Infrastructure as Code #
Bayangkan dua tim yang sama-sama perlu mendeploy server baru untuk environment staging. Tim pertama masuk ke console AWS, klik-klik membuat VPC, subnet, security group, EC2 instance, RDS, mengkonfigurasi satu per satu. Proses ini butuh dua jam, rentan kesalahan, dan tidak ada yang bisa mereproduksinya dengan persis sama — hasilnya selalu sedikit berbeda dari environment lain. Tim kedua menjalankan satu perintah: terraform apply. Dalam 15 menit, seluruh environment berdiri dengan konfigurasi yang identik persis dengan production.
Infrastructure as Code (IaC) adalah praktik mendefinisikan dan mengelola infrastruktur melalui file kode yang bisa di-version control, direview, ditest, dan dijalankan berulang kali dengan hasil yang konsisten. Bukan hanya tentang otomasi — tapi tentang memperlakukan infrastruktur dengan disiplin yang sama seperti kode aplikasi: review sebelum deploy, test sebelum production, rollback ketika ada masalah, dan audit trail yang lengkap.
Mengapa IaC Bukan Sekedar Otomasi #
Sebelum IaC, infrastruktur dikelola secara manual atau dengan script ad-hoc. Masalahnya bukan di kecepatan — tapi di konsistensi, keandalan, dan kolaborasi.
Masalah infrastruktur manual vs IaC:
Manual / ClickOps:
✗ "Works on my environment" — production berbeda dari staging
✗ Tidak ada yang bisa mereproduksi setup yang sama persis
✗ Perubahan tidak terdokumentasi — siapa yang mengubah apa kapan?
✗ Disaster recovery butuh waktu lama dan hasilnya tidak terjamin identik
✗ Tidak ada code review — perubahan besar langsung ke production
✗ "Snowflake server" — server yang unik dan tidak tergantikan
IaC:
✓ Environment yang identik: dev = staging = production (kecuali ukuran)
✓ Reproducible: destroy dan rebuild dalam menit dengan hasil sama
✓ Version control: setiap perubahan ada di git dengan author dan timestamp
✓ Code review: perubahan infrastruktur direview seperti kode aplikasi
✓ Disaster recovery: jalankan kembali kode IaC untuk rebuild dari nol
✓ Immutable server: replace, jangan patch
flowchart LR
subgraph Before["Sebelum IaC"]
A1[Engineer] -->|klik manual| B1[Console AWS]
B1 --> C1[Server yang unik\nsnowflake server]
C1 --> D1[Tidak bisa direproduksi]
end
subgraph After["Dengan IaC"]
A2[Engineer] -->|git commit| B2[Repository]
B2 -->|PR + review| C2[CI/CD Pipeline]
C2 -->|terraform apply| D2[Infrastructure]
D2 --> E2[Identik dan reproducible]
endDeklaratif vs Imperatif: Dua Pendekatan IaC #
Ada dua paradigma dalam IaC yang penting dipahami sebelum memilih tool.
Imperatif (Prosedural):
"Lakukan langkah-langkah berikut..."
Kamu mendefinisikan BAGAIMANA mencapai state yang diinginkan.
Contoh (Bash script):
aws ec2 create-vpc --cidr-block 10.0.0.0/16
aws ec2 create-subnet --vpc-id vpc-xxx --cidr-block 10.0.1.0/24
aws ec2 run-instances --image-id ami-xxx --instance-type t3.micro
Masalah:
→ Tidak idempotent — menjalankan dua kali membuat dua VPC, dua subnet, dua instance
→ Tidak tahu state saat ini — tidak bisa "sync" jika sudah ada perubahan manual
→ Order eksekusi penting dan mudah salah
Deklaratif:
"State yang saya inginkan adalah..."
Kamu mendefinisikan APA yang harus ada, tool yang menentukan BAGAIMANA.
