cdnとterraformで実践する最適な構築と運用管理方法

はじめに

概要

本調査は「cdn terraform」に関する情報をまとめたものです。主にTerraformを使ってAWSのCDN（CloudFront）を構築・管理する方法を扱います。基礎から実践まで幅広く説明しますので、初めての方でも段階的に理解できます。

本書の目的

本書は次を目指します。
– TerraformでCDNを自動化する手順を示す
– S3とCloudFrontの統合方法を具体例で解説する
– 設定ファイルの作り方や運用時の注意点を分かりやすく伝える

対象読者

• インフラをコードで管理したいエンジニア
• 静的コンテンツを高速配信したい開発者
• Terraformの基本を学びつつCDN導入を考えている方
  専門家でなくても理解できるよう配慮しています。

前提と準備

本書ではAWSとTerraformの基本操作（コマンド実行、IAMの概念など）を前提にします。具体例ではS3に静的サイトを置き、CloudFrontで配信する構成を使います。環境は手元のAWSアカウントで実行できるよう配慮しています。

本書の読み方

章ごとに手順と理由を示します。まず基礎概念を押さえ、次に実践的な設定と運用に進みます。例を試しながら学ぶと理解が深まります。

TerraformとCDNの基礎概念

概要

この章では、TerraformとCDN（ここではCloudFrontを例に）それぞれの役割と、なぜ一緒に使うのかをやさしく説明します。具体例を交えて理解しやすく進めます。

Terraformとは

Terraformはインフラを「コードで書く」ツールです。たとえば料理のレシピのように、サーバーやネットワークの構成をファイルに記述します。記述を実行するとその通りに環境を作成・変更できます。再現性が高く、チームで共有しやすい点が利点です。

CDN（CloudFront）とは

CDNはコンテンツ配信用の仕組みで、世界中に分散したサーバー（エッジ）を使ってユーザーにデータを速く届けます。CloudFrontはAWSのCDNサービスです。静的ファイルや画像、動画を近くのエッジから配信するため、表示が速くなり負荷も分散します。

連携のイメージ

TerraformでCloudFrontやS3などのリソースを宣言し、実行すると自動で構成が作られます。たとえばS3に置いたサイトをCloudFront経由で配信する設定をコード化すると、環境の再現や変更が簡単になります。

簡単な具体例

• Terraformに「S3バケットを作る」「CloudFrontを作る」と書く
• 実行するとS3とCloudFrontが自動で作成され、配信が始まる

次章では、Terraformの具体的なワークフローを順を追って説明します。

Terraformのワークフロー

1. 設定（Configuration）

Terraformではまずリソースを宣言します。例としてS3バケットやCloudFront配信を*.tfファイルに記述します。具体的にはリソース名、属性、依存関係を明示します。設定はシンプルな宣言型で、何を作るかを書きます。

2. 初期化（Initialisation）

作業ディレクトリでterraform initを実行します。これによりプロバイダーのプラグインを取得し、バックエンド（状態を保存する場所）を設定します。初回やモジュール追加時に必須です。

3. 計画（Planning）

terraform planで変更の予測を確認します。実行前にどのリソースが追加・変更・削除されるかを出力します。チームで確認したり自動化パイプラインで承認を得たりする際に役立ちます。

4. 適用（Applying）

terraform applyで実際にクラウドに変更を反映します。計画を渡して実行することで安全に適用できます。必要なら-auto-approveで自動化します。

べき等性と状態管理

Terraformはべき等性を持ちます。つまり同じ設定を何度適用しても、必要な差分のみ実行します。これを支えるのが状態ファイル（state）です。ローカル保存でも動きますが、チームではリモートバックエンドとロック機能を使い競合を防ぎます。

実務的な流れ（例）

1. terraform fmtで書式を整える
2. terraform validateで設定を検証する
3. terraform init→plan→apply

よくある注意点

• 依存関係を明示してください。順序ミスでエラーになります。
• 状態の扱いを怠ると差分が大きく出ます。

続く章では実際にS3とCloudFrontをTerraformで組み合わせる手順を説明します。

Terraformを使用したS3とCloudFrontの統合

概要

S3をオリジンにしてCloudFrontで配信すると、高速で可用性の高いウェブ配信が実現します。本章では、S3バケットの作成、ウェブサイトホスティングの有効化、CloudFrontのオリジン設定、Origin Access Identity（OAI）でS3を保護し、キャッシュ動作を設定する手順を丁寧に説明します。

