Dépannage du fournisseur Terraform

Les ressources OCI existantes peuvent être détruites et recréées lorsque les configurations Terraform tentent de mettre à jour une propriété de ressource qui ne peut pas l'être. Terraform vous avertit lorsque les modifications vont détruire une ressource. Exécutez toujours terraform plan avant d'appliquer des modifications pour déterminer les ressources concernées. Pour plus d'informations, reportez-vous à Modifications destructives.

Parfois, la mise à jour d'une ressource OCI requiert de la détruire et de la recréer, mais une ressource dépendante empêche cette opération.

Par exemple, vous souhaitez mettre à jour une ressource oci_core_instance_configuration, mais un pool d'instances utilise cette configuration d'instance. La configuration d'instance ne peut pas être supprimée car le pool d'instances la référence dans un argument requis.

Pour contourner ce type de comportement, vous pouvez utiliser les méta-arguments lifecycle et create_before_destroy dans le bloc de ressource.

Dans cet exemple, Terraform crée une seconde ressource oci_core_instance_configuration qui inclut vos mises à jour, puis affecte la nouvelle configuration d'instance au pool d'instances associé. Terraform détruit ensuite la configuration d'instance d'origine. Par exemple :

resource "oci_core_instance_configuration" "test_instance_configuration" {
...

 lifecycle {
    create_before_destroy = true
  }
}

Pour plus d'informations, reportez-vous à Méta-argument lifecycle et à Modifications destructives.

Vous pouvez empêcher la destruction d'une ressource OCI en incluant les méta-arguments lifecycle et prevent_destroy = true dans le bloc de ressource de votre fichier de configuration Terraform. Par exemple, la configuration suivante génère un bucket Object Storage qui ne peut pas être détruit :

resource "oci_objectstorage_bucket" "test_bucket" {
  #Required
  compartment_id = var.tenancy
  name = "test"
  namespace = "exampleNamespace"

  lifecycle {
    prevent_destroy = true
  }
} 

Ce méta-argument empêche l'utilisation de terraform destroy. Etant donné que certaines mises à jour de configuration nécessitent la destruction de ressources avant leur application, ce paramètre peut également rendre certaines mises à jour impossibles à appliquer. Dans cet exemple, name est une propriété qui ne peut pas être mise à jour sans détruire et recréer la ressource. Par conséquent, vous ne pouvez pas mettre à jour le nom du bucket sans enlever ou modifier le méta-argument lifecycle.

Pour plus d'informations, reportez-vous à Méta-argument lifecycle.

De nombreuses ressources Oracle Cloud Infrastructure gérées par le fournisseur OCI Terraform acceptent des arguments de configuration facultatifs. Une fois ces arguments définis, que ce soit lors de la création d'une ressource ou lors d'une mise à jour ultérieure, leur définition ne peut pas être annulée en transmettant une chaîne vide ou en enlevant l'argument de la configuration. Les tentatives d'annulation de la définition de ces arguments sont ignorées par Terraform.

Terraform version 0.14 et versions ultérieures peuvent nécessiter le remplacement des variables globales dans vos fichiers de configuration par une combinaison de variables locales et de déclencheurs. Pour référencer un déclencheur dans les méta-arguments lifecycle et ignore_changes, et éviter d'exécuter la configuration sur les opérations d'application Terraform ultérieures, référencez le déclencheur comme suit :

resource "null_resource" "exampleB" {
  depends_on = [null_resource.exampleA]
  triggers = {
    os_user = var.os_user
  }
  lifecycle {
    ignore_changes = [
      triggers["os_user"]
    ]
  }

Par défaut, le fournisseur Terraform ne supprime pas de compartiment lors de l'utilisation de la commande destroy.

Vous devez définir l'argument enable_delete sur true pour que le fournisseur tente de supprimer le compartiment. Par exemple :

resource "oci_identity_compartment" "test_compartment" {
    compartment_id = var.compartment_id
    description = var.compartment_description
    name = var.compartment_name

    enable_delete = true
}

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: Operation Timeout
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current. 
Service: <service>
Error Message: timeout while waiting for state to become 'SUCCEEDED, FAILED, CANCELED' (last state: 'IN_PROGRESS', timeout: 15m)

Le service OCI spécifié indique que la ressource n'a pas encore atteint l'état attendu après interrogation pendant un certain temps.

