19b - AI 辅助 IaC 生成

你的团队背景是什么？
│
├── 运维/DevOps 背景，熟悉声明式配置
│   ├── 需要开源许可？ → OpenTofu
│   ├── 需要成熟生态和社区？ → Terraform
│   └── 已在用 K8s，想统一管理？ → Crossplane
│
├── 开发者背景，偏好编程语言
│   ├── 多云 / 120+ Provider？ → Pulumi
│   └── 纯 AWS 环境？ → AWS CDK
│
└── 不确定
    └── → Terraform（最大社区）或 Pulumi（最佳 AI 体验）

# CLAUDE.md 或 Steering 规则中添加 IaC 上下文

## 基础设施规范
- 云提供商：AWS
- 区域：ap-northeast-1（东京）
- 环境：dev / staging / prod
- 命名规范：{project}-{env}-{resource}
- 标签策略：Environment, Project, ManagedBy=terraform
- 状态后端：S3 + DynamoDB 锁

1. 描述需求 → AI 生成模块骨架
2. 审查变量和输出定义
3. AI 补充 README 和 examples/
4. 运行 terraform validate + tfsec 扫描
5. 人工审查安全配置（IAM、安全组、加密）

请为 AWS 生成一个生产级 Terraform VPC 模块，要求：

基础设施需求：
- VPC CIDR: [10.0.0.0/16]
- 可用区数量: [3]
- 子网类型: 公有子网、私有子网（应用层）、私有子网（数据层）
- NAT Gateway: [每个 AZ 一个 / 共享一个]
- VPC Flow Logs: 启用，发送到 CloudWatch

模块规范：
- 使用 Terraform 1.5+ 语法
- 所有资源添加标签（通过 default_tags）
- 输出 VPC ID、子网 ID 列表、NAT Gateway IP
- 包含 variables.tf（带描述和验证规则）
- 包含 outputs.tf
- 包含 README.md（使用说明和示例）

安全要求：
- 默认安全组拒绝所有入站流量
- 启用 DNS 支持和 DNS 主机名
- 私有子网不分配公网 IP

请生成一个 Terraform 模块，用于部署 [资源类型]。

环境信息：
- 云提供商：[AWS/Azure/GCP]
- Terraform 版本：[>= 1.5]
- Provider 版本约束：[~> 5.0]

功能需求：
- [具体功能描述]
- [高可用要求]
- [备份策略]

输出要求：
- main.tf：核心资源定义
- variables.tf：所有变量带 description 和 type
- outputs.tf：关键输出值
- versions.tf：版本约束
- 使用 locals 减少重复
- 遵循 [命名规范]

请审查并重构以下 Terraform 代码：

[粘贴现有代码]

重构目标：
1. 提取可复用模块（识别重复模式）
2. 添加缺失的变量验证规则
3. 改进命名一致性
4. 添加 lifecycle 规则防止意外删除
5. 优化 for_each 和 dynamic blocks 的使用
6. 确保符合 tfsec 安全规则

步骤 1：在 pulumi.com/ai 描述需求
  "Create an AWS ECS Fargate service with an ALB,
   running a Docker container on port 8080,
   with auto-scaling from 2 to 10 tasks based on CPU utilization"

步骤 2：选择语言（TypeScript/Python/Go/C#/Java）

步骤 3：AI 生成完整代码，包含：
  - VPC 和子网配置
  - ALB + Target Group + Listener
  - ECS Cluster + Task Definition + Service
  - Auto Scaling Policy
  - IAM 角色和策略

步骤 4：复制到项目，运行 pulumi preview 审查
步骤 5：人工审查安全配置后 pulumi up 部署

import * as pulumi from "@pulumi/pulumi";
import * as aws from "@pulumi/aws";
 
