Terragrunt升级至0.70.4后TFLINT变量校验问题解析

问题背景

在Terragrunt项目中，开发者通常会使用TFLINT作为预验证工具，通过配置before_hook在terraform validate/apply/plan命令执行前自动运行。这种集成方式在Terragrunt 0.68.6及更早版本中运行良好，但当升级到0.70.4版本后，开始出现变量校验错误。

问题现象

升级后，TFLINT会报告类似以下错误：

Error: Value for undeclared variable
A variable named "zone" was assigned, but the root module does not declare a variable of that name.

这种错误出现在项目结构中使用了变量共享机制的情况下。典型的Terragrunt项目会通过include机制在不同环境或模块间共享变量定义，但某些模块可能不会声明所有共享的变量。在旧版本中，未声明的变量会被静默忽略，而新版本则将其视为错误。

技术分析

这个问题源于Terragrunt 0.70.4升级了内置的TFLINT版本。关键变化包括：

1. TFLINT 0.50.3版本引入了更严格的变量校验规则，要求所有传递的变量都必须在模块中显式声明
2. 旧版本(如0.47.0)则允许存在未声明的变量
3. 这种变更符合TFLINT项目维护者的设计意图，他们不打算提供关闭此检查的选项

解决方案

对于遇到此问题的用户，有以下几种解决方案：

1. 使用外部TFLINT二进制文件 安装指定版本的TFLINT(如0.47.0)并配置Terragrunt使用外部二进制：

   terraform {
     before_hook "tflint" {
       commands = ["apply", "plan", "validate"]
       execute  = ["tflint", "--terragrunt-external-tflint"]
     }
   }
   

2. 调整项目结构 确保所有模块都声明了它们可能接收的所有变量，即使某些变量在当前模块中不使用

3. 等待社区修复 有迹象表明这个问题可能与Terragrunt传递变量的方式有关，社区可能在未来版本中优化这一行为

最佳实践建议

1. 在升级Terragrunt版本前，先在测试环境中验证TFLINT的行为变化
2. 考虑将TFLINT检查作为独立的CI/CD步骤，而不是集成到Terragrunt工作流中
3. 对于大型项目，建立完整的变量文档，确保所有模块都明确定义它们需要和接受的变量

总结

Terragrunt 0.70.4版本的这一变化反映了基础设施即代码(IaC)工具向更严格、更安全的方向发展。虽然短期内可能造成一些兼容性问题，但从长期来看，强制显式变量声明有助于提高代码的可维护性和可读性。开发者应根据项目实际情况选择合适的解决方案，平衡严格检查与开发效率之间的关系。