AWS CloudFormation vs. Terraform：如何选择？

云管理员和架构师需要可靠的工具来自动化启动和管理基于云的基础设施。自动化在部署现代软件应用时发挥着关键作用，例如代码部署和定期基础设施更新。基础设施即代码已成为实现此能力的重要工具。

拥有AWS环境并希望采用基础设施即代码的用户有两种流行选择：AWS CloudFormation和Terraform。CloudFormation是AWS原生服务，而Terraform是支持多云平台的开源IaC工具。虽然两者都支持云基础设施部署自动化，但它们在语法、流程、可见性和资源管理方面采用不同方法。

选择正确的IaC工具

IaC通过基于代码的方法启动和配置计算、存储、网络和安全等基础设施资源。它要求使用标准化语法为每个基础设施资源创建基于文本的模板。这使应用所有者能够实施版本控制，并最小化发布过程中的人工干预。IaC为软件开发团队节省大量时间，并在应用环境中提供一致性和可靠性。可重用模板和配置还有助于提高组织内的流程效率。

什么是AWS CloudFormation？

AWS CloudFormation于2011年推出，是一项IaC服务，使用户能够通过模板建模和设置AWS资源。该服务可重复且可预测地配置和管理这些资源。由于大多数开发人员已经熟悉JSON和YAML语法，学习曲线较为平缓。使用CloudFormation时，强烈建议使用YAML而非JSON，因为YAML更易于处理。它比JSON更简洁，并支持用户注释，这是团队成员审查现有模板的重要功能。使用AWS CloudFormation的四个重要概念是：模板、堆栈、变更集和堆栈集。

什么是Terraform？

HashiCorp Terraform于2014年推出，使IT团队能够通过可重用、可共享且人类可读的配置文件为本地和云环境自动化基础设施配置。Terraform拥有自己的模板语法称为HashiCorp配置语言（HCL）。由于HCL较为陌生，开发人员可能需要额外时间学习。

2023年，HashiCorp宣布采用商业源代码许可证，这标志着其开源根源的重大转变。根据Firefly的《2025年IaC现状》报告，虽然Terraform目前占据IaC市场62%的份额，但只有47%的从业者计划未来继续使用。开源分支OpenTofu正崛起为竞争对手——目前12%的从业者使用它，27%计划未来使用。

关键特性对比

AWS CloudFormation和Terraform都使用堆栈概念，这是管理员作为部署单元管理的云组件分组。堆栈可以组织应用、环境以及任何与特定组织相关的分组。参数定义了与启动的云组件类型相关的云资源。两种工具都使用与启动相关的动态参数，例如为开发环境与生产环境启动不同的Amazon EC2实例类型。

模块化

模块化是创建通用组件以便在多个部署中重用的能力。AWS CloudFormation提供模块功能，这些构建块补充了通用注册表。管理员可以在单个账户内或跨多个AWS账户的多个堆栈中重用它们。

Terraform具有类似功能，也称为模块。它重用通用配置，并在本地或远程自定义注册表或Git存储库中管理它们。

模板定制

与AWS CloudFormation相比，Terraform为模板定制提供更广泛的内置函数。在许多情况下，基于条件和自定义逻辑向堆栈应用动态配置非常有用。鉴于AWS CloudFormation内置函数范围较窄，Terraform提供更多灵活性。但是，AWS CloudFormation提供与自定义Lambda函数的内置集成——由堆栈所有者构建——可以在堆栈更新期间执行复杂逻辑。

可扩展性

CloudFormation和Terraform堆栈最多可管理500个资源，这对于大多数大型云基础设施部署已经足够。如果特定部署超过此限制，任一平台的一种替代方案是启动多个堆栈。CloudFormation还提供嵌套堆栈功能，限制为2,500个资源。

启动多个资源所需的时间在两种工具中可能相似，但根据用户必须管理的资源类型和数量，时间可能差异显著。虽然任一平台中的某些部署可能只需几秒钟即可完成，但在某些情况下可能需要几分钟。CloudFormation启动时间的一个关键因素是资源的相互依赖性，这导致这些组件顺序启动，并可能延长启动时间。

故障处理

由于配置错误或外部故障等各种原因导致更新无法应用的情况并不少见。AWS CloudFormation提供可靠的故障处理机制，使开发人员能够在堆栈创建或更新失败时保留、更新或回滚资源。Terraform不提供原生回滚功能，这意味着开发人员必须明确应用后续步骤来删除或更新受影响资源。

AWS CloudFormation的变更集为开发人员提供应用前资源更新的高级可视化。然后他们可以继续或取消操作。Terraform有一个类似的称为plan的命令，这降低了向堆栈应用不需要的、可能破坏性更新的可能性。

支持

这两种IaC工具的一个重要区别是，Terraform支持多个云提供商，如AWS、Azure、Google Cloud、Oracle和Digital Ocean，而CloudFormation仅支持AWS。对于多云方法，请考虑Terraform。请注意，每个云提供商都需要用户在Terraform中指定不同的参数和配置集，这可能导致复杂的模板集。

由于Terraform不是云提供商工具，特定平台中的新功能不一定在Terraform中可用。就AWS而言，与Terraform相比，CloudFormation在使新AWS功能和服务可通过IaC启动方面的时间框架更短。使用CloudFormation时，可以选择就任何潜在问题联系AWS支持。Terraform不提供云提供商的直接支持，仅提供HashiCorp和在线社区的支持。

DevOps

IaC是DevOps战略的重要组成部分。将云基础设施更新集成到代码管理过程中，提供了基础设施如何部署的关键可见性，以及启动和测试自动化、故障排除和失败时的回滚策略。

鉴于基础设施更新可能具有破坏性，对某些基础设施更新实施手动批准流程非常重要。Terraform的plan命令和CloudFormation的变更集是此过程中的关键组件。

Terraform和CloudFormation在CI/CD管道和DevOps流程集成方面提供相似水平的支持。用户可以从常见Git存储库（如GitLab、BitBucket或GitHub）的管道，或从AWS服务（如CodePipeline或CodeBuild）触发它们。

如何为您的组织做出正确选择？

如果存在现有CI/CD管道，评估每个工具如何与它们集成并识别任何潜在优势或问题至关重要。一个需要考虑的因素是，Terraform提供了更直接的方式在模板内实现高级自定义逻辑。

多云支持与AWS专属技术也是需要评估的关键要素。在多云组织中，Terraform将简化云基础设施组件的启动，而CloudFormation仅支持AWS。如果组织的基础设施完全在AWS中启动，并且没有使用其他云平台的可预见计划，那么CloudFormation可能是最佳选择。由于它是由AWS构建的产品，它将有资格获得AWS支持，并且可能为AWS组件提供更有用的功能。

编者注：本文经重新发布以改善读者体验，并更新以反映HashiCorp采用商业源代码许可证的情况。