Terragrunt离线环境下私有模块与Provider缓存配置指南

背景介绍

在企业级基础设施管理中，Terragrunt作为Terraform的包装工具，经常需要在离线环境（即所谓的"空气隔离"环境）中部署基础设施。这种环境通常存在于高度安全的内部网络中，无法直接访问公共互联网资源。本文将深入探讨如何在这种环境下正确配置Terragrunt的Provider缓存机制，特别是针对私有模块的使用场景。

核心问题分析

在离线环境中使用Terragrunt时，主要面临两个关键挑战：

1. 私有模块的缓存问题：当使用企业内部托管的私有Terraform模块时，即使已经手动将Provider安装到缓存目录，Terragrunt仍然会尝试从远程注册表查询版本信息。

2. Provider缓存机制失效：配置了direct.exclude规则后，系统仍然会尝试连接远程注册表，导致在无网络连接的情况下操作失败。

详细解决方案

环境变量配置

首先需要设置正确的环境变量来启用Terragrunt的Provider缓存功能：

export TERRAGRUNT_PROVIDER_CACHE="1"
export TERRAGRUNT_PROVIDER_CACHE_REGISTRY_NAMES="registry.terraform.io,terraform.example.com"
export TERRAGRUNT_PROVIDER_CACHE_HOST=127.0.0.1
export TERRAGRUNT_PROVIDER_CACHE_PORT=5758

这些变量告诉Terragrunt：

• 启用Provider缓存功能
• 指定需要缓存的注册表域名
• 设置缓存服务监听的地址和端口

Terraform配置文件优化

在~/.terraformrc文件中，需要配置Provider的安装策略：

plugin_cache_dir = "$HOME/.cache/terragrunt/providers"
disable_checkpoint = true

provider_installation {
  filesystem_mirror {
    path    = "/home/user/.cache/terragrunt/providers"
    include = ["terraform.example.com/*/*"]
  }
  direct {
    exclude = ["terraform.example.com/*/*"]
  }
}

这个配置实现了：

1. 设置插件缓存目录
2. 禁用Terraform的自动更新检查
3. 定义文件系统镜像路径
4. 明确包含/排除特定的Provider来源

目录结构建议

为了管理清晰，建议采用以下目录结构：

• Terragrunt Provider缓存：~/.cache/terragrunt/providers
• Terraform默认插件目录：~/.terraform.d/plugins

这种分离的结构有助于区分Terragrunt专用缓存和Terraform默认的插件管理。

常见问题排查

版本查询失败问题

即使配置了正确的缓存机制，仍可能遇到版本查询失败的错误。这是因为：

1. Terraform会默认尝试查询Provider的最新版本信息
2. 在离线环境中，这种查询会因网络不可达而失败

解决方案是确保：

• disable_checkpoint = true设置正确
• 所有必需的Provider已预先下载到缓存目录
• 文件权限设置正确，确保Terragrunt可以读取缓存内容

私有模块的特殊处理

对于私有模块，需要特别注意：

1. 模块路径必须与缓存目录结构匹配
2. 版本号需要明确指定，避免动态查询
3. 在terragrunt.hcl中显式定义Provider版本

最佳实践建议

1. 预先填充缓存：在有网络的环境中预先下载所有需要的Provider到缓存目录。

2. 版本锁定：在代码中明确指定Provider版本，避免动态查询。

3. 双重验证：同时检查Terragrunt和Terraform的日志，确认缓存机制是否按预期工作。

4. 网络隔离测试：在实际离线环境部署前，通过在在线环境中模拟离线条件（如使用防火墙规则）进行测试。

5. 文档记录：详细记录所有私有模块的缓存位置和版本信息，便于团队协作和后续维护。

通过以上配置和实践，可以在完全离线的环境中稳定使用Terragrunt管理基础设施，同时兼顾私有模块的安全性和公共模块的便利性。