手順

1. S3バケットを作成し、静的ホスティングを有効にします。index.htmlやエラーページを配置します。
2. TerraformでCloudFront用のOAIを作成します。OAIはCloudFrontだけにS3アクセスを許可する仕組みです。
3. S3バケットポリシーを更新して、OAIのIDにのみGetObjectを許可します。これで公開アクセスを閉じられます。
4. CloudFrontディストリビューションを作成し、S3をオリジンとして紐付けます。キャッシュ動作（TTLやパスパターン）を設定します。

Terraform例（簡略）

resource "aws_s3_bucket" "site" { bucket = "example-bucket" acl = "private" }
resource "aws_cloudfront_origin_access_identity" "oai" { }
resource "aws_s3_bucket_policy" "policy" { /* OAIにGetObject許可 */ }
resource "aws_cloudfront_distribution" "cdn" { /* originにaws_s3_bucket.siteを指定 */ }

注意点

• S3のパブリックアクセス設定を慎重に行ってください。OAIを使えばバケットを非公開にできます。
• キャッシュTTLは更新頻度に合わせて短くしたり長くしたり調整します。
• オリジン設定でHTTPSを使うと安全です。

Terraform設定ファイルの構成

概要

Terraformプロジェクトは複数の設定ファイルで構成します。役割ごとに分けると管理しやすく、変更や再利用が楽になります。

provider.tf

AWS認証やリージョンを指定します。資格情報は環境変数やプロファイル、リモートシークレットで渡すのが安全です。

provider "aws" {
  region = "ap-northeast-1"
}

variables.tf / terraform.tfvars

変数定義はvariables.tfに書き、実際の値はterraform.tfvarsや環境変数で与えます。例: bucket_nameやdomain_nameをここで管理します。

main.tf

リソース定義を置きます。S3バケットやCloudFront、IAMロールなどを宣言します。複数のリソースがあるときは機能ごとにファイルを分けても構いません。

outputs.tf

デプロイ後に参照する値（例: CloudFrontのドメイン名、S3バケット名）を出力します。CIや他モジュールとの連携で便利です。

backend.tf（任意）

リモート状態管理を使う場合に設定します。S3＋DynamoDBでロックするのが一般的です。

locals.tf / modules

繰り返す値はlocalsでまとめ、共通機能はmodulesに分離すると可読性が上がります。

ベストプラクティス

• 秘密情報はソース管理に入れない
• ファイルは役割ごとに分ける
• terraform fmt/validateを習慣にする

注意: 拡張子.tfの読み込み順はTerraformが管理するため、論理的に分割してください。

AWSプロバイダーの設定

概要

TerraformでAWSにリソースを作るには、awsプロバイダーを設定します。main.tfにproviderブロックを置き、明示的にリージョンを指定します。安全な認証方法を使うことが重要です。

main.tfの記述例

provider "aws" {
  region  = var.aws_region
  profile = var.aws_profile
  version = "~> 4.0"
}

変数はvariables.tfで管理します。

認証方法（具体例）

• 環境変数: AWS_ACCESS_KEY_ID／AWS_SECRET_ACCESS_KEYを利用
• shared credentials: ~/.aws/credentialsのprofile指定
• EC2/ECSのIAMロール: サーバー上で安全に動作
• assume_role: クロスアカウント操作時に使用

どれも鍵情報をコードに直書きしないでください。

マルチリージョン／別プロバイダーの扱い

CloudFrontなどはus-east-1固定が必要な場合があります。その際はproviderにaliasを付け、リソースで参照します。

provider "aws" {
  alias  = "use1"
  region = "us-east-1"
}
resource "aws_cloudfront_distribution" "cdn" {
  provider = aws.use1
  ...
}

ベストプラクティスと実行手順

• providerのversionを固定して破壊的変更を避けます
• 認証情報は環境変数やIAMロールで扱います
• 初回はterraform initを実行し、terraform planで差分を確認してください

以上がAWSプロバイダー設定の基本です。必要であれば、variables.tfやCIでの設定例もご案内します。

自動デプロイと動的コンテンツ管理

概要

ローカルのウェブサイトファイル（例：site/以下のindex.htmlや画像）をTerraformでS3に自動アップロードし、変更があれば再実行で最新化します。手作業を減らし、インフラとコンテンツを一元管理できます。

準備

• ローカルに公開用ファイルをまとめたディレクトリ（例：site/）を用意します。
• TerraformのAWSプロバイダーとS3バケットを事前に作成しておきます。

実装の考え方（例）

• fileset関数でディレクトリ内のファイル一覧を作成します。
• for_eachで各ファイルをaws_s3_bucket_objectとして作成・更新します。

例（簡略）：

locals { files = fileset("${path.module}/site", "**") }
resource "aws_s3_bucket_object" "site_files" {
  for_each   = { for f in local.files : f => f }
  bucket     = aws_s3_bucket.site.bucket
  key        = each.key
  source     = "${path.module}/site/${each.value}"
  content_type = lookup(var.content_types, split(".", each.value)[-1], "text/plain")
}

