Terraform 状态锁错误：ConditionalCheckFailedException

问题描述

在执行 terraform plan 或 terraform apply 时，有时会遇到以下错误：

Error: Error locking state: Error acquiring the state lock: ConditionalCheckFailedException: The conditional request failed
Lock Info:
ID:        9db590f1-b6fe-c5f2-2678-8804f089deba
Path:      ...
Operation: OperationTypePlan
Who:       ...
Version:   0.12.25
Created:   2020-05-29 12:52:25.690864752 +0000 UTC
Info:      
Terraform acquires a state lock to protect the state from being written
by multiple users at the same time. Please resolve the issue above and try
again. For most commands, you can disable locking with the "-lock=false"
flag, but this is not recommended.

这个错误表示 Terraform 无法获取状态锁，阻止了对基础设施状态的并发修改。

错误原因

状态锁错误通常由以下情况引起：

1. 进程异常终止：Terraform 命令执行过程中被强制终止（如网络中断、系统崩溃、内存不足或手动取消）
2. 并发操作：确实有其他进程正在操作同一状态文件
3. 权限问题：缺乏删除锁文件或 DynamoDB 记录的权限
4. 配置问题：使用了错误的环境配置或认证凭据

重要提示

在解除状态锁之前，请务必确认没有其他 Terraform 进程正在运行。强制解锁正在使用的状态可能会导致状态文件损坏。

解决方案

1. 确认无其他进程运行

首先检查是否有其他 Terraform 进程正在运行：

# Linux/Mac
ps aux | grep terraform

# Windows
tasklist | findstr terraform

如果发现相关进程，请先正常终止它们：

# Linux/Mac
kill <process_id>

# 强制终止（谨慎使用）
kill -9 <process_id>

2. 使用 force-unlock 命令

确认无其他进程后，使用获取到的锁 ID 强制解锁：

terraform force-unlock 9db590f1-b6fe-c5f2-2678-8804f089deba

某些情况下可能需要强制标志：

terraform force-unlock -force 9db590f1-b6fe-c5f2-2678-8804f089deba

3. 手动删除锁文件（特定后端）

对于不同的后端存储，可能需要手动删除锁文件：

AWS S3 + DynamoDB 后端

# 删除 S3 中的锁文件
aws s3 rm s3://my-bucket/path/to/terraform.tflock

# 删除 DynamoDB 中的锁记录
aws dynamodb delete-item \
  --table-name terraform-locks \
  --key '{"LockID": {"S": "my-bucket/path/to/terraform.tfstate-md5"}}'

Google Cloud Storage 后端

在 GCP 控制台中找到锁文件并手动删除，或使用 gsutil：

gsutil rm gs://my-bucket/path/to/terraform.tflock

Azure Blob Storage 后端

在 Azure 门户中，找到存储容器中的锁文件并使用"中断租约"按钮。

4. 检查并修复权限问题

确保执行 Terraform 的用户有以下权限：

AWS S3 后端所需权限：

{
    "Effect": "Allow",
    "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject"
    ],
    "Resource": "arn:aws:s3:::my-bucket/path/to/*"
}

DynamoDB 后端所需权限：

{
    "Effect": "Allow",
    "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:DeleteItem"
    ],
    "Resource": "arn:aws:dynamodb:*:*:table/my-lock-table"
}

5. 临时禁用锁（不推荐）

作为最后手段，可以临时禁用锁机制：

terraform plan -lock=false
terraform apply -lock=false

警告

禁用锁机制可能导致状态文件损坏，特别是在团队协作环境中。仅在确实必要时使用此方法，并确保没有其他人在操作同一状态。

6. 检查环境配置

确保使用正确的环境配置和认证：

# AWS
export AWS_PROFILE=correct-profile

# GCP
gcloud config set project correct-project

# Azure
az account set --subscription correct-subscription

预防措施

1. 确保充足资源：为 Terraform 进程分配足够的内存和计算资源
2. 稳定网络环境：在执行关键操作时确保网络连接稳定
3. 正确终止进程：避免强制终止 Terraform 进程
4. 定期清理：建立定期检查并清理陈旧锁的机制
5. 权限审核：定期审核和更新 Terraform 执行所需的权限

总结

Terraform 状态锁错误通常是由于进程异常终止或权限问题导致的。通过正确使用 force-unlock 命令、检查权限配置和确保无并发进程，可以有效解决这个问题。在日常使用中，遵循最佳实践可以最大限度地减少此类错误的发生。

提示

如果问题持续存在，建议检查 Terraform 和后端存储的日志，以获取更详细的错误信息。