Infrastruktura jako kod z Cursor

Twoja aplikacja działa idealnie na laptopie. Teraz musi działać na produkcji: z load balancerem w wielu regionach, zarządzaną bazą danych, CDN dla zasobów statycznych, konfiguracją specyficzną per środowisko i automatycznym rollbackiem. Inżynier infrastruktury, który konfigurował ostatni projekt, odszedł z firmy i nikt nie jest pewien, które pliki Terraform są faktycznie używane, a które to resztki eksperymentów. Musisz zdefiniować infrastrukturę jako kod i potrzebujesz, żeby była poprawna za pierwszym razem — bo źle skonfigurowana security group lub otwarty bucket S3 dzieli jedno wdrożenie od nagłówka w mediach.

Cursor Agent jest zaskakująco skuteczny w infrastrukturze jako kod, ponieważ IaC jest fundamentalnie problemem generowania kodu. Moduły Terraform, konfiguracje Dockera i manifesty Kubernetes podlegają dobrze zdefiniowanym schematom, co oznacza, że AI może generować syntaktycznie poprawne, logicznie sensowne konfiguracje, gdy otrzyma odpowiedni kontekst.

Co wyniesiesz z tej lekcji

• Prompty do generowania modułów Terraform dla typowych wzorców infrastrukturalnych
• Workflow do iterowania na konfiguracjach Dockera z wieloetapowymi buildami
• Techniki generowania manifestów Kubernetes z istniejących konfiguracji Dockera
• Reguły projektu, które utrzymują świadomość Cursor na temat twojego dostawcy chmury, konwencji nazewnictwa i polityk bezpieczeństwa
• Strategia walidacji wygenerowanego kodu infrastrukturalnego przed zastosowaniem

Reguły projektu dla infrastruktury

Przed generowaniem jakiegokolwiek kodu infrastrukturalnego zakoduj ograniczenia swojego środowiska. To zapobiega generowaniu zasobów AWS przez Agenta, gdy używasz GCP, lub sugerowaniu otwartych security group w środowisku regulowanym pod kątem compliance.

.cursor/rules/infrastructure.md

# Konwencje infrastrukturalne

## Dostawca chmury
- Główny: AWS (us-east-1, eu-west-1)
- Wersja Terraform: 1.7+
- Wersja providera AWS: ~> 5.0
- Backend stanu: bucket S3 "myapp-tf-state" z blokowaniem DynamoDB

## Konwencja nazewnictwa
- Zasoby: {env}-{service}-{resource} (np. prod-api-alb)
- Wymagane tagi na wszystkich zasobach: Environment, Service, Team, ManagedBy=terraform

## Polityki bezpieczeństwa
- Brak publicznych bucketów S3
- Brak security group z ingress 0.0.0.0/0 (poza ALB na 80/443)
- Wszystkie instancje RDS muszą mieć włączone szyfrowanie at rest
- Wszystkie instancje EC2 muszą używać IMDSv2
- Brak zahardkodowanych poświadczeń w jakimkolwiek pliku konfiguracyjnym
- SSL/TLS wymagany dla wszystkich publicznych endpointów

## Struktura modułów
- Moduły wielokrotnego użytku w modules/
- Konfiguracje środowisk w environments/{env}/
- Wspólne zmienne w variables.tf, outputy w outputs.tf
- Używaj terraform-docs do dokumentacji

Generowanie modułów Terraform

Najczęstsze zadanie IaC to tworzenie nowego modułu dla konkretnego komponentu infrastrukturalnego. Cursor doskonale sobie z tym radzi, ponieważ składnia HCL Terraform ma jasne wzorce.

Wskazówka

Prompt do skopiowania — Generowanie modułu Terraform:

@infrastructure/modules/networking/main.tf @infrastructure/modules/networking/variables.tf

Utwórz nowy moduł Terraform w infrastructure/modules/api-service/, który provisionuje:

1. Serwis ECS Fargate uruchamiający kontener Docker
2. Application Load Balancer z listenerem HTTPS (certyfikat ACM)
3. Target group z health checkiem na /health
4. Security groups:
   - ALB: zezwalaj na 443 zewsząd
   - Taski ECS: zezwalaj na ruch tylko z security group ALB
5. Grupa logów CloudWatch z retencją 30 dni
6. Rola IAM task z uprawnieniami least-privilege
7. Auto-skalowanie na podstawie wykorzystania CPU (cel 70%, min 2, max 10)

Stosuj te same wzorce nazewnictwa zmiennych i tagowania, co w naszym module networking.
Dołącz variables.tf, outputs.tf i README.md z przykładem użycia.
Wszystkie zasoby muszą zawierać wymagane tagi z naszych reguł infrastrukturalnych.

