Terraform环境变量与计划文件应用时的变量覆盖问题解析

问题背景

在使用Terraform进行基础设施管理时，开发人员经常遇到变量优先级和计划文件应用的问题。最近在Terraform 1.10.5版本中发现了一个值得关注的行为：当使用保存的计划文件(plan)执行apply操作时，环境变量(TF_VAR_)会尝试覆盖已在计划文件中定义的变量值，导致应用失败。

问题重现与现象

通过一个简单的测试案例可以重现这个问题：

1. 首先设置两个环境变量：

export TF_VAR_set_by_env_var="set by env var"
export TF_VAR_set_by_env_var_and_tfvars="set by env var"

2. 然后使用包含变量定义的tfvars文件创建计划：

terraform plan -var-file=test.tfvars -out plan

3. 最后尝试应用该计划文件时：

terraform apply "plan"

此时Terraform会报错，提示不能在使用保存的计划文件时修改变量值。错误信息中还出现了变量来源描述不准确的问题。

技术原理分析

Terraform变量优先级机制

Terraform有一套明确的变量定义优先级规则：

1. 环境变量(TF_VAR_)具有较低的优先级
2. terraform.tfvars文件中的定义会覆盖环境变量
3. 通过-var-file指定的文件会覆盖上述两者
4. 命令行直接使用-var参数定义的变量具有最高优先级

计划文件中的变量保存机制

当Terraform生成计划文件时，会将所有非临时(ephemeral)变量的当前值序列化保存到文件中。在应用阶段，Terraform期望这些变量值保持不变，以确保执行结果与计划一致。

问题本质

这个问题的核心在于：

1. 在Terraform 1.10版本之前，环境变量尝试覆盖计划文件中变量的行为会被静默忽略
2. 从1.10版本开始，这种行为会触发错误，但错误信息中的变量来源描述不准确
3. 开发团队认为这种覆盖行为本身就是一种反模式(anti-pattern)

解决方案与最佳实践

临时修复方案

Terraform团队在后续版本中做了两处改进：

1. 修正了错误信息中变量来源描述的准确性
2. 将对环境变量覆盖行为的处理从错误降级为警告

长期最佳实践

根据Terraform团队的建议，应该遵循以下原则：

1. 将plan和apply作为CI/CD流水线中完全独立的阶段
2. 每个阶段使用各自独立的环境变量配置
3. 对于需要在apply阶段变更的变量，应显式声明为ephemeral
4. 避免在apply阶段传递TF_VAR_环境变量，因为计划文件中已包含所需值

实际应用建议

在CI/CD实践中，可以采取以下具体措施：

1. 在plan阶段设置所需的所有环境变量
2. 在apply阶段清除或不再设置TF_VAR_前缀的环境变量
3. 对于必须变更的变量(如凭证)，使用ephemeral特性
4. 考虑使用不同权限的凭证进行plan(只读)和apply(读写)操作

总结

Terraform的这一行为变化反映了基础设施即代码实践中的一个重要原则：plan和apply阶段应该保持完全确定性。通过理解变量优先级机制和计划文件的工作原理，开发人员可以构建更可靠、更安全的部署流程。最新版本的改进使得这一原则更加明确，同时也提供了更灵活的处理方式。