El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia

HOME

Cerramos la Parte V juntando todo lo aprendido en un flujo automático completo: un pipeline de CI/CD para Terraform. Hemos visto las piezas sueltas (revisión de planes en el subcapítulo 12.5, testing en el Capítulo 21); ahora las unimos en una «cadena de montaje» automática que va desde que escribes código hasta que se despliega. Lo haremos con GitHub Actions, una de las herramientas de CI/CD más populares.

Qué es un pipeline de CI/CD

Un pipeline (tubería) de CI/CD es una secuencia automática de pasos que se ejecuta cuando cambias el código. Recuerda los dos conceptos:

CI (Integración Continua): comprobar automáticamente que el código es correcto (lo vimos en el subcapítulo 21.1: fmt, validate, seguridad...).
CD (Continuous Delivery/Deployment, Entrega/Despliegue Continuo): llevar automáticamente el código aprobado a su destino (en nuestro caso, aplicar la infraestructura).

   Escribes código  →  PIPELINE automático  →  infraestructura desplegada
                       (lint, plan, apply...)

Analogía: un pipeline es como una cadena de montaje de una fábrica. El producto (tu código) avanza por estaciones: en una se inspecciona, en otra se prueba, en otra se ensambla, y al final sale terminado. Cada estación hace su parte automáticamente, y si algo falla en una, la cadena se detiene antes de que el defecto avance.

Qué es GitHub Actions

GitHub Actions es el sistema de CI/CD integrado en GitHub. Te permite definir pipelines en un archivo dentro de tu repositorio, y se ejecutan automáticamente ante eventos como abrir un Pull Request o fusionar a la rama principal. Hay alternativas equivalentes (GitLab CI, Jenkins, CircleCI...), pero GitHub Actions es muy popular y fácil de empezar; los conceptos son los mismos en todas.

El pipeline se define en un archivo YAML dentro de .github/workflows/:

mi-repositorio/
 └── .github/
      └── workflows/
           └── terraform.yml    ← aquí se define el pipeline

Las tres etapas del pipeline básico

Un pipeline básico de Terraform tiene tres etapas, que recogen todo lo que hemos visto:

┌─ LINT ──────┐   ┌─ PLAN ──────────┐   ┌─ APPLY ─────────┐
│ fmt -check   │ → │ terraform plan   │ → │ terraform apply  │
│ validate     │   │ (en el PR, se    │   │ (tras aprobar y  │
│ seguridad    │   │  revisa)         │   │  fusionar)       │
└──────────────┘   └──────────────────┘   └──────────────────┘

Etapa 1: Lint (comprobaciones)

«Lint» significa revisar el código en busca de problemas. Aquí se ejecutan las comprobaciones baratas del Capítulo 21: terraform fmt -check, terraform validate y el análisis de seguridad (Checkov/tfsec). Si algo falla, el pipeline se detiene: no tiene sentido seguir con código mal formateado, inválido o inseguro.

Etapa 2: Plan (previsualización)

Se ejecuta terraform plan (subcapítulo 11.4) y su resultado se publica en el Pull Request para que un compañero lo revise (exactamente el flujo del subcapítulo 12.5). Esta es la etapa clave de seguridad: nadie aplica nada sin que antes se vea y apruebe qué va a cambiar.

Etapa 3: Apply (despliegue)

Una vez el PR se aprueba y fusiona a la rama principal, el pipeline ejecuta terraform apply automáticamente, aplicando los cambios revisados. Como ya se revisó el plan, este apply es seguro y controlado.

Cómo se ve, a grandes rasgos

Un pipeline simplificado en GitHub Actions tendría esta forma (no necesitas memorizar la sintaxis, solo entender la estructura):

name: Terraform
on:
  pull_request:        # al abrir un PR → lint y plan
  push:
    branches: [main]   # al fusionar a main → apply

jobs:
  terraform:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4              # descarga el código

      - run: terraform fmt -check              # 1. lint
      - run: terraform init
      - run: terraform validate

      - run: terraform plan                    # 2. plan (en el PR)

      - run: terraform apply -auto-approve     # 3. apply (solo en main)
        if: github.ref == 'refs/heads/main'

Fíjate en los disparadores (on):

En un Pull Request (pull_request): se ejecutan el lint y el plan (se revisa, no se aplica).
Al fusionar a main (push a main): se ejecuta el apply (ya revisado).

