,默认为"Created APP policy group by Terraform" * **targets**:策略组的目标配置块 * **id**:目标ID,如果目标类型为"APPGROUP"则使用云应用组的ID,否则使用"default-apply-all-targets"表示应用于所有目标 * **name**:目标名称,如果目标类型为"APPGROUP"则使用云应用组的名称,否则使用"All-Targets" * **type**:目标类型,通过引用输入变量 `target_type` 进行赋值,默认为"APPGROUP"表示应用于指定应用组,"ALL"表示应用于所有目标 * **policies**:策略配置,使用jsonencode函数将策略配置编码为JSON字符串 * **client.automatic\_reconnection\_interval**:客户端自动重连间隔(分钟),通过引用输入变量 `automatic_reconnection_interval` 进行赋值,默认为10分钟 * **client.session\_persistence\_time**:会话持久化时间(分钟),通过引用输入变量 `session_persistence_time` 进行赋值,默认为120分钟 * **client.forbid\_screen\_capture**:是否禁止截屏,通过引用输入变量 `forbid_screen_capture` 进行赋值,默认为true > 注意:策略组支持按优先级应用,当多个策略组应用于同一目标时,优先级高的策略组会覆盖优先级低的策略组。策略配置使用JSON格式,可以通过jsonencode函数将HCL对象转换为JSON字符串。 ### 6. 预设资源部署所需的入参(可选) 本实践中,部分资源、数据源使用了输入变量对配置内容进行赋值,这些输入参数在后续部署时需要手工输入。 同时,Terraform提供了通过`tfvars`文件预设这些配置的方法,可以避免每次执行时重复输入。 在工作目录下创建`terraform.tfvars`文件,示例内容如下: ```hcl # 云应用服务器组配置 app_server_group_name = "tf_test_server_group" app_server_group_app_type = "SESSION_DESKTOP_APP" app_server_group_os_type = "Windows" app_server_group_flavor_id = "workspace.appstream.general.xlarge.4" app_server_group_image_id = "2ac7b1fb-b198-422b-a45f-61ea285cb6e7" app_server_group_image_product_id = "OFFI886188719633408000" app_server_group_system_disk_type = "SAS" app_server_group_system_disk_size = 80 # 云应用组配置 app_group_name = "tf_test_app_group" # 策略组配置 policy_group_name = "tf_test_policy_group" ``` **使用方法**: 1. 将上述内容保存为工作目录下的`terraform.tfvars`文件(该文件名可使用户在执行terraform命令时自动导入该`tfvars`文件中的内容,其他命名则需要在tfvars前补充`.auto`定义,如`variables.auto.tfvars`) 2. 根据实际需要修改参数值 3. 执行`terraform plan`或`terraform apply`时,Terraform会自动读取该文件中的变量值 除了使用`terraform.tfvars`文件外,还可以通过以下方式设置变量值: 1. 命令行参数:`terraform apply -var="app_server_group_name=my-server-group" -var="app_group_name=my-app-group"` 2. 环境变量:`export TF_VAR_app_server_group_name=my-server-group` 3. 自定义命名的变量文件:`terraform apply -var-file="custom.tfvars"` > 注意:如果同一个变量通过多种方式进行设置,Terraform会按照以下优先级使用变量值:命令行参数 > 变量文件 > 环境变量 > 默认值。 ### 7. 初始化并应用Terraform配置 完成以上脚本配置后,执行以下步骤来创建资源: 1. 运行 `terraform init` 初始化环境 2. 运行 `terraform plan` 查看资源创建计划 3. 确认资源计划无误后,运行 `terraform apply` 开始创建云应用服务器组、云应用组和云应用策略组 4. 运行 `terraform show` 查看已创建的云应用策略组详情 ## 参考信息 * [华为云Workspace产品文档](https://support.huaweicloud.com/workspace/index.html) * [华为云Provider文档](https://registry.terraform.io/providers/huaweicloud/huaweicloud/latest/docs) * [Workspace云应用策略组最佳实践源码参考](https://github.com/huaweicloud/terraform-provider-huaweicloud/tree/master/examples/workspace/app/policy_group)