Terraform после IBM: дожимаем миграцию на OpenTofu или зря дёргаемся?

[kardanger]

Ситуация: у нас в конторе ~120 модулей Terraform, и всё это застряло на 1.5.7 ещё с тех пор, как HashiCorp перевела лицензию на BSL. Сидеть на версии трёхлетней давности уже больно — нет removed-блоков, нет ephemeral values, тестовый фреймворк старый. После того как сделку с IBM окончательно закрыли и пошли первые перестановки в команде, начальство задёргалось: «а не останемся ли мы с мёртвым инструментом».

Вопрос к тем, кто реально мигрировал на OpenTofu, а не в твиттере об этом спорил: насколько больно? Стейт подхватывается как есть? Провайдеры yandex-cloud и vkcs работают без шаманства? И что делать с lock-файлом — хеши же у пакетов другие будут.

[k_egor_s]

Переезжали в декабре, ~80 воркспейсов. Если коротко: tofu init и tofu plan на стейте от 1.5.x отработали без единого диффа. Lock-файл просто удалили и сгенерили заново через tofu providers lock. Провайдер yandex-cloud тянется из реестра OpenTofu без правок кода вообще.

Из плюшек, которых в Terraform нет: state encryption из коробки (мы шифруем AES-GCM ключом из Vault) и флаг -exclude в плане. Один нюанс: после перехода на 1.6+ форматы стейта расходятся, дороги назад по щелчку уже нет. Принимайте решение один раз.

[sylvia666]

А мы остались на Terraform и не жалеем. 1.12 спокойно живёт в проде, IBM пока ничего не сломала, а BSL вас касается, только если вы продаёте конкурента Terraform Cloud — вы продаёте? Вот и всё.

Ощущение, что половина переездов на Tofu — идеология, а не инженерия. Вендоры типа Databricks и Snowflake официально по-прежнему «Terraform first», а на Tofu у них позиция «ну вроде работает». Когда что-то отвалится на стыке, угадайте, чей баг-репорт закроют первым.

[envoy69]

Подробно распишу наш переезд, может кому сэкономит время. Парк: ~150 стейтов, бэкенд — S3-совместимый в Yandex Object Storage, CI в GitLab.

1. Заморозили версию: во все пайплайны прибили tofu 1.9 явно, никаких latest.
2. Канарейка: два спринта dev-окружения катались параллельно — terraform plan и tofu plan, оба плана выгружали в JSON и диффали скриптом. Расхождений по ресурсам ноль, разошлись только строки версий в метаданных.
3. Lock-файлы перегенерили: rm .terraform.lock.hcl && tofu providers lock -platform=linux_amd64 -platform=darwin_arm64.
4. Грабли: в паре мест в обвязке был захардкожен парсинг вывода terraform version — упало, конечно. И s3-бэкенд: параметры endpoints с новых версий объявляются по-другому, старый синтаксис сыплет deprecated-варнингами, лучше поправить сразу.
5. Terragrunt трогать не пришлось вообще, только переменная TG_TF_PATH=tofu в CI.

Итого два спринта неспешной работы, ни одного инцидента. Провайдеры yandex-cloud, vkcs и helm — без сюрпризов.

[juniorstack]

Про «идеологию» соглашусь наполовину. Есть одна фича, ради которой нас на Tofu загнали сами безопасники, — шифрование стейта. После прошлогодних историй с утечками стейтов из публичных бакетов (а там токены, пароли и приватные ключи лежат открытым текстом) аргумент «в Terraform этого нет и в опенсорсной части не будет» закрыл дискуссию за одно совещание.