Contoh (Terraform):
resource "aws_vpc" "main" {
cidr_block = "10.0.0.0/16"
}
resource "aws_subnet" "public" {
vpc_id = aws_vpc.main.id
cidr_block = "10.0.1.0/24"
}
Keuntungan:
→ Idempotent — jalankan 10 kali, hasilnya sama
→ State management — Terraform tahu apa yang sudah ada
→ Dependency resolution otomatis — subnet tahu butuh VPC dulu
Terraform: Deklaratif untuk Cloud Infrastructure #
Terraform adalah tool IaC paling populer untuk provisioning cloud resources. Ia bekerja dengan mendefinisikan desired state dan menghitung diff antara state yang diinginkan dengan state yang ada.
# main.tf — contoh infrastruktur sederhana tapi production-ready
terraform {
required_version = ">= 1.5.0"
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 5.0"
}
}
# Backend untuk menyimpan state — JANGAN simpan state di local untuk tim
backend "s3" {
bucket = "myapp-terraform-state"
key = "production/terraform.tfstate"
region = "ap-southeast-1"
dynamodb_table = "terraform-state-lock" # untuk locking
encrypt = true
}
}
provider "aws" {
region = var.aws_region
default_tags {
tags = {
Project = var.project_name
Environment = var.environment
ManagedBy = "terraform"
}
}
}
# Variables — parameter yang bisa berbeda per environment
variable "aws_region" {
description = "AWS region untuk deploy"
type = string
default = "ap-southeast-1"
}
variable "environment" {
description = "Environment name: dev, staging, atau production"
type = string
validation {
condition = contains(["dev", "staging", "production"], var.environment)
error_message = "Environment harus salah satu dari: dev, staging, production."
}
}
variable "project_name" {
description = "Nama project"
type = string
}
variable "instance_type" {
description = "EC2 instance type"
type = string
default = "t3.micro"
}
# Networking
resource "aws_vpc" "main" {
cidr_block = "10.0.0.0/16"
enable_dns_hostnames = true
enable_dns_support = true
tags = {
Name = "${var.project_name}-${var.environment}-vpc"
}
}
resource "aws_internet_gateway" "main" {
vpc_id = aws_vpc.main.id
tags = {
Name = "${var.project_name}-${var.environment}-igw"
}
}
resource "aws_subnet" "public" {
count = 2 # multi-AZ untuk high availability
vpc_id = aws_vpc.main.id
cidr_block = "10.0.${count.index + 1}.0/24"
availability_zone = data.aws_availability_zones.available.names[count.index]
map_public_ip_on_launch = true
tags = {
Name = "${var.project_name}-${var.environment}-public-${count.index + 1}"
Tier = "public"
}
}
resource "aws_subnet" "private" {
count = 2
vpc_id = aws_vpc.main.id
cidr_block = "10.0.${count.index + 10}.0/24"
availability_zone = data.aws_availability_zones.available.names[count.index]
tags = {
Name = "${var.project_name}-${var.environment}-private-${count.index + 1}"
Tier = "private"
}
}
# Security Group untuk aplikasi
resource "aws_security_group" "app" {
name = "${var.project_name}-${var.environment}-app-sg"
description = "Security group untuk application server"
vpc_id = aws_vpc.main.id
ingress {
from_port = 443
to_port = 443
protocol = "tcp"
security_groups = [aws_security_group.alb.id]
description = "HTTPS dari ALB"
}
egress {
from_port = 0
to_port = 0
protocol = "-1"
cidr_blocks = ["0.0.0.0/0"]
description = "Allow all outbound"
}
tags = {
Name = "${var.project_name}-${var.environment}-app-sg"
}
}
# Output untuk digunakan oleh resource lain atau tim lain
output "vpc_id" {
description = "VPC ID"
value = aws_vpc.main.id
}
output "public_subnet_ids" {
description = "Public subnet IDs"
value = aws_subnet.public[*].id
}
output "private_subnet_ids" {
description = "Private subnet IDs"
