OpenTofu中自定义函数处理未知值的机制解析

在OpenTofu v1.8.4版本中，开发者发现了一个关于自定义函数处理未知值的有趣现象。当自定义函数的参数配置为不允许未知值（即AllowUnknownValues: false）时，OpenTofu会将未知值参数作为未初始化的结构体传递给函数，而不是像内置函数那样直接返回未知值结果。

问题现象

通过一个简单的测试用例可以清晰地观察到这一现象。当使用terraform_data资源的输出（在应用前是未知值）作为自定义函数deepmerge::mergo的参数时，OpenTofu会传递一个空对象{}而不是预期的未知值标记。这与内置函数jsonencode的行为形成鲜明对比，后者会正确地返回(known after apply)的标记。

技术原理分析

深入分析这个问题，关键在于OpenTofu如何处理IsKnown和IsWhollyKnown这两个概念。在cty类型系统中：

1. IsKnown检查单个值是否已知
2. IsWhollyKnown检查复合值及其所有元素是否完全已知

当使用部分已知的复合值（如{bam = cty.UnknownValue(...)}）作为函数参数时，OpenTofu当前的实现会通过msgpack编码保留这种部分已知状态，并将其传递给自定义函数。这与Terraform的行为不同，后者会在调用函数前检查IsWhollyKnown并短路处理。

协议规范解读

查阅OpenTofu的provider协议文档，发现其中明确说明当AllowUnknownValues为false时，如果参数包含任何未知值，调用应该失败。这表明当前OpenTofu的实现与协议规范存在不一致之处。

影响与建议

这种行为差异可能导致几个问题：

1. 单次计划无法收敛
2. 自定义函数暴露于无效数据
3. 最坏情况下可能导致基础设施不稳定和provider崩溃

对于开发者而言，建议在编写自定义函数时：

1. 明确设置AllowUnknownValues参数
2. 对输入参数进行严格的未知值检查
3. 考虑实现与内置函数一致的行为模式

OpenTofu团队需要评估这是否是一个需要修复的bug，或者是否应该将其视为与上游Terraform的故意行为差异。无论哪种情况，清晰的文档说明对开发者都将大有裨益。