Saltar al contenido principal
Esta infraestructura base incluye:
  • Network (VPC, subnets)
  • DNS
  • Database
  • Redis/Valkey
  • Clúster Kubernetes (EKS, GKE o AKS)
AtenciónLas plantillas de Midaz Terraform Foundation no incluyen MongoDB ni RabbitMQ. Estos servicios no se ofrecen consistentemente como servicios administrados en todos los principales proveedores de nube (AWS, GCP, Azure).

Por qué usarlo

Provisionar infraestructura no debería ser lento, inconsistente o propenso a errores. El midaz-terraform-foundation te ayuda a moverte rápido mientras te mantienes alineado con las mejores prácticas de Lerian para seguridad, observabilidad y escalabilidad. Así es como se compara con configuraciones manuales o ad-hoc:

Velocidad y estandarización

CriterioCon Midaz TerraformConfiguración manual / Scripts ad-hoc
Velocidad de configuraciónRápido – provisiona todo en minutos con un solo apply.Lento – toma días configurar y probar.
Estándar de arquitecturaEstandarizado – sigue las mejores prácticas de Lerian.Impredecible – puede ser inconsistente.
ReusabilidadAlta – soporta múltiples entornos con cambios mínimos.Baja – difícil de reutilizar entre proyectos.

Seguridad y observabilidad

CriterioCon Midaz TerraformConfiguración manual / Scripts ad-hoc
Seguridad por defecto – seguro por diseño (VPCs aisladas, IAM, secrets, etc.).No – depende del equipo, aumentando el riesgo de exposición.
Observabilidad incorporadaIncorporada – se integra con Prometheus, Grafana y más.Manual – requiere configuración separada, a menudo omitida.
¿Listo para producción? – alta disponibilidad y autoscaling desde el inicio.Incierto – necesita esfuerzo extra para endurecer.

Mantenimiento y soporte

CriterioCon Midaz TerraformConfiguración manual / Scripts ad-hoc
MantenibilidadFácil – modular y versionado para actualizaciones sin dolor.Difícil – los scripts se rompen fácilmente.
Soporte de LerianIncluido – verificado y soportado por Lerian.Ninguno – no garantizado.
Tiempo estimado de despliegue1 día – incluyendo validación.1–2 semanas – con mayor riesgo operacional.
Tip¿Buscas velocidad, confiabilidad y soporte a largo plazo?midaz-terraform-foundation te ayuda a desplegar más rápido, evitar errores comunes y escalar con confianza, todo respaldado por los estándares de ingeniería de Lerian.

Lo que necesitarás

Antes de comenzar, asegúrate de tener:
  • Terraform v1.0.0 o superior
  • Una cuenta de proveedor de nube (AWS, GCP o Azure).
  • Un bucket de almacenamiento para archivos de estado de Terraform.
  • La herramienta CLI para tu proveedor de nube:
    • aws para AWS
    • gcloud para GCP
    • az para Azure

Integración CI/CD

Este repositorio proporciona ejemplos de Terraform para desplegar infraestructura fundamental. No incluye un pipeline CI/CD. Necesitarás crear uno basado en las necesidades de tu proyecto. ¿Ya ejecutas un pipeline CI/CD de Terraform? Esto es lo que debes hacer:
1
Omite el script de despliegue; Está destinado solo para uso local.
2
Copia las configuraciones de ejemplo relevantes a tu repositorio privado de Infrastructure as Code
3
Integra las configuraciones de Terraform en tu pipeline según sea necesario
4
Usa la gestión de secretos incorporada de tu plataforma CI/CD para manejar credenciales de manera segura

Estructura del proyecto

El repositorio está diseñado con una estructura única para cada proveedor de nube. Esto significa que cada componente de la infraestructura está organizado para soportar un enfoque modular y controlado. Tienes la flexibilidad de desplegar solo lo que necesitas, o ir todo incluido con toda la base si lo prefieres. 
.
├── examples/
    ├── aws/
   ├── vpc/
   ├── route53/
   ├── rds/
   ├── valkey/
   └── eks/
    ├── gcp/
   ├── vpc/
   ├── cloud-dns/
   ├── cloud-sql/
   ├── valkey/
   └── gke/
    └── azure/
        ├── network/
        ├── dns/
        ├── database/
        ├── redis/
        └── aks/

El orden de despliegue importa

Para evitar errores y asegurar que todo se conecte correctamente, recomendamos desplegar componentes en esta secuencia:
  1. VPC / Network
  2. DNS
  3. Database
  4. Redis/Valkey
  5. Clúster Kubernetes

Creando el almacenamiento de estado

Terraform requiere un backend remoto para gestionar su estado. Para comenzar con estas plantillas, es esencial configurar primero un bucket de almacenamiento para los archivos de estado de Terraform.