Po wygenerowaniu, zwaliduj moduł przed zastosowaniem:

cd infrastructure/modules/api-service
terraform init
terraform validate
terraform plan -var-file=../../environments/staging/terraform.tfvars

Możesz przeprowadzić tę walidację w terminalu Cursor, a jeśli terraform validate zawiedzie, wklej błąd z powrotem do trybu Agent, aby go naprawić.

Iterowanie na Terraform

Błędy Terraform są często enigmatyczne. Gdy terraform plan zawiedzie, użyj trybu Ask do diagnozy:

terraform plan zawiódł z:

Error: Invalid reference
  on main.tf line 23, in resource "aws_ecs_service" "api":
  23:   cluster = aws_ecs_cluster.main.arn

Zasób aws_ecs_cluster.main nie jest zdefiniowany w tym module.
Jest w module networking. Jak się do niego odwołać?

@infrastructure/modules/networking/outputs.tf

Tryb Ask wyjaśni, że musisz przekazać ARN klastra jako zmienną z outputów modułu networking, i pokaże dokładnie, jak to połączyć.

Konfiguracja Dockera

Docker to kolejna domena, w której Agent generuje solidne konfiguracje, ponieważ Dockerfile’e podlegają przewidywalnym wzorcom. Kluczem jest podanie Agentowi kontekstu twojej aplikacji.

Wskazówka

Prompt do skopiowania — Produkcyjna konfiguracja Dockera:

@package.json @tsconfig.json

Utwórz produkcyjny Dockerfile dla tej aplikacji Node.js/TypeScript:

1. Wieloetapowy build:
   - Etap 1 (builder): Zainstaluj zależności, skompiluj TypeScript
   - Etap 2 (production): Skopiuj tylko skompilowany JS i produkcyjne node_modules
2. Użyj node:22-alpine jako bazy
3. Uruchamiaj jako użytkownik bez uprawnień root (node)
4. Ustaw NODE_ENV=production
5. Użyj npm ci --omit=dev dla zależności produkcyjnych
6. Eksponuj port 8080
7. Health check: curl -f http://localhost:8080/health || exit 1
8. Etykiety dla metadanych obrazu (wersja, data buildu, commit git)
9. .dockerignore wykluczający src/, tests/, .git/, node_modules/

Utwórz również docker-compose.yml do lokalnego developmentu zawierający:
- Serwis aplikacji z hot reload (montuj src/ jako volume)
- PostgreSQL 16 z persystentnym volume
- Redis 7 do cachowania
- Zmienne środowiskowe z pliku .env

Manifesty Kubernetes

Jeśli twoim celem wdrożeniowym jest Kubernetes, Cursor może wygenerować manifesty z twojej konfiguracji Dockera:

@Dockerfile @infrastructure/modules/api-service

Wygeneruj manifesty Kubernetes w k8s/ do wdrożenia tej aplikacji:

1. Deployment:
   - 3 repliki ze strategią rolling update
   - Limity zasobów: 256Mi pamięci, 250m CPU
   - Requesty zasobów: 128Mi pamięci, 100m CPU
   - Sonda liveness na /health (HTTP, co 10s)
   - Sonda readiness na /ready (HTTP, co 5s)
   - Zmienne środowiskowe z ConfigMap i Secrets

2. Service:
   - Serwis ClusterIP na porcie 80 celujący w port kontenera 8080

3. Ingress:
   - Ingress NGINX z terminacją TLS
   - Host: api.myapp.com
   - Adnotacje rate limitingu

4. HorizontalPodAutoscaler:
   - Min 3, max 15 replik
   - Docelowe wykorzystanie CPU: 70%

5. Szablony ConfigMap i Secret:
   - ConfigMap dla niewrażliwych zmiennych środowiskowych
   - External Secrets Operator dla wrażliwych wartości z AWS Secrets Manager

Użyj struktury Kustomize z base/ i overlays/staging/ oraz overlays/production/.

Zarządzanie środowiskami

Jedną z najtrudniejszych części IaC jest zarządzanie różnicami między środowiskami. Agent może pomóc w stworzeniu konfiguracji DRY, która różni się tylko tam, gdzie trzeba.