Vous devrez peut-être augmenter le délai d'expiration de l'opération pour que votre ressource poursuive l'interrogation plus longtemps. Pour plus d'informations sur la procédure à suivre, reportez-vous à Délais d'expiration d'opération.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: Unexpected LifeCycle state
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current. 
Service: <service>
Error Message: During deletion, Terraform expected the resource to reach state: TERMINATED, but the service reported unexpected state: RUNNING.
Resource OCID: exampleuniqueID
Suggestion: Please retry or contact support for help with service: <service>

Le service OCI spécifié a rencontré une erreur inconnue. Réessayez ou contactez le support technique concernant ce service.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error asking for user input: 1 error(s) occurred:

* provider.oci: dial unix /var/folders/6r/8fk5dmbj4_z3sl0mc_y_fhjw0000gn/T/plugin811254328|netrpc: connect: no such file or directory

Vous utilisez probablement une version du fournisseur OCI Terraform incompatible avec le fichier binaire Terraform que vous avez installé. Pour les versions v3.x.x et ultérieures du fournisseur OCI, la version minimale requise de Terraform est v.0.10.1.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

* provider.oci: ... dial tcp 134.70.16.0:443: i/o timeout

Il se peut que vous n'ayez pas configuré correctement vos paramètres de proxy. Le fournisseur OCI Terraform prend en charge les variables http_proxy, https_proxy et no_proxy dans lesquelles des listes d'inclusion ou d'exclusion peuvent être définies comme suit :

export http_proxy=http://www.your-proxy.com:80/
export https_proxy=http://www.your-proxy.com:80/
export no_proxy=localhost,127.0.0.1

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: Get https://iaas.<region>.oraclecloud.com/20160918/services: x509: certificate signed by unknown authority
  on ../modules/network/modules/main/main.tf line 3...

Assurez-vous que Terraform utilise des certificats TLS sécurisés et que la chaîne de certificat est valide. Pour plus d'informations, reportez-vous à Echec des exécutions de Terraform avec l'erreur "x509: certificate signed by unknown authority". Si vous utilisez MacOS Catalina, reportez-vous à la section MacOS du document pour plus de détails spécifiques sur la résolution des problèmes de certificat.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Warning: registry.terraform.io: 
This version of Terraform has an outdated GPG key and is unable to verify new provider releases.
Please upgrade Terraform to at least <version> to receive new provider updates.
For details see: https://discuss.hashicorp.com/t/hcsec-2021-12-codecov-security-event-and-hashicorp-gpg-key-exposure/23512

Ce message signifie que le registre Terraform omet les versions du fournisseur Terraform signées par une nouvelle clé GPG. L'interface de ligne de commande Terraform installe la dernière version du fournisseur OCI Terraform qu'il peut vérifier, ce qui peut ne pas être la toute dernière version.

Pour enlever ce message et vous assurer que vous pouvez utiliser la dernière version du fournisseur OCI Terraform, mettez à niveau l'interface de ligne de commande Terraform vers la dernière version de maintenance disponible pour la version majeure de Terraform que vous utilisez. Par exemple, si vous utilisez Terraform version 0.12.21, effectuez une mise à niveau vers la dernière version disponible de version 0.12.

Si vous utilisez des modules et que l'interface de ligne de commande Terraform renvoie un message d'erreur semblable au suivant :

Error: 401-NotAuthenticated, The required information to complete authentication was not provided or was incorrect.

Vérifiez que chaque module déclare ses propres exigences de fournisseur. Pour plus d'informations, reportez-vous à Fournisseurs dans les modules.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: 401-NotAuthenticated
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current.
Service: <service>
Error Message: The required information to complete authentication was not provided or was incorrect.
OPC request ID: exampleuniqueID
Suggestion: Please retry or contact support for help with service: <service>

• Vérifiez que user_ocid, tenancy_ocid, fingerprint et private_key_path sont correctement définis.
• Vérifiez que private_key_path pointe vers votre clé privée et non vers la clé publique correspondante.
• Vérifiez que vous avez ajouté la clé publique correspondante au compte utilisateur indiqué avec user_ocid.
• Vérifiez que le format des paires de clés publique/privée que vous utilisez est correct. Pour plus de détails sur le format correct et sur la génération des clés, reportez-vous à Clés requises.
• Vérifiez que le compte utilisateur fait partie d'un groupe disposant des droits d'accès appropriés pour effectuer les actions du plan que vous exécutez.
• Vérifiez que votre location est abonnée à la région que vous ciblez dans votre plan.
• Si vous utilisez des modules, vérifiez que chaque module déclare ses propres exigences de fournisseur. Pour plus d'informations, reportez-vous à Fournisseurs dans les modules.

Si l'interface de ligne de commande Terraform renvoie un message de ce type, cela peut indiquer un problème avec votre environnement :

Error: can not create client, bad configuration: did not find a proper configuration for tenancy

Si votre configuration de fournisseur inclut un alias, vos ressources doivent spécifier explicitement l'alias de fournisseur à l'aide de provider = "oci.alias_name". Si une ressource n'utilise pas l'alias pour indiquer le fournisseur, Terraform crée un fournisseur par défaut à employer avec ce type de ressource. Le fournisseur par défaut charge les valeurs de configuration à partir des variables d'environnement ou du fichier ~/.oci/config. Ces valeurs peuvent être différentes de celles utilisées par votre fournisseur avec alias et provoquer l'erreur de configuration.

