how/state

Анатомия terraform.tfstate

Что лежит внутри state-файла, зачем там serial и lineage, и почему пароль из HCL в нём оказывается открытым текстом. Развёрнутый JSON по слоям.

State-файл - это частная база данных Terraform про твою инфраструктуру. Не транзакционная Postgres, а просто JSON, обычно terraform.tfstate.

Зачем он нужен:

сопоставить ресурс из HCL (по имени aws_s3_bucket.demo) с реальным объектом в облаке (по id = "linuxlab-3f4a"). Без этого Terraform не знал бы, какой именно бакет он создавал.
запомнить зависимости - что от чего зависит, в каком порядке создавать и сносить.
закэшировать атрибуты ресурсов, чтобы plan не дёргал облако без нужды.

Жми ▶ - пройдём по файлу слой за слоем. Эталон - tf-state.

step 1/6·00 · файл закрыт

§ шаги

terraform.tfstate в корне проекта рядом с main.tf. По дефолту - обычный JSON на диске. После apply в нём появляется запись о каждом ресурсе. Открываем.

итого

Главное про state:

Это source of truth. Не файл в облаке, не консоль AWS, а именно terraform.tfstate. Если state поломан или потерян - Terraform теряет связь с реальностью (см. tf-state-import).
serial растёт на каждом apply. lineage - UUID, который не меняется никогда (генерируется при первом создании state). Эти два поля защищают от конфликтов при remote backend.
dependencies записаны в state, а не вычисляются на лету. Если ты сделал terraform state rm - забыл и про зависимости. Поэтому state rm опасен.
Любой sensitive в HCL оказывается в state в открытом виде. Это не баг, это устройство. Защищается шифрованием remote backend и контролем доступа (см. tf-secrets-in-state, tf-remote-backend-s3).

Дальше: tf-drift - что бывает, когда state и реальность расходятся.