@infrastructure/environments/staging @infrastructure/environments/production

Nasze środowiska staging i production współdzielą te same moduły Terraform,
ale różnią się w:
- Rozmiarach instancji (staging: t3.small, production: t3.large)
- Liczbie replik (staging: 1, production: 3)
- Rozmiarze bazy danych (staging: db.t3.micro, production: db.r6g.large)
- Nazwach domen (staging: staging.myapp.com, production: myapp.com)
- Progach monitoringu (staging: luźne, production: ścisłe)

Utwórz plik terraform.tfvars dla każdego środowiska, który:
1. Definiuje tylko wartości różniące się między środowiskami
2. Używa tych samych nazw zmiennych (zdefiniowanych w variables.tf modułu)
3. Zawiera komentarze wyjaśniające, dlaczego każda wartość się różni
4. Stosuje naszą konwencję nazewnictwa: {env}-{service}-{resource}

Zarządzanie sekretami

Uwaga

Nigdy nie pozwalaj Agentowi generować konfiguracji z zahardkodowanymi sekretami. Jeśli wygeneruje plik zawierający prawdziwe klucze API, hasła do bazy danych lub tokeny, natychmiast odrzuć zmianę. Zawsze używaj referencji do sekretów (ARN-y AWS Secrets Manager, nazwy Kubernetes Secret, placeholdery zmiennych środowiskowych) zamiast prawdziwych wartości.

@infrastructure/modules/api-service/main.tf

Dodaj zarządzanie sekretami do naszego serwisu ECS:

1. Przechowuj sekrety w AWS Secrets Manager (nie SSM Parameter Store)
2. Odwołuj się do sekretów w definicji tasku ECS jako secrets, nie environment
3. Polityka IAM: rola tasku może tylko czytać sekrety z prefiksem "myapp/{env}/"
4. Automatycznie rotuj poświadczenia bazy danych za pomocą rotacji Secrets Manager
5. Aplikacja czyta sekrety ze zmiennych środowiskowych w runtime

NIE dołączaj żadnych prawdziwych wartości sekretów. Używaj tylko referencji placeholder.
Pokaż mi, jak utworzyć początkowe sekrety za pomocą AWS CLI (jednorazowa konfiguracja).

Kiedy to się psuje

Agent generuje nieprawidłową składnię HCL. HCL Terraform ma subtelne reguły składniowe (jak to, że końcowe przecinki nie są dozwolone w pewnych miejscach). Zawsze uruchamiaj terraform validate po wygenerowaniu. Jeśli zawiedzie, wklej pełny błąd do trybu Agent — zazwyczaj naprawia składnię HCL za pierwszym razem.

Security groups są zbyt permisywne. Agent domyślnie preferuje wygodę nad bezpieczeństwo. Wygeneruje reguły ingress 0.0.0.0/0, chyba że twoje reguły projektu jawnie tego zabraniają. Reguły infrastrukturalne na początku tego artykułu temu zapobiegają, ale zawsze ręcznie weryfikuj reguły security group.

Wygenerowane zasoby kolidują z istniejącym stanem. Jeśli poprosisz Agenta o utworzenie zasobu, który już istnieje w twoim stanie Terraform, zastosowanie zawiedzie. Użyj najpierw trybu Ask: “Biorąc pod uwagę naszą istniejącą infrastrukturę, jakie zasoby już mamy i co muszę dodać?” Odwołaj się do pliku stanu lub istniejących modułów.

Buildy Dockera są zbyt duże. Agent czasem kopiuje niepotrzebne pliki do obrazu. Sprawdź, czy .dockerignore wyklucza testy, dokumentację i pliki źródłowe. Wieloetapowe buildy powinny kopiować tylko skompilowany output i zależności produkcyjne.

Konfiguracje środowisk rozsynchronizowują się. Gdy aktualizujesz moduł, musisz zaktualizować wszystkie konfiguracje środowisk. Poproś Agenta: “Zmieniłem moduł api-service, dodając nową zmienną ‘enable_waf’. Zaktualizuj wszystkie pliki tfvars środowisk, aby zawierały tę zmienną z odpowiednimi wartościami.”

Co dalej

Pipeline CI/CD Zautomatyzuj wdrażanie infrastruktury z GitHub Actions.

Monitoring Skonfiguruj obserwowalność swojej infrastruktury.

Mikroserwisy Zdefiniuj infrastrukturę dla architektur rozproszonych serwisów.