Enlevez l'alias dans la configuration du fournisseur ou assurez-vous que chaque ressource indique le fournisseur via l'alias correct. Pour plus d'informations sur l'utilisation de alias, reportez-vous à la documentation Terraform officielle, et pour plus d'informations sur la façon dont Terraform utilise les variables d'environnement et le fichier de configuration OCI, reportez-vous à Configuration du fournisseur.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

* Error: "field_name": this field cannot be set

Vous utilisez probablement une ancienne version du fournisseur OCI Terraform et le champ que vous essayez de définir a été publié dans une version ultérieure. Utilisez la commande suivante pour vérifier la version de votre fournisseur Terraform.

terraform -version

La documentation du fournisseur OCI Terraform reflète la dernière version.

Si oci_database_db_system en cours d'import ne comporte aucun élément db_home principal, un espace réservé vide est défini pour db_home dans le fichier d'état Terraform. Pour que les configurations restent cohérentes avec l'état importé, ajoutez un espace réservé vide pour db_home à votre configuration. Par exemple :

# Add this placeholder into your oci_database_db_system configuration to indicate that the primary db home is empty. 
db_home {
 database { 
  admin_password = "" 
  } 
}

Si l'interface de ligne de commande Terraform renvoie un message d'erreur semblable au suivant lorsque vous utilisez le repérage de ressources :

Failed to query available provider packages
 
Could not retrieve the list of available versions for provider hashicorp/oci:
the previously-selected version is no longer available

Vous pouvez vous assurer que Terraform utilise un fichier binaire de fournisseur local existant en indiquant son emplacement à l'aide de la variable d'environnement provider_bin_path. Par exemple :

export provider_bin_path=/Users/user/go/bin/

Terraform tente de télécharger la dernière version du fournisseur OCI Terraform lorsque vous utilisez le repérage des ressources.

Parfois, le fournisseur OCI Terraform peut supprimer de manière inattendue les valeurs par défaut de balise existantes d'une ressource lors de l'exécution de terraform apply. Ce problème affecte particulièrement les valeurs par défaut des balises automatiques Oracle-Tags.

Pour contourner ce problème, vous pouvez ajouter l'attribut ignore_defined_tags au bloc fournisseur.

L'attribut ignore_defined_tags vous permet de répertorier les clés des balises définies que Terraform doit ignorer lors d'une exécution plan ou apply. L'attribut ignore_defined_tags peut uniquement être spécifié au niveau du fournisseur. La taille maximale autorisée est 100. Les balises indiquées dans l'attribut sont ignorées pour toutes les ressources du fichier Terraform.

Dans l'exemple suivant, "Oracle-Tags.CreatedOn" et "Oracle-Tags.CreatedBy" sont les clés de la correspondance defined_tags associée à une ressource distante :

provider "oci" {
    ignore_defined_tags = ["Oracle-Tags.CreatedBy", "Oracle-Tags.CreatedOn"]
}

Pour plus d'informations, reportez-vous à Définitions de fournisseur et au problème associé sur GitHub.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: 400-InvalidParameter
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current. 
Service: <service>
Error Message: <error_message>
OPC request ID: exampleuniqueID
Suggestion: Please update the parameter(s) in the Terraform config as per error message: <error_message>

Mettez à jour le paramètre spécifié dans le message d'erreur dans la configuration Terraform pour la ressource.

Lors de l'utilisation de Terraform, vous pouvez rencontrer des erreurs indiquant que vous avez atteint ou dépassé les limites de service d'une ressource. Par exemple :

Error: 400-LimitExceeded
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current. 
Service: <service>
Error Message: Fulfilling this request exceeds the Oracle-defined limit for this tenancy for this resource type.
OPC request ID: exampleuniqueID
Suggestion: Request a service limit increase for this resource <service>

Pour en savoir plus sur vos limites de service OCI et sur la procédure pour demander une augmentation de limite, reportez-vous à Limites de service.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: 404-NotAuthorizedOrNotFound
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current.
Service: <service>
Error Message: Authorization failed or requested resource not found.
OPC request ID: exampleuniqueID
Suggestion: Either the resource has been deleted or service <service> need policy to access this resource. Policy reference: <link>

Vérifiez que le compte utilisateur fait partie d'un groupe disposant des droits d'accès appropriés pour effectuer les actions du plan que vous exécutez. Pour plus d'informations, reportez-vous à la référence de stratégie pour votre service.

Si l'interface de ligne de commande Terraform renvoie un message d'erreur tel que le suivant :

Error: 500-InternalError
Provider version: <provider_version>, released on <release_date>. This provider is <n> updates behind to current. 
Service: <service>
Error Message: Internal error occurred
OPC request ID: exampleuniqueID
Suggestion: The service for this resource encountered an error. Please contact support for help with service <service>

Le service a répondu à la demande du fournisseur Terraform avec une erreur interne. Si vous contactez le support technique pour ce problème, fournissez les informations contenues dans le message.