Orquestación Terraform multi-cloud explicada (2026)
Si manejás infraestructura en AWS, GCP, Azure y Cloudflare al mismo tiempo, ya sabés que el problema no es Terraform. El problema es todo lo que lo rodea: credenciales repartidas en laptops, estados de Terraform tirados en cada proveedor y nadie que sepa quién corrió el último apply. Eso es lo que un orquestador multi-cloud viene a ordenar.
El equipo detrás de TerraX lo resumió mejor que nadie en su nota del 23 de junio de 2026: “Terraform en sí no es el cuello de botella. Todo lo demás sí”. Y tienen razón.
En 30 segundos
- Qué resuelve: centraliza credenciales, aísla el estado de Terraform por proveedor y deja un registro de quién cambió qué.
- Cómo está hecho TerraX: 4 capas (frontend, backend Spring Boot llamado “teraflare”, agente en Go “terrax-agent” y un ejecutor Terraform/OpenTofu sandboxeado).
- Por qué OpenTofu: licencia MPL 2.0 abierta vs la BSL 1.1 que HashiCorp le puso a Terraform desde la v1.6 en 2023.
- Plus operativo: genera el kubeconfig sin que tengas instaladas las CLI de
aws,gcloudoaz. - Estado: en beta abierta en docs.terrax-cloud.com al momento de escribir esto (junio 2026).
Cloudflare es una empresa de infraestructura de red fundada en 2009 que proporciona servicios de CDN, protección contra DDoS, firewall de aplicación web y DNS gestionado para optimizar rendimiento y seguridad de sitios web.
Un orquestador de Terraform multi-cloud es una plataforma que coordina varias ejecuciones de Terraform u OpenTofu sobre distintos proveedores de nube, centralizando credenciales, aislando el estado por proveedor y dejando trazabilidad de cada cambio. La orquestación Terraform multi-cloud existe porque Terraform resuelve el “cómo aprovisiono”, pero no el “quién, con qué permiso y en qué orden”.
¿Por qué Terraform solo no alcanza para equipos multi-cloud?
Ponele que sos un equipo de tres personas y tenés stack en cuatro nubes. Cada uno tiene sus credenciales de AWS en un archivo local, el backend de estado de GCP está en un bucket que configuró alguien que ya no está, y el día que algo se rompe nadie puede decir con certeza quién corrió el último terraform apply.
Ese es el escenario real que describe el equipo de TerraX. Y suma un detalle que cualquiera que haya operado infra conoce de memoria: la brecha entre “la infraestructura está aprovisionada” y “lo que corre sobre esa infraestructura está configurado”. Esa brecha, según el propio relato, termina tapada con scripts de Bash que nadie quiere mantener.
El punto es que Terraform hace bien su trabajo. Lo que falta es el contexto alrededor: dónde viven las credenciales, cómo se aísla el estado, quién tiene permiso para tocar producción y cómo encadenás varios pasos sin pegar todo con cinta. Cubrimos ese tema en detalle en gestión segura de secretos en Terraform.
¿Cuál es la arquitectura de un orquestador multi-cloud?
TerraX se arma con cuatro capas, cada una con un rol claro. La idea de fondo es tratar a cada proveedor de nube como un objeto de primera clase, no como una variable de entorno suelta.
- Frontend: es la cara visible. Formularios de recursos, vistas de diff para
planyapply, el constructor de workflows, el manejador de kubeconfig y los tableros de cumplimiento. Habla con el backend solo por REST. - Backend en Spring Boot (Java), apodado “teraflare”: es el núcleo. Guarda las credenciales de cada proveedor, administra el estado de Terraform, aplica el control de acceso por roles (RBAC) y orquesta los workflows.
- Agente en Go, “terrax-agent”: el ejecutor sandboxeado que corre las operaciones con streaming completo de logs, así ves lo que pasa en vivo y no después.
- Ejecutor Terraform/OpenTofu: el motor que efectivamente corre los
planyapply.
Cada capa ataca un dolor concreto del escenario anterior. El backend resuelve las credenciales dispersas, el agente resuelve la falta de registro y el frontend resuelve que todo el equipo vea lo mismo.
¿Cómo se centralizan credenciales y estado de infraestructura?
Acá está la decisión más importante: el estado no es global ni compartido. TerraX aísla el estado por proveedor.
¿Por qué importa esto? Porque un estado único y compartido es una bomba de tiempo. Si dos personas tocan el mismo archivo de estado al mismo tiempo, o si un cambio en GCP corrompe el registro de AWS, te quedaste sin red de seguridad. Aislando por proveedor, un problema en una nube no contamina las otras.