// AI 生成的 ECS Fargate 服务骨架
const cluster = new aws.ecs.Cluster("app-cluster");
 
const taskDefinition = new aws.ecs.TaskDefinition("app-task", {
    family: "app",
    cpu: "256",
    memory: "512",
    networkMode: "awsvpc",
    requiresCompatibilities: ["FARGATE"],
    executionRoleArn: executionRole.arn,
    containerDefinitions: JSON.stringify([{
        name: "app",
        image: "your-registry/your-app:latest",
        portMappings: [{ containerPort: 8080 }],
        // ⚠️ 人工审查点：确认日志配置
        logConfiguration: {
            logDriver: "awslogs",
            options: {
                "awslogs-group": "/ecs/app",
                "awslogs-region": "ap-northeast-1",
                "awslogs-stream-prefix": "ecs",
            },
        },
    }]),
});
 
// ⚠️ 人工审查点：确认安全组规则最小权限
const serviceSecurityGroup = new aws.ec2.SecurityGroup("svc-sg", {
    vpcId: vpc.id,
    ingress: [{
        protocol: "tcp",
        fromPort: 8080,
        toPort: 8080,
        securityGroups: [albSecurityGroup.id], // 仅允许 ALB 访问
    }],
    egress: [{
        protocol: "-1",
        fromPort: 0,
        toPort: 0,
        cidrBlocks: ["0.0.0.0/0"],
    }],
});

// .mcp.json 或 Claude Code MCP 配置
{
  "mcpServers": {
    "aws-iac": {
      "command": "uvx",
      "args": ["awslabs.aws-iac-mcp-server@latest"],
      "env": {
        "AWS_REGION": "ap-northeast-1"
      }
    }
  }
}

使用 AWS CDK (TypeScript) 生成以下基础设施：

需求：
- 一个 S3 存储桶用于静态网站托管
- CloudFront 分发（HTTPS only，自定义域名）
- Route 53 DNS 记录
- ACM 证书（自动验证）
- WAF 规则（速率限制 + SQL 注入防护）

CDK 规范：
- 使用 CDK v2（aws-cdk-lib）
- 使用 L2/L3 构造（不要用 Cfn 前缀的 L1）
- 添加 cdk-nag 规则检查
- 输出 CloudFront 域名和分发 ID
- 遵循 AWS Well-Architected 最佳实践

# 安装
go install github.com/gofireflyio/aiac/v5@latest
 
# 生成 Terraform 代码
aiac get terraform for "an AWS S3 bucket with versioning, \
  encryption using KMS, and lifecycle rules to transition \
  objects to Glacier after 90 days"
 
# 生成 Pulumi 代码
aiac get pulumi python for "a GCP Cloud Run service \
  with a custom domain and minimum 2 instances"
 
# 生成 Helm Chart
aiac get helm for "a Redis cluster with 3 replicas \
  and persistent storage"

# backend.tf — AI 可生成，但必须人工审查加密和锁配置
terraform {
  backend "s3" {
    bucket         = "myproject-terraform-state"
    key            = "prod/terraform.tfstate"
    region         = "ap-northeast-1"
    encrypt        = true                    # ⚠️ 必须启用
    dynamodb_table = "terraform-state-lock"  # ⚠️ 必须配置锁
    kms_key_id     = "alias/terraform-state" # 推荐使用 CMK
  }
}

请为以下项目设计 Terraform 状态管理策略：

项目规模：[资源数量]
环境数量：[dev/staging/prod]
团队规模：[人数]
云提供商：[AWS/Azure/GCP]

请输出：
1. 状态文件分割方案（按什么维度拆分）
2. 后端配置模板（S3/GCS/Azure Blob）
3. 状态锁配置
4. 跨状态引用方案（data source / remote state）
5. 状态备份和恢复策略

# .github/workflows/drift-detection.yml
name: IaC Drift Detection
 
on:
  schedule:
    - cron: '0 8 * * *'  # 每天早上 8 点检测
 
jobs:
  detect-drift:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
 
      - name: Setup Terraform
        uses: hashicorp/setup-terraform@v3
 
      - name: Terraform Init
        run: terraform init
        working-directory: infra/prod
 