value = aws_subnet.private[*].id
}
Terraform Workflow yang Benar #
# Workflow standar Terraform
# 1. Format kode agar konsisten
terraform fmt -recursive
# 2. Validasi sintaks dan konfigurasi
terraform validate
# 3. Lihat perubahan SEBELUM apply — WAJIB di-review!
terraform plan -out=tfplan
# Output plan menunjukkan:
# + = resource baru yang akan dibuat
# ~ = resource yang akan dimodifikasi
# - = resource yang akan dihapus (HATI-HATI!)
# -/+ = resource yang akan diganti (destroy + create)
# Contoh output plan:
# Plan: 5 to add, 2 to change, 0 to destroy.
# 4. Apply hanya setelah plan direview
terraform apply tfplan
# 5. Di CI/CD: selalu plan dulu, apply setelah approval manual
# Jangan pernah auto-apply ke production tanpa review
# Perintah berguna lainnya:
terraform state list # lihat semua resource yang di-manage
terraform state show aws_vpc.main # detail satu resource
terraform import aws_s3_bucket.legacy bucket-name # import resource yang sudah ada
terraform taint aws_instance.app # tandai untuk recreate di apply berikutnya
terraform graph | dot -Tsvg > graph.svg # visualisasi dependency
Modularisasi: Reusable Infrastructure Components #
Module adalah cara untuk membuat komponen infrastruktur yang bisa dipakai ulang. Alih-alih mendefinisikan ulang VPC yang sama di setiap project, buat module VPC yang bisa di-consume dengan parameter berbeda.
# modules/vpc/main.tf — module yang reusable
variable "project_name" { type = string }
variable "environment" { type = string }
variable "vpc_cidr" { type = string }
variable "public_subnets" { type = list(string) }
variable "private_subnets" { type = list(string) }
resource "aws_vpc" "this" {
cidr_block = var.vpc_cidr
# ...konfigurasi VPC...
}
resource "aws_subnet" "public" {
count = length(var.public_subnets)
cidr_block = var.public_subnets[count.index]
# ...
}
output "vpc_id" { value = aws_vpc.this.id }
output "public_subnet_ids" { value = aws_subnet.public[*].id }
output "private_subnet_ids" { value = aws_subnet.private[*].id }
# environments/production/main.tf — consume module
module "vpc" {
source = "../../modules/vpc"
project_name = "myapp"
environment = "production"
vpc_cidr = "10.0.0.0/16"
public_subnets = ["10.0.1.0/24", "10.0.2.0/24"]
private_subnets = ["10.0.10.0/24", "10.0.11.0/24"]
}
module "app_server" {
source = "../../modules/ec2"
vpc_id = module.vpc.vpc_id
subnet_ids = module.vpc.private_subnet_ids
# ...
}
Ansible: Konfigurasi Management #
Ansible mengisi peran yang berbeda dari Terraform. Terraform untuk provisioning (membuat server), Ansible untuk configuration management (mengkonfigurasi server yang sudah ada).
# playbook.yml — konfigurasi application server
---
- name: Configure Application Server
hosts: app_servers
become: true # jalankan sebagai root
vars:
app_user: appuser
app_dir: /opt/myapp
node_version: "20"
tasks:
- name: Update package cache
apt:
update_cache: yes
cache_valid_time: 3600
- name: Install required packages
apt:
name:
- git
- curl
- nginx
- certbot
- python3-certbot-nginx
state: present
- name: Create application user
user:
name: "{{ app_user }}"
system: yes
shell: /bin/bash
home: "{{ app_dir }}"
create_home: yes
- name: Install Node.js
block:
- name: Download NodeSource setup script
get_url:
url: "https://deb.nodesource.com/setup_{{ node_version }}.x"
dest: /tmp/nodesource_setup.sh
mode: '0755'
- name: Run NodeSource setup
command: /tmp/nodesource_setup.sh
- name: Install Node.js
apt:
name: nodejs
state: present
- name: Configure Nginx
template:
src: templates/nginx.conf.j2
dest: /etc/nginx/sites-available/myapp
mode: '0644'
notify: Reload Nginx
- name: Enable Nginx site
file:
src: /etc/nginx/sites-available/myapp
dest: /etc/nginx/sites-enabled/myapp
state: link
notify: Reload Nginx
- name: Configure application environment
template:
src: templates/env.j2
dest: "{{ app_dir }}/.env"
owner: "{{ app_user }}"
mode: '0600'
handlers:
- name: Reload Nginx
service:
name: nginx
state: reloaded
# inventory/production.yml — inventory file
all:
children:
app_servers:
hosts:
app01.contoh.com:
ansible_user: ubuntu
ansible_ssh_private_key_file: ~/.ssh/production.pem
app02.contoh.com:
ansible_user: ubuntu
ansible_ssh_private_key_file: ~/.ssh/production.pem
db_servers:
hosts:
db01.contoh.com:
ansible_user: ubuntu
vars:
environment: production
Immutable Infrastructure #
Immutable infrastructure adalah prinsip bahwa server tidak pernah dimodifikasi setelah deployment — jika perlu perubahan, buat server baru dan ganti yang lama.
