Tại sao lỗi này xảy ra
Ít có điều gì gây bối rối hơn việc một lệnh terraform plan chạy trơn tru nhưng khi apply lại thất bại. Bạn có thể thấy thông báo rằng một thuộc tính là null trong quá trình plan nhưng lại trở thành một giá trị cụ thể, như i-0123456789abcdef0, trong giai đoạn apply. Điều này xảy ra do sự phá vỡ giao ước giữa Terraform Core và Provider.
Terraform yêu cầu provider phải trung thực. Nếu một provider báo với Terraform rằng, "Tôi chưa biết ID sẽ là gì," nó phải đánh dấu thuộc tính đó là (known after apply). Nếu provider khai báo sai rằng một thuộc tính sẽ là null, nhưng cloud API lại trả về một giá trị thực sau khi tài nguyên được tạo, Terraform sẽ dừng quá trình. Điều này nhằm ngăn chặn việc lưu dữ liệu bị lỗi vào file state của bạn.
Các nguyên nhân gốc rễ phổ biến
Thông thường, vấn đề này nằm ở ba kịch bản cụ thể:
- Lỗi logic của Provider: Đây là nguyên nhân thường gặp nhất. Ví dụ, AWS Provider v3.x từng gặp lỗi khi
tags_allgây ra lỗi không nhất quán nếu API tự động thêm các tag mặc định. - State Drift bị ẩn: Một tài nguyên có thể đã tồn tại trong tài khoản cloud nhưng không được theo dõi trong state. Khi Terraform cố gắng tạo nó, API trả về ID hiện có, gây bất ngờ cho plan.
- Sự thay đổi của API: Các nhà cung cấp cloud như AWS hoặc Azure thường xuyên cập nhật phản hồi API. Nếu bạn đang dùng phiên bản provider cũ (ví dụ: AWS Provider v4.0) đối với hành vi API mới hơn, provider có thể không biết cách xử lý metadata mới.
Cách khắc phục
1. Đồng bộ hóa State với Refresh
Hãy bắt đầu bằng cách đối soát state cục bộ với thực tế. Việc này thường sửa được các lỗi không nhất quán do thay đổi thủ công trên web console hoặc các lần chạy trước bị dở dang. Trong các phiên bản Terraform hiện đại, hãy sử dụng chế độ planning refresh-only để xem những gì đã thay đổi mà không làm biến đổi hạ tầng.
# Kiểm tra drift trước
terraform plan -refresh-only
# Nếu phát hiện drift, cập nhật state
terraform apply -refresh-only
2. Điều chỉnh phiên bản Provider
Nếu lỗi là một bug đã biết, nâng cấp provider là lựa chọn tốt nhất. Hãy kiểm tra AWS Provider GitHub Issues để xem liệu những người khác có báo cáo hành vi tương tự trên tài nguyên cụ thể của bạn hay không. Cập nhật ràng buộc phiên bản trong required_providers.
terraform {
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 5.10.0" # Nhắm tới một bản phát hành ổn định cụ thể
}
}
}
Sau khi thay đổi phiên bản, hãy chạy terraform init -upgrade. Nếu lỗi xuất hiện ngay sau khi nâng cấp, hãy thử hạ cấp xuống một phiên bản nhỏ (minor version) để lấy lại sự ổn định.
3. Cô lập tài nguyên gây lỗi
Các đợt triển khai lớn khiến việc debug trở nên khó khăn. Hãy thu hẹp phạm vi bằng cách chỉ nhắm mục tiêu vào tài nguyên gây lỗi. Điều này giúp bỏ qua các biểu đồ phụ thuộc phức tạp và xác nhận xem vấn đề có nằm riêng lẻ ở khối mã đó hay không.
terraform apply -target=aws_instance.web_server
4. Can thiệp State thủ công
Khi Terraform bị kẹt hoàn toàn ở một ID cụ thể, bạn có thể cần thực hiện "phẫu thuật" trên file state. Nếu tài nguyên thực sự tồn tại trong cloud console, hãy xóa nó khỏi state và import lại. Việc này buộc Terraform phải ghi nhận các thuộc tính hiện tại trực tiếp từ API.
# Xóa tham chiếu khỏi state của bạn (an toàn; không xóa VM)
terraform state rm aws_instance.web_server
# Import lại tài nguyên thực tế bằng ID vật lý của nó
terraform import aws_instance.web_server i-0123456789abcdef0
Xác minh và Phòng ngừa
Để đảm bảo bản sửa lỗi có hiệu lực lâu dài, hãy chạy terraform plan. Bạn sẽ thấy thông báo "No changes". Nếu bạn đang quản lý hạ tầng nhạy cảm, hãy xác minh rằng các file cấu hình cục bộ không bị sửa đổi hoặc lỗi trong quá trình merge nhóm. Tôi thường sử dụng Hash Generator trên ToolCraft để so sánh mã băm SHA-256 của các bản sao lưu state cục bộ với phiên bản từ xa. Đây là cách nhanh chóng để đảm bảo tính toàn vẹn của file mà không làm lộ dữ liệu JSON thô cho máy chủ bên thứ ba.
Để ổn định lâu dài, hãy luôn sử dụng file khóa phụ thuộc (.terraform.lock.hcl). Điều này ngăn chặn pipeline CI/CD của bạn tự động tải về một phiên bản provider bị lỗi có thể làm hỏng quá trình apply trên môi trường production chỉ sau một đêm.