AWS

No olvides reemplazar REGION y UNIQUE_BUCKET_NAME con tu información.
1

Crear un bucket S3

aws s3api create-bucket \
    --bucket UNIQUE_BUCKET_NAME \
    --region REGION \
    --create-bucket-configuration LocationConstraint=REGION
2

Habilitar versionado

aws s3api put-bucket-versioning \
    --bucket UNIQUE_BUCKET_NAME \
    --versioning-configuration Status=Enabled
3

Habilitar encriptación

aws s3api put-bucket-encryption \
    --bucket UNIQUE_BUCKET_NAME \
    --server-side-encryption-configuration \
    '{"Rules":[{"ApplyServerSideEncryptionByDefault":{"SSEAlgorithm":"AES256"}}]}'
4

Bloquear acceso público

aws s3api put-public-access-block \
    --bucket UNIQUE_BUCKET_NAME \
    --public-access-block-configuration \    '{"BlockPublicAcls":true,"IgnorePublicAcls":true,"BlockPublicPolicy":true,"RestrictPublicBuckets":true}'

Google Cloud Platform

1

Crear un bucket GCS

gsutil mb -l us-central1 gs://your-terraform-state-bucket
2

Habilitar versionado

gsutil versioning set on gs://your-terraform-state-bucket

Azure

1

Crear un grupo de recursos

az group create --name terraform-state-rg --location eastus
2

Crear una cuenta de almacenamiento

az storage account create --name tfstate$RANDOM --resource-group terraform-state-rg --sku Standard_LRS
3

Crear un contenedor

az storage container create --name terraform-state --account-name <storage-account-name>

Requisitos de configuración

  • Antes de desplegar la infraestructura, asegúrate de haber creado y configurado el archivo de variables para cada componente de nube:
1

Copiar el archivo de ejemplo

cd examples/<provider>/<component>
cp midaz.tfvars-example midaz.tfvars
2

Reemplazar todos los placeholders en el archivo `midaz.tfvars` con tus valores reales



i. Este archivo contiene la configuración clave para tu configuración de infraestructura.

Credenciales de producción y despliegue

Cuando se trata de desplegar infraestructura en entornos de producción, gestionar credenciales con cuidado es crucial para mantener la seguridad. Aquí hay una guía sobre cómo manejar credenciales de manera segura:

Autenticación del proveedor de nube

Al usar el script de despliegue localmente, recomendamos encarecidamente utilizar herramientas de autenticación CLI del proveedor de nube en lugar de credenciales en crudo. Este método es significativamente más seguro, ya que gestiona automáticamente la rotación de credenciales, MFA y la renovación de tokens por ti. ¿Por qué adoptar este enfoque?
  • Los tokens se renuevan automáticamente.
  • Integración MFA y SSO lista para usar.
  • Las credenciales se rotan y almacenan de manera segura.
  • Rastro de auditoría completo para eventos de autenticación.

AWS

Usa AWS CLI para asumir un rol. 
aws sso login --profile your-profile
o 
aws sts assume-role --role-arn arn:aws:iam::ACCOUNT_ID:role/ROLE_NAME --role-session-name terraform

GCP

Usa autenticación gcloud. 
gcloud auth application-default login
Para cuentas de servicio, usa el siguiente código: 
gcloud auth activate-service-account --key-file=path/to/service-account.json

Azure

Usa Azure CLI. 
az login
Para service principals, usa el siguiente código: 
az login --service-principal

Mejores prácticas de gestión de credenciales

Mantente seguro y cumple siguiendo la guía oficial de tu proveedor de nube:

Prácticas recomendadas

  • Rota credenciales en un cronograma regular.
  • Usa control de acceso basado en roles (RBAC) donde sea posible.
  • Requiere MFA para cuentas de usuario.
  • Prefiere credenciales temporales de corta duración.
  • Monitorea y audita cómo se usan las credenciales.
  • Nunca envíes credenciales al control de versiones.

Usando el script de despliegue

El script deploy.sh maneja la secuencia de configuración, resalta problemas en el camino y asegura que cada componente se despliegue en el orden correcto.

Lo que hace

  • Te permite elegir tu proveedor de nube (AWS, Azure o GCP).
  • Ofrece opciones para desplegar o destruir el stack.
  • Verifica que todos los placeholders de configuración del backend estén correctamente establecidos.
  • Ejecuta comandos de Terraform en el orden correcto para cada componente.
  • Produce logs claros y codificados por color para que sepas qué está sucediendo en cada paso.

