devops

AWS Terraform 生命周期规则

发布: (2025年12月2日 GMT+8 23:33)
6 min read
原文: Dev.to

Source: Dev.to

引言

基础设施即代码(IaC)在你能够完全控制资源在更新、替换和删除过程中的行为时最为强大。Terraform 提供了一组 生命周期元参数,帮助你微调这些行为,避免意外停机,并强制执行组织策略。这些生命周期规则在处理生产级 AWS 环境时尤为关键,因为在此类环境中,稳定性、可预测性和合规性至关重要。

本文将详细解释每个 Terraform 生命周期规则,它们的工作原理、实际使用场景,以及它们在真实 AWS 部署中的重要性。

create_before_destroy

确保在销毁现有资源之前先创建替代资源。这在需要零停机时间时尤为重要。

  • 默认情况下,Terraform 会先销毁旧资源,这可能导致关键资源(例如提供实时流量的 EC2 实例)出现服务中断。
  • 使用 create_before_destroy 时,Terraform 会先创建新实例,切换依赖关系,然后再删除旧实例。

典型使用场景

  • 负载均衡器后面的 EC2 实例
  • 需要不间断可用性的 RDS 资源
  • 蓝绿部署模式
  • 对间隙不可接受的基础设施
lifecycle {
  create_before_destroy = true
}

prevent_destroy

阻止 Terraform 完全销毁资源。如果任何操作尝试销毁,Terraform 将抛出错误。

  • 意外删除可能导致不可逆的损失。数据库、包含敏感日志的 S3 桶以及有状态系统绝不应被无意删除。
  • 此规则提供安全网,强制在关键资源被移除前进行人工干预。

典型使用场景

  • 生产数据库
  • 关键 S3 桶
  • 在多个系统中使用的 IAM 角色
  • 任何包含敏感或合规要求数据的资源
lifecycle {
  prevent_destroy = true
}

ignore_changes

Terraform 通常会尝试将资源恢复到代码中声明的期望状态。ignore_changes 告诉 Terraform 不跟踪或回滚可能在 Terraform 之外被修改的特定属性(例如由 AWS 服务或其他团队修改的属性)。

  • 防止不必要的频繁变更,避免 Terraform 与 AWS 托管服务产生冲突。

典型使用场景

  • 自动伸缩组的期望容量
  • 监控工具自动添加的标签
  • 跨多个团队管理的安全组
  • 受 AWS 服务控制的值
lifecycle {
  ignore_changes = [desired_capacity]
}

replace_triggered_by

当另一个资源发生变化时,强制重新创建当前资源。适用于依赖的变更会影响另一个组件功能的情况。

  • 即使 EC2 实例的配置本身没有变化,安全组的更改也可能出于安全或合规原因需要替换实例。

典型使用场景

  • 当安全组更改时替换 EC2 实例
  • 基于配置更新重新创建资源
  • 强制不可变基础设施实践
lifecycle {
  replace_triggered_by = [aws_security_group.app_sg.id]
}

precondition

在资源创建或修改 之前 验证特定条件。如果条件失败,Terraform 将停止并显示自定义错误信息。

  • 及早防止错误配置。
  • 确保仅在批准的区域、必需的标签或有效参数下进行部署。

典型使用场景

  • 仅在特定 AWS 区域进行部署
  • 验证标签是否存在
  • 确保所需的环境变量已定义
  • 检查资源配额限制
precondition {
  condition     = contains(var.allowed_regions, data.aws_region.current.name)
  error_message = "Region not allowed for deployment."
}

postcondition

在资源创建或更新 之后 验证条件。如果条件失败,Terraform 将把资源标记为无效。

  • 确保最终状态符合政策或预期。
  • 示例:即使创建后也必须强制桶拥有特定标签。

典型使用场景

  • 确保重要标签存在
  • 验证资源属性
  • 强制遵守组织标准的合规性
  • 检查资源创建后的状态
postcondition {
  condition     = contains(keys(self.tags), "Environment")
  error_message = "Environment tag is required."
}

结论

Terraform 生命周期规则是构建弹性 AWS 基础设施的关键。它们帮助防止停机、保护关键数据、确保合规,并在更新过程中保持可预测的行为。借助这些工具,你不仅可以控制创建哪些资源,还能管理它们在整个生命周期中的行为方式。

无论是部署生产工作负载、实现自动化流水线,还是跨团队管理基础设施,生命周期规则都为你的 Terraform 工作流带来安全性、一致性和可靠性。

Back to Blog

相关文章

阅读更多 »

Terraform 项目:简单 EC2 + 安全组

项目结构 terraform-project/ │── main.tf │── variables.tf │── outputs.tf │── providers.tf │── terraform.tfvars │── modules/ │ └── ec2/ │ ├── main.tf │ …

在 S3 中保存 Terraform 状态

配置 S3 作为 Terraform 后端 Terraform 可以将其状态存储在 S3 存储桶中。以下是一个最小的配置示例,用于设置 S3 后端:hcl terrafor...