Mutable vs Immutable Infrastructure:
Mutable (traditional):
Server → patch → patch → patch → patch
→ Server "menua" — akumulasi perubahan yang tidak terdokumentasi
→ "Configuration drift" — server berbeda dari yang seharusnya
→ Sulit di-debug karena tidak tahu persis apa yang ada di server
→ Rollback sulit — harus undo perubahan satu per satu
Immutable:
Image v1 → Image v2 → Image v3
Server v1 diganti dengan Server v2 yang fresh dari Image v2
→ Tidak ada configuration drift
→ Rollback = gunakan image version sebelumnya
→ Identik dengan environment lain yang pakai image yang sama
→ Blue-green deployment menjadi natural
# Packer untuk membuat immutable AMI (Amazon Machine Image)
# packer.pkr.hcl
packer {
required_plugins {
amazon = {
source = "github.com/hashicorp/amazon"
version = "~> 1"
}
}
}
variable "app_version" {
type = string
default = "latest"
}
source "amazon-ebs" "app" {
ami_name = "myapp-${var.app_version}-{{timestamp}}"
instance_type = "t3.micro"
region = "ap-southeast-1"
source_ami_filter {
filters = {
name = "ubuntu/images/hvm-ssd/ubuntu-22.04-amd64-server-*"
root-device-type = "ebs"
virtualization-type = "hvm"
}
most_recent = true
owners = ["099720109477"] # Canonical
}
ssh_username = "ubuntu"
tags = {
Name = "myapp-${var.app_version}"
Version = var.app_version
BuildDate = "{{timestamp}}"
ManagedBy = "packer"
}
}
build {
sources = ["source.amazon-ebs.app"]
# Install dependencies
provisioner "shell" {
inline = [
"sudo apt-get update",
"sudo apt-get install -y nodejs npm nginx",
"sudo npm install -g pm2",
]
}
# Deploy aplikasi ke dalam image
provisioner "file" {
source = "dist/"
destination = "/opt/myapp"
}
# Konfigurasi
provisioner "ansible" {
playbook_file = "playbooks/configure-app.yml"
}
}
GitOps: Infrastruktur dari Git #
GitOps adalah praktik menggunakan Git sebagai single source of truth untuk state infrastruktur. Perubahan infrastruktur hanya bisa terjadi melalui pull request ke repository.
# .github/workflows/terraform.yml — GitOps workflow
name: Terraform
on:
push:
branches: [main]
paths: ['infra/**']
pull_request:
branches: [main]
paths: ['infra/**']
permissions:
contents: read
pull-requests: write # untuk posting plan ke PR comment
jobs:
terraform:
name: Terraform Plan & Apply
runs-on: ubuntu-latest
defaults:
run:
working-directory: infra/production
steps:
- uses: actions/checkout@v4
- name: Setup Terraform
uses: hashicorp/setup-terraform@v3
with:
terraform_version: 1.6.0
- name: Configure AWS credentials
uses: aws-actions/configure-aws-credentials@v4
with:
aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
aws-region: ap-southeast-1
- name: Terraform Init
run: terraform init
- name: Terraform Format Check
run: terraform fmt -check -recursive
- name: Terraform Validate
run: terraform validate
- name: Terraform Plan
id: plan
run: terraform plan -no-color -out=tfplan
continue-on-error: true # tetap post ke PR meski plan gagal
# Post plan ke PR comment agar bisa direview
- name: Post Plan to PR
if: github.event_name == 'pull_request'
uses: actions/github-script@v7
with:
script: |
const output = `#### Terraform Plan 📋
\`\`\`
${{ steps.plan.outputs.stdout }}
\`\`\`
*Planned by: @${{ github.actor }}*`;
github.rest.issues.createComment({
issue_number: context.issue.number,
owner: context.repo.owner,
repo: context.repo.repo,
body: output
})
# Apply hanya di main branch setelah PR di-merge
- name: Terraform Apply
if: github.ref == 'refs/heads/main' && github.event_name == 'push'
run: terraform apply -auto-approve tfplan
Testing Infrastruktur #
Infrastruktur juga butuh ditest — memastikan server bisa diakses, service berjalan, konfigurasi benar, dan security group sesuai.