Esto implementa exactamente el flujo de equipo del subcapítulo 12.5, pero automatizado.

La gran ventaja: nadie aplica desde su portátil

Recuerda el principio del subcapítulo 12.5: en equipo, nadie aplica Terraform a mano. El pipeline lo hace cumplir de forma automática:

Los cambios pasan siempre por las comprobaciones (no se pueden saltar).
El plan siempre se revisa antes de aplicar.
El apply lo ejecuta el sistema, de forma consistente y registrada, no una persona desde su máquina (con su configuración particular y posibilidad de error).

Sin pipeline:  cada uno aplica desde su portátil  → caos, errores, sin registro
Con pipeline:  todo pasa por la cadena automática → consistente, seguro, trazable

Una nota sobre las credenciales

Para que el pipeline pueda aplicar cambios en AWS, necesita credenciales. ⚠️ Nunca se escriben en el archivo del pipeline (sería como dejar las llaves puestas). Se usan los secretos de GitHub Actions (un almacén seguro) o, mejor aún, una conexión segura sin claves permanentes (OIDC), aplicando el mínimo privilegio (Capítulo 7): el pipeline solo debe tener permisos para lo que necesita gestionar. Profundizaremos en seguridad de credenciales en el Capítulo 23.

Lo que debes recordar

Un pipeline de CI/CD es una secuencia automática de pasos que se ejecuta al cambiar el código: CI comprueba que es correcto, CD lo despliega. Como una cadena de montaje.
GitHub Actions define pipelines en un archivo YAML en .github/workflows/; hay alternativas equivalentes (GitLab CI, Jenkins...), con los mismos conceptos.
El pipeline básico de Terraform tiene tres etapas: Lint (fmt, validate, seguridad), Plan (se publica en el PR y se revisa) y Apply (tras aprobar y fusionar).
Los disparadores: en un PR se hace lint + plan (revisión); al fusionar a main se hace el apply (ya revisado). Es el flujo del subcapítulo 12.5, automatizado.
La gran ventaja: nadie aplica desde su portátil; todo pasa por la cadena automática, de forma consistente, segura y trazable.
⚠️ Las credenciales del pipeline van en secretos (nunca en el archivo) y con mínimo privilegio.

En el siguiente subcapítulo veremos una herramienta especializada en este flujo para Terraform: Atlantis, que lleva el GitOps de la infraestructura a otro nivel.

Cloud, AWS & Terraform — De cero a experto

Capítulo 1 · Qué es el cloud computing

Capítulo 2 · El mercado cloud y los grandes proveedores

Capítulo 3 · Regiones, zonas de disponibilidad y edge

Capítulo 4 · Cómputo: EC2

Capítulo 5 · Almacenamiento: S3

Capítulo 6 · Redes: VPC

Capítulo 7 · Identidad y acceso: IAM

Capítulo 8 · Bases de datos gestionadas

Capítulo 9 · Por qué Infraestructura como Código

Capítulo 10 · HCL: el lenguaje de Terraform

Capítulo 11 · Providers y estado

Capítulo 12 · Tu primera infraestructura real en Terraform

Capítulo 13 · Balanceo de carga y autoescalado

Capítulo 14 · Serverless con Lambda

Capítulo 15 · Mensajería y eventos

Capítulo 16 · Entrega de contenido y DNS

Capítulo 17 · Contenedores en AWS

Capítulo 18 · Módulos: reutilización y composición

Capítulo 19 · Workspaces y gestión de entornos

Capítulo 20 · Backends remotos y locking

Capítulo 21 · Testing de infraestructura

Capítulo 22 · Terraform en CI/CD

Capítulo 23 · Seguridad en profundidad

Capítulo 24 · Observabilidad: logs, métricas y trazas

Capítulo 25 · Optimización de costes

Capítulo 26 · Alta disponibilidad y disaster recovery

Capítulo 27 · Well-Architected Framework de AWS

Capítulo 28 · Arquitecturas serverless a escala

Capítulo 29 · Plataformas de datos en AWS

Capítulo 30 · Multi-cuenta y landing zones

Capítulo 31 · Platform Engineering e Internal Developer Platform

Capítulo 32 · Certificaciones AWS relevantes

Capítulo 33 · Proyectos para consolidar lo aprendido

Capítulo 34 · Recursos y comunidad