      - name: Detect Drift
        id: plan
        run: |
          terraform plan -detailed-exitcode -out=plan.out 2>&1 | tee plan.log
          echo "exitcode=$?" >> $GITHUB_OUTPUT
        working-directory: infra/prod
        continue-on-error: true
 
      - name: Notify on Drift
        if: steps.plan.outputs.exitcode == '2'
        uses: slackapi/slack-github-action@v2
        with:
          webhook: ${{ secrets.SLACK_WEBHOOK }}
          payload: |
            {
              "text": "⚠️ 基础设施漂移检测到！请查看：${{ github.server_url }}/${{ github.repository }}/actions/runs/${{ github.run_id }}"
            }

以下是 terraform plan 的输出，显示了基础设施漂移：

[粘贴 plan 输出]

请分析：
1. 哪些资源发生了漂移？
2. 漂移的可能原因是什么？（手动修改/自动扩缩/其他工具）
3. 每个漂移项的风险等级（高/中/低）
4. 建议的修复方案：
   - 接受漂移（更新代码匹配实际状态）
   - 回滚漂移（terraform apply 恢复到代码定义）
   - 导入资源（terraform import）
5. 如何防止此类漂移再次发生

# Checkov — 推荐首选，覆盖面最广
pip install checkov
checkov -d ./infra --framework terraform --quiet
 
# tfsec — Terraform 专精，速度快
brew install tfsec  # 或 go install github.com/aquasecurity/tfsec/cmd/tfsec@latest
tfsec ./infra
 
# Trivy — 多用途扫描器
brew install trivy
trivy config ./infra

# GitHub Actions 中集成 Checkov
- name: Run Checkov
  uses: bridgecrewio/checkov-action@v12
  with:
    directory: infra/
    framework: terraform
    quiet: true
    soft_fail: false  # 发现高危问题时阻断流水线
    output_format: sarif
    output_file_path: results.sarif
 
# 上传结果到 GitHub Security
- name: Upload SARIF
  uses: github/codeql-action/upload-sarif@v3
  with:
    sarif_file: results.sarif

Checkov 扫描发现以下安全问题：

[粘贴 Checkov 输出]

请为每个问题提供：
1. 风险说明（为什么这是安全问题）
2. 修复后的 Terraform 代码
3. 是否可以安全地添加 checkov:skip 注释（如果是误报）
4. 相关的合规标准（CIS Benchmark、SOC 2 等）

开发阶段（本地）：
  └── tfsec（快速反馈）或 Trivy（多用途）

PR 审查（CI）：
  └── Checkov（全面扫描）+ SARIF 上传到 GitHub Security

部署前（CD）：
  └── Checkov + 自定义策略（组织特定规则）

定期审计：
  └── Snyk IaC（SaaS 仪表板）或 KICS（深度扫描）

第 1 步：在 CLAUDE.md 中定义基础设施上下文
  - 云提供商、区域、环境、命名规范、安全要求

第 2 步：用 AI 生成模块骨架
  - "生成 VPC 模块，3 AZ，公有/私有/数据子网"
  - "生成 ECS Fargate 模块，支持蓝绿部署"
  - "生成 RDS PostgreSQL 模块，多 AZ，自动备份"

第 3 步：安全扫描
  $ checkov -d ./modules --framework terraform
  → 发现 5 个问题（安全组过宽、未启用日志等）

第 4 步：AI 辅助修复
  - 将 Checkov 输出粘贴给 AI
  - AI 生成修复代码 + 解释

第 5 步：状态管理配置
  - S3 后端 + DynamoDB 锁
  - 按环境分离状态文件

第 6 步：漂移检测 CI
  - GitHub Actions 每日运行 terraform plan
  - Slack 通知漂移

第 7 步：部署
  $ terraform plan → 人工审查 → terraform apply