# test_infrastructure.py — menggunakan pytest + boto3
import boto3
import pytest
import requests
import subprocess
@pytest.fixture(scope="session")
def terraform_outputs():
"""Ambil output dari Terraform untuk digunakan di test."""
result = subprocess.run(
["terraform", "output", "-json"],
capture_output=True, text=True,
cwd="infra/staging"
)
import json
return json.loads(result.stdout)
def test_vpc_exists(terraform_outputs):
"""Test bahwa VPC sudah dibuat."""
ec2 = boto3.client('ec2', region_name='ap-southeast-1')
vpc_id = terraform_outputs['vpc_id']['value']
response = ec2.describe_vpcs(VpcIds=[vpc_id])
assert len(response['Vpcs']) == 1
assert response['Vpcs'][0]['State'] == 'available'
def test_security_group_rules(terraform_outputs):
"""Test bahwa security group punya rules yang benar."""
ec2 = boto3.client('ec2', region_name='ap-southeast-1')
sg_id = terraform_outputs['app_security_group_id']['value']
response = ec2.describe_security_groups(GroupIds=[sg_id])
sg = response['SecurityGroups'][0]
# Pastikan port 22 tidak terbuka ke internet
for rule in sg['IpPermissions']:
if rule.get('FromPort') == 22:
for ip_range in rule.get('IpRanges', []):
assert ip_range['CidrIp'] != '0.0.0.0/0', \
"SSH tidak boleh terbuka ke internet!"
def test_application_endpoint(terraform_outputs):
"""Test bahwa aplikasi bisa diakses."""
alb_dns = terraform_outputs['alb_dns_name']['value']
response = requests.get(f"https://{alb_dns}/health", verify=False, timeout=10)
assert response.status_code == 200
assert response.json()['status'] == 'ok'
def test_database_not_publicly_accessible():
"""Test bahwa database tidak accessible dari internet."""
rds = boto3.client('rds', region_name='ap-southeast-1')
response = rds.describe_db_instances()
for db in response['DBInstances']:
assert not db['PubliclyAccessible'], \
f"Database {db['DBInstanceIdentifier']} tidak boleh publicly accessible!"
