漂移检测（2025）

Terraform 状态管理与并发锁/漂移检测（2025）一、状态后端与锁状态后端：使用 S3/GCS/Azure 存储远程状态；配合 DynamoDB/Firestore 等实现 `并发锁`。权限：按工作空间/环境最小权限访问状态；审计操作。备份与恢复：开启版本化与快照，支持回滚与灾备。二、工作空间与环境工作空间：按环境（dev/stage/prod）划分；避免互相污染。变量与密钥：区分环境变量与密钥注入；最小暴露面。三、漂移检测与计划审查漂移检测：通过 `terraform plan` 比对实际资源与期望；对漂移进行纠正或记录。计划审查：在 CI 中生成计划并审批；变更门禁与多方签审。锁与并发：串行化关键栈的变更；对大规模变更分批应用。四、观测与回滚指标：应用耗时、失败率、锁等待时间、漂移次数。回滚：失败时回滚或手动干预；记录原因与改进。安全：最小权限与密钥治理；供应链安全审计。注意事项关键词（状态后端、并发锁、漂移检测、工作空间、计划审查）与正文一致。分类为“DevOps/IaC/Terraform”，不超过三级。策略需在 CI/CD 演练与变更演习中验证。