変更検出と再デプロイ

ファイルを編集したら terraform apply を実行します。Terraformはファイル差分を検出し、該当オブジェクトを上書きします。自動化のためにCI/CD（例：GitHub Actions）からapplyを呼ぶと便利です。

運用時の注意点

• 大きなバイナリを頻繁に上げるとコストや時間が増えます。
• MIMEタイプやACL、キャッシュ制御は明示的に設定してください。

この章では、ローカル→S3の自動同期をTerraformで行う基本を示しました。

キャッシュ無効化とコンテンツ更新

概要

Terraformではnull_resourceとlocal-execを使い、CloudFrontのキャッシュ無効化を自動化できます。変更したファイルだけをS3へアップロードし、訪問者へ速やかに最新表示を提供します。

実装例（抜粋）

resource "null_resource" "invalidate" {
  triggers = { version = timestamp() }
  provisioner "local-exec" {
    command = "aws cloudfront create-invalidation --distribution-id ${var.dist_id} --paths '/index.html'"
  }
}

変更検出

ファイル差分にはaws s3 syncやrsync、ハッシュ比較を使います。CIで変更がある場合のみnull_resourceを実行するトリガーを更新すると無駄な無効化を避けられます。

設定と注意点

invalidateのパスは絞るとコストを抑えられます。ワイルドカードや全体無効化は料金やパフォーマンスに影響します。必要なIAM権限（cloudfront:CreateInvalidation、s3:PutObject）を付与してください。

ベストプラクティス

• 静的ファイルはファイル名にバージョンを付ける
• Cache-Controlを適切に設定
• 大量更新はバッチ化して無効化回数を抑える

最小限の自動化で最新コンテンツを安定して配信できます。

Terraform実行計画の理解

terraform planとは

terraform planは、現在の状態と設定ファイルを比較して、どのリソースを追加・変更・削除するかを事前に示すコマンドです。実行前に結果を確認できるので、安全に運用できます。

出力の見方（簡単な記号説明）

• “+” は作成されるリソース
• “~” は更新されるリソース（置換が不要な場合）
• “-” は削除されるリソース
• “-/+” は一度削除して再作成する（置換）
  例: “+ aws_s3_bucket.example” はS3バケットが新規作成されることを意味します。

よく使うオプション例

• terraform plan -out=plan.tfplan：計画をファイルに保存します。後で terraform apply plan.tfplan で適用します。
• terraform plan -target=aws_s3_bucket.foo：特定のリソースだけを計画します（部分的な確認に便利です）。
• terraform plan -var-file=secret.tfvars：変数ファイルを指定して計画します。

実務での使い方（S3 と CloudFront の例）

S3に静的サイトをアップし、CloudFrontを追加する場合、planでどの順序で作成されるかと依存関係が分かります。ACLやオリジングループの変更がCloudFrontに影響する場合、更新マークが表示されます。保存したplanをレビューしてからapplyすると安全です。

注意点

planは実行前の予測であり、apply時に環境が変わると差異が生じることがあります。-targetで部分的に適用すると依存関係を見落とすことがあるので注意してください。

出力値と動作検証

terraform apply後の出力確認

terraform apply を実行すると、outputs.tfで定義した出力値が表示されます。代表例はCloudFrontのドメイン名（例: d111111abcdef8.cloudfront.net）やディストリビューションID、S3バケット名などです。例:

Outputs:
cloudfront_domain_name = d111111abcdef8.cloudfront.net

出力値の取得方法

• その場で確認: terraform apply の出力を参照します。
• 後から取得: terraform output cloudfront_domain_name
• 自動処理用: terraform output -json で他ツールへ渡せます。

動作検証の手順（簡単な例）

1. ブラウザで https:// にアクセスします。静的サイトならトップページが表示されます。
2. curlでヘッダーを確認: curl -I https://
3. 200 OK が返れば配信成功です。
4. X-Cache ヘッダーでキャッシュ状況を確認できます（例: Miss from cloudfront）。
5. カスタムドメインを使う場合は、DNSのALIAS/CNAMEをCloudFrontのドメインへ向けます。DNS反映に時間がかかる点に注意します。

よくある確認ポイント

• ディストリビューションのステータスがInProgressなら配信完了まで待ちます（数分〜数十分）。
• 403や404が出る場合はS3の公開設定やオリジンアクセス設定を見直します。
• 出力値をCI/CDに渡せば自動で動作検証や通知ができます。

以上を踏まえ、terraformの出力値で得た情報を使い、ブラウザやCLIで実際に配信を確認してください。