Anti-Pattern yang Harus Dihindari #
# ✗ Anti-pattern 1: state file di local atau di git
# terraform.tfstate di-commit ke repository
# State mengandung sensitive data (password, keys)
# Tidak bisa dipakai tim bersamaan (race condition)
# ✓ Solusi: remote backend (S3 + DynamoDB untuk locking)
# ✗ Anti-pattern 2: hardcode credentials di kode
resource "aws_db_instance" "main" {
username = "admin"
password = "hardcoded-password-123" # SANGAT BERBAHAYA
}
# ✓ Solusi: gunakan variable + secrets manager
resource "aws_db_instance" "main" {
username = var.db_username
password = data.aws_secretsmanager_secret_version.db_password.secret_string
}
# ✗ Anti-pattern 3: satu environment besar tanpa modularisasi
# Semua resource di satu file main.tf yang sangat panjang
# ✓ Solusi: modularisasi per komponen (vpc, database, application)
# dan per environment (dev, staging, production)
# ✗ Anti-pattern 4: terraform apply langsung tanpa plan review
# CI/CD yang auto-apply tanpa ada yang memeriksa plan
# ✓ Solusi: plan wajib direview, apply hanya setelah approval
# ✗ Anti-pattern 5: tidak ada tagging yang konsisten
resource "aws_instance" "app" {
# Tidak ada tags
}
# ✓ Solusi: tags konsisten di semua resource untuk cost tracking dan ownership
Checklist Infrastructure as Code #
STRUKTUR DAN ORGANISASI:
□ Repository terstruktur dengan jelas (modules/, environments/, dll)
□ Module untuk komponen yang reusable
□ Environment terpisah: dev, staging, production
□ Variable file per environment (terraform.tfvars)
□ Tagging konsisten di semua resource
STATE MANAGEMENT:
□ Remote backend dikonfigurasi (S3, GCS, atau Terraform Cloud)
□ State locking diaktifkan (DynamoDB untuk S3 backend)
□ State tidak pernah di-commit ke git
□ State file di-backup secara reguler
SECURITY:
□ Tidak ada credentials atau secrets yang hardcode
□ Secrets dari environment variable atau secrets manager
□ State file dienkripsi (encrypt = true di backend)
□ Least privilege untuk IAM role yang digunakan Terraform/Ansible
WORKFLOW:
□ Semua perubahan melalui pull request
□ terraform plan di-review sebelum terraform apply
□ Apply ke production butuh approval manual
□ terraform fmt dan terraform validate di CI
□ Post plan output ke PR comment untuk review mudah
TESTING:
□ Infrastruktur di-test setelah deploy (health check, security check)
□ Test memverifikasi security group rules yang kritis
□ Test memverifikasi database tidak publicly accessible
□ Integration test untuk aplikasi yang berjalan di atas infrastruktur
DOKUMENTASI:
□ Setiap variable punya description yang jelas
□ Setiap output punya description yang jelas
□ README menjelaskan cara penggunaan dan requirement
□ Arsitektur terdokumentasi (diagram atau penjelasan)
Ringkasan #
- IaC bukan hanya otomasi — ini tentang konsistensi dan kolaborasi — infrastruktur yang bisa direview, ditest, di-version control, dan direproduksi adalah infrastruktur yang bisa dipercaya.
- Deklaratif lebih aman dari imperatif — mendefinisikan apa yang harus ada (Terraform) lebih aman dan idempotent dari mendefinisikan bagaimana membuatnya (script). Tool deklaratif tahu state saat ini dan hanya melakukan perubahan yang diperlukan.
- Remote state wajib untuk tim — state file di local atau di git adalah resep untuk race condition dan kebocoran secrets. Gunakan S3 + DynamoDB atau Terraform Cloud.
- Plan wajib direview sebelum apply —
terraform planmenunjukkan persis apa yang akan berubah, termasuk resource yang akan dihapus. Apply tanpa review plan adalah gambling dengan infrastruktur production.- Modularisasi membuat infrastruktur maintainable — VPC, database, aplikasi masing-masing sebagai module yang reusable. Copy-paste konfigurasi adalah technical debt infrastruktur.
- Immutable infrastructure menghilangkan configuration drift — server yang tidak pernah dimodifikasi setelah deployment selalu dalam state yang diketahui. Rollback semudah menggunakan image version sebelumnya.
- GitOps menjadikan git sebagai single source of truth — tidak ada perubahan infrastruktur di luar pull request. Setiap perubahan terdokumentasi, direview, dan bisa di-revert.
- Infrastruktur perlu ditest seperti kode — verifikasi bahwa security group rules benar, database tidak publicly accessible, dan aplikasi bisa diakses setelah deploy.
- Secrets tidak pernah ada di kode IaC — variable yang mengandung password, API key, atau token harus berasal dari environment variable atau secrets manager, tidak pernah hardcode.
- Tagging konsisten adalah investasi jangka panjang — tag Environment, Project, ManagedBy di semua resource memudahkan cost tracking, troubleshooting, dan ownership clarity.
← Sebelumnya: OOM Killer Berikutnya: Configuration Manager →