Terraform 状态漂移检测与护栏（Drift、Policy-as-Code、计划守门）

Terraform 状态漂移检测与护栏（Drift、Policy-as-Code、计划守门）概述基础设施会因手工修改或外部系统变更产生漂移。借助漂移检测与策略护栏可提前发现问题并阻断不合规变更。关键实践与参数漂移检测：`terraform plan -detailed-exitcode`；非零表示存在差异。计划守门：CI 中强制 `plan` 与审批；对破坏性操作（删除/替换）加红线。Policy-as-Code：OPA/Conftest 或 Sentinel 编写策略，校验标签、命名与资源限制。示例（Conftest 策略片段）package terraform deny[msg] { resource := input.resource_changes[_] resource.change.actions[_] == "delete" msg := sprintf("禁止删除资源: %s", [resource.address]) } 验证方法在 CI 中注入漂移与破坏性更改，确认被守门阻断。审查策略命中率与误报，优化规则与白名单。观察审批与发布周期影响，平衡效率与安全。注意事项保持状态文件加密与锁定；并发写入需加锁。计划审阅需包含成本与配额影响。与环境治理（Workspace）协同，避免跨环境污染。