State locking (DynamoDB)

Блокировка состояния Terraform — это механизм безопасности, предотвращающий одновременное изменение одного и того же terraform.tfstate двумя параллельными операциями terraform apply или terraform plan -lock=true, что привело бы к его повреждению. При использовании S3-бэкенда блокировка состояния реализуется через DynamoDB-таблицу, куда Terraform записывает запись блокировки до любой операции, изменяющей состояние, и освобождает её по завершении. Terraform Cloud, Azure Blob Storage и GCS-бэкенды предоставляют нативную блокировку состояния без дополнительной инфраструктуры. Если процесс прерывается в середине apply и блокировка не освобождается автоматически, можно принудительно снять её через terraform force-unlock <lock-id> — но только после подтверждения отсутствия других активных операций, поскольку обход блокировки состояния Terraform на живом воркспейсе может привести к повреждению состояния.

Как это работает

State locking (DynamoDB) — источник истины того, что Terraform считает существующим. Маппит HCL-ресурсы к реальным ID + трекает атрибуты. Local state (terraform.tfstate) ок для соло-обучения; всегда используйте remote backend (S3+DynamoDB, Yandex Object Storage+lockable, Terraform Cloud, GitLab, или terraform login) для команды и production — даёт state locking (предотвращает конкурентные apply), versioned history, контроль доступа. State может содержать секреты — шифруйте.

Когда применять

Remote backend — с первого дня любого командного проекта. Делите state per environment + per concern (один большой state = blast radius на плохом изменении). Подкоманды terraform state (mv, rm, import) — осторожно, они напрямую мутируют state. Drift-detection — terraform plan в CI по расписанию.

Типичные ошибки

Ловушки State locking (DynamoDB): коммит terraform.tfstate в git (содержит секреты + не выдержит конкурентных правок); удаление state "начать заново" (осиротит каждый ресурс — останутся в облаке, не отслеживаются, тратят деньги); два человека одновременный apply без локинга (corruption state); state-хирургия (state rm + import) без бекапа предыдущего state.

Связанные понятия

• State и backends
• terraform.tfstate
• Remote state (S3, GCS)
• terraform import