应使用 Go 调用 Terraform 而非 CLI,以支持 CI/CD 中动态配置生成、多环境策略判断及 infra 状态嵌入业务健康检查;推荐 hashicorp/terraform-exec 库,需显式管理工作目录、state 路径、变量注入与敏感输出处理。
为什么不用 Terraform CLI 而要用 Go 调用 terraform?
直接执行 terraform apply 脚本足够简单,但当你需要在 CI/CD 中动态生成配置、做多环境策略判断、或把 infra 状态嵌入业务服务健康检查时,就得让 Go 主动控制 Terraform 生命周期。Go 官方不提供 SDK,但 hashicorp/terraform-exec 是目前最稳定、被 terraform-ls 和 tfexec 等工具广泛验证的封装库。
如何用 tfexec 初始化并执行 plan/apply?
核心是用 tfexec.NewTerraform 绑定工作目录和二进制路径,再按顺序调用 Init、Plan、Apply。注意:所有操作默认阻塞,且错误需显式检查;Plan 不会自动写入 tfplan 文件,得手动传 tfexec.PlanOut("plan.binary")。
tf, err := tfexec.NewTerraform("/path/to/infra", exec.LookPath("terraform"))
if err != nil {
log.Fatal(err)
}
if err := tf.Init(context.Background(), tfexec.Upgrade(true)); err != nil {
log.Fatal(err)
}
if err := tf.Plan(context.Background(), tfexec.PlanOut("plan.binary")); err != nil {
log.Fatal(err)
}
if err := tf.Apply(context.Background(), "plan.binary"); err != nil {
log.Fatal(err)
}
tfexec 传参和状态隔离要注意什么?
Terraform 的 state 并非进程级隔离——同一目录下并发调用 Apply 可能冲突。生产中务必为每次执行分配独立工作目录(例如用 os.MkdirTemp),并通过 tfexec.State("state.tfstate") 显式指定路径。变量注入推荐用 tfexec.VarFile("prod.tfvars") 或 tfexec.Var("env=prod"),避免拼接字符串导致注入风险。
-
tfexec.UseStderr():让错误输出走 stderr,方便日志分类 - 不建议用
tfexec.AutoApprove():绕过确认会跳过敏感变更预警,应改用Plan后解析tfexec.PlanJSON()做白名单校验 -
tfexec.Reconfigure()仅在 provider 配置变更后需要,普通变量更新无需调用
怎么安全获取 output 并注入到 Go 服务?
tf.Output 返回的是 map[string]*tfjson.OutputValue,其中 OutputValue.Value 是 interface{},需类型断言。若 output 是 string,直接 v.Value.(string);若是 map 或 list,得先转 map[string]interface{} 再递归处理。别直接用 json.Marshal 打印整个结构——OutputValue.Sensitive 字段为 true 时,值已被打码为 tfjson.UnknownVariableValue,强行取值会 panic。
立即学习“go语言免费学习笔记(深入)”;
outputs, err := tf.Output(context.Background())
if err != nil {
log.Fatal(err)
}
dbHost := outputs["db_host"].Value.(string)
dbPort := int(outputs["db_port"].Value.(float64)) // 注意 JSON number 默认是 float64
Terraform 的 Go 集成不是“把命令行搬到代码里”,而是把 state 生命周期、output 解析、错误恢复这些隐式行为显式化——漏掉一次 os.RemoveAll(tempDir),就可能让下次 Init 失败;忽略 OutputValue.Sensitive 判断,就可能把密码明文打进日志。 