Cómo usarlo

1
Asegúrate de que todos los prerequisitos estén completos y que tu bucket de estado remoto haya sido creado.
2
Completa todos los placeholders en los archivos backend.tf.
3

Hacer el script ejecutable

chmod +x deploy.sh
4

Ejecutar el script

./deploy.sh
5
Cuando se te solicite, selecciona tu proveedor de nube.
6

El script automáticamente



i. Verificará los placeholders restantes.
ii. Ejecutará terraform init, plan y apply para cada componente.
iii. Desplegará en el orden correcto y se detendrá si algo falla.

Manejo de errores

Construimos el script para fallar rápidamente y proporcionar una explicación. Si algo sale mal:
  • Se detendrá inmediatamente si encuentra placeholders que olvidaste completar.
  • Saldrá si algún comando de Terraform falla.
  • Te mostrará exactamente qué componente falló y en qué paso.

Instalando Midaz

Después de desplegar la infraestructura fundamental, puedes instalar Midaz usando Helm. Para más información, consulta la página Desplegando usando Helm.

Prerequisites

  • El clúster Kubernetes está activo y ejecutándose (EKS, GKE o AKS).
  • kubectl configurado para acceder al clúster.
  • Helm v3.x instalado.
  • Acceso al repositorio Helm de Midaz.

Pasos de instalación

1

Agregar el repositorio Helm de Midaz

helm repo add midaz https://lerianstudio.github.io/helm
helm repo update
2

Crear un archivo de valores (`values.yaml`) con tu configuración

# Example values.yaml
# Disable default dependencies
valkey:
  enabled: false

postgresql:
  enabled: false

## Configure external PostgreSQL
onboarding:
  configmap:
    DB_HOST: "postgresql.midaz.internal."
    DB_USER: "midaz"
    DB_PORT: "5432"
    DB_REPLICA_HOST: "postgresql-replica.midaz.internal."
    DB_REPLICA_USER: "midaz"
    DB_REPLICA_PORT: "5432"
    REDIS_HOST: "valkey.midaz.internal"
    REDIS_PORT: "6379"
  secrets:
    DB_PASSWORD: "<your-db-password>"
    DB_REPLICA_PASSWORD: "<your-replica-db-password>"
    REDIS_PASSWORD: "<your-redis-password>"

transaction:
  configmap:
    DB_HOST: "postgresql.midaz.internal."
    DB_USER: "midaz"
    DB_PORT: "5432"
    DB_REPLICA_HOST: "postgresql-replica.midaz.internal."
    DB_REPLICA_USER: "midaz"
    DB_REPLICA_PORT: "5432"
    REDIS_HOST: "valkey.midaz.internal"
    REDIS_PORT: "6379"
  secrets:
    DB_PASSWORD: "<your-db-password>"
    DB_REPLICA_PASSWORD: "<your-replica-db-password>"
    REDIS_PASSWORD: "<your-redis-password>"
3

Instalar Midaz

helm install midaz midaz/midaz -f values.yaml
Para opciones de configuración detalladas y configuración avanzada, consulta el Repositorio Helm de Midaz.

Consejos de seguridad

Usar la nube trae oportunidades fantásticas, pero también viene con responsabilidades importantes. Para ayudar a mantener tu infraestructura Midaz segura, recomendamos:
  • Siempre usa clústeres Kubernetes privados para limitar la exposición pública.
  • Accede a la API de Kubernetes vía VPN en lugar de permitir acceso público.
  • Configura y aplica RBAC (Role-Based Access Control) para gestionar permisos de usuario efectivamente.
  • Almacena todos los secretos en el servicio de gestión de secretos del proveedor de nube.
  • Da a las cuentas de servicio solo los permisos que realmente necesitan.

Contribuyendo

Antes de hacer cualquier cambio, necesitarás configurar hooks de Git. Esto ayuda a asegurar que cada commit siga nuestros estándares y pase las verificaciones requeridas.
1

Instalar los hooks de Git

make hooks
2

Crear una nueva rama de característica

git checkout -b feature/your-feature
3
Haz tus cambios y haz commit usando Conventional Commits.
4
Abre un pull request apuntando a la rama develop.
5
Una vez probado y aprobado, tus cambios se fusionarán en main.
Consulta nuestra Guía de contribución para aprender más sobre cómo trabajamos juntos y qué esperamos de los contribuyentes.

Licencia

Midaz es un proyecto open-source licenciado bajo la Licencia Apache 2.0.

¿Necesitas ayuda?

  • Consulta el README dentro de cada carpeta de componente.
  • Busca issues existentes.
  • Abre un nuevo issue si es necesario.