Год после покупки HashiCorp IBM-ом: перевели весь прод на OpenTofu — делюсь граблями

[mystiga]

Дозрели наконец. С прошлой зимы сидели на Terraform 1.5.7 (последняя версия под MPL), дальше обновляться юристы по BUSL не дали — мы делаем managed-хостинг, формально конкурируем. За три недели перевели всё на OpenTofu 1.10: 14 воркспейсов, около 38 тысяч ресурсов, Yandex Cloud плюс немного Selectel.

Что реально болело и что нет:
1. Сама миграция стейта — не болела вообще. tofu init -upgrade, затем tofu plan — ноль изменений. Формат стейта совместимый.
2. Провайдеры. Половина тянулась с официального сайта HashiCorp, который из РФ не отдаётся с 2022-го, жили через прокси. Теперь прописали network_mirror на зеркало Яндекс Облака в .terraformrc — и всё, костыли выкинули.
3. Шифрование стейта из коробки (есть с 1.7) — включили AES-GCM поверх S3-бэкенда, аудиторы довольны.
4. Нативный S3 locking без DynamoDB — снесли таблицу блокировок, минус одна зависимость в каждом окружении.

Из неприятного: пара модулей жёстко ссылалась на hashicorp/* и падала на проверке версий, пришлось форкнуть. И Terragrunt у нас был доисторический — обновили, он давно умеет tofu через TERRAGRUNT_TFPATH.

Кто ещё остался на Terraform — на чём держитесь? Интересуют реальные причины, кроме инерции.

[Bill2001]

Держимся и не жужжим. BUSL запрещает делать конкурирующий продукт, а не пользоваться инструментом. Для 95% компаний в СНГ лицензия вообще ничего не меняет — мы рулим внутренней инфрой, а не продаём TF-as-a-service. Зато в свежем Terraform ephemeral values и stacks уже допилены до рабочего состояния, а Tofu это догонял с опозданием. Менять шило на мыло ради идеологии — ну такое.

[juniorredteam]

@Bill2001, Выше пишут про идеологию, но есть и шкурный аргумент: registry OpenTofu из РФ работает напрямую, без зеркал и прокси. Мы в банке проходили ИБ-аудит, и пункт «критичный инструмент тянет бинарники через цепочку прокси с заблокированного домена» завернули сразу. С Tofu вопрос закрылся сам собой.

По фичам: после 1.9 появился for_each по провайдерам, и это снесло нам тонну копипасты в мультирегиональном сетапе — один блок provider с алиасами на все зоны Яндекса вместо девяти одинаковых. В Terraform такого нет до сих пор, там предлагают stacks, но это другая модель и она тащит за собой их облачную платформу.

Из честных минусов: экосистема статей и ответов всё ещё в основном про Terraform, джунам сложнее искать решения. И некоторые вендорские провайдеры для enterprise-железок официально декларируют поддержку только TF — по факту работают, но в случае чего саппорт разведёт руками.

[coder_vlad]

После закрытия сделки с IBM у HashiCorp за год ушла заметная часть известных мейнтейнеров. Для меня это сигнал понятнее любых лицензионных тонкостей.

[davkar]

А Atlantis с Tofu дружит? У нас весь флоу через пулреквесты, боюсь трогать работающее.

[andy0326]

Дружит: либо флагом default-tf-distribution tofu при старте сервера, либо per-repo в atlantis.yaml. Гоняем так с осени, полёт нормальный. Единственное — перепроверьте прибитые версии в .tool-versions, если используете asdf или mise, чтобы CI и локальные машины не разъехались по бинарникам.