El almacenamiento centralizado de credenciales hace lo obvio que nadie hace: sacar las llaves de las laptops y ponerlas en un lugar con control de acceso. Sumado al RBAC, podés decir “este dev ve el plan pero no aplica en producción” sin depender de la buena memoria de nadie. Para más detalles técnicos, mirá alternativas de almacenamiento multi-cloud.
¿Cómo se orquestan workflows complejos en Terraform?
Esta es la parte que te ahorra los scripts de Bash. El motor de workflows encadena ejecuciones de Terraform con funciones de script, y pasa los outputs de un paso al siguiente con un sistema de referencias dinámicas.
Traducido: corrés un apply que crea un cluster, el output con el endpoint y las credenciales se inyecta en el paso siguiente que configura lo que corre adentro, y todo eso queda registrado como un flujo y no como cinco comandos sueltos que alguien tiene que recordar en orden. Ese encadenamiento es justo lo que tapaba la brecha entre “aprovisionado” y “configurado”.
La diferencia práctica es grande. Con scripts manuales, un paso que falla te deja a mitad de camino sin saber bien dónde. Con un motor de workflows, el flujo tiene estado y referencias explícitas.
¿Qué aporta en cumplimiento y auditoría?
El registro completo de quién ejecutó qué cambio es, para muchos equipos, la razón de comprar una herramienta así. Si mañana cae algo y alguien pregunta “¿qué cambió?”, la respuesta no debería ser un encogimiento de hombros.
TerraX incluye escaneo de cumplimiento (compliance scanning) y tableros de cumplimiento para revisarlo. Es decir, podés frenar un apply que viole una regla antes de que toque la nube, no después. En pipelines CI/CD para despliegues automáticos profundizamos sobre esto.
Ojo: que la herramienta haga este escaneo no te certifica sola. Te da las barandas. La certificación sigue siendo trabajo del equipo.
¿Por qué los orquestadores eligen OpenTofu en vez de Terraform?
La respuesta corta es la licencia. En 2023 HashiCorp cambió Terraform de la licencia open source MPL 2.0 a la Business Source License (BSL 1.1) a partir de la versión 1.6. Eso prendió las alarmas en muchos equipos que construyen productos encima de Terraform.
OpenTofu es el fork que nació de ese cambio, mantiene la licencia MPL 2.0 y quedó bajo la gobernanza de la Linux Foundation, en vez de una sola empresa. Para una plataforma que ejecuta Terraform como motor, esa diferencia de licencia y gobernanza no es un detalle “filosófico”: define si podés construir tu negocio encima sin sorpresas legales.
| Aspecto | Terraform (HashiCorp) | OpenTofu |
|---|---|---|
| Licencia | BSL 1.1 (desde v1.6, 2023) | MPL 2.0 (open source) |
| Gobernanza | HashiCorp (parte de IBM) | Linux Foundation |
| Compatibilidad de sintaxis | HCL nativo | HCL compatible (fork) |
| Uso comercial encima | Restringido por la BSL | Sin restricción de la BSL |
¿Cómo generar el kubeconfig sin depender de las CLI?
Detalle chico, alivio grande. TerraX genera el archivo kubeconfig sin requerir que tengas instaladas aws, gcloud o az en la máquina.
Cualquiera que armó un cluster de Kubernetes en la nube se topó con esto: el kubeconfig llama a una CLI del proveedor para resolver el token de autenticación, y si esa CLI no está (o está en otra versión) el kubectl te tira un error críptico. Sacar esa dependencia simplifica la vida del equipo, sobre todo en pipelines de CI donde no querés instalar tres CLI distintas en cada runner. Sobre eso hablamos en automatización con GitHub Actions o Jenkins.
Errores comunes al orquestar Terraform multi-cloud
- Compartir un solo estado para todo: tarde o temprano dos personas lo tocan a la vez o una nube corrompe el registro de otra. Aislá el estado por proveedor desde el día uno.
- Dejar las credenciales en las laptops: funciona hasta que alguien se va, pierde la notebook o filtra una llave sin querer. Centralizalas con control de acceso.
- Tapar la brecha de configuración con Bash: los scripts pegados con cinta nadie los mantiene y se rompen en el peor momento. Usá un motor de workflows que encadene pasos y pase outptus de forma explícita.
- Ignorar el tema de la licencia: construir un producto comercial sobre Terraform sin leer la BSL 1.1 te puede salir caro. Si el uso es comercial y encima del motor, evaluá OpenTofu.
Qué significa para equipos en Latinoamérica
Para un equipo chico de la región que opera en varias nubes, el atractivo es directo: menos dependencia de que “el que sabe” esté disponible, y trazabilidad real cuando algo se rompe un viernes a la noche. Si además tu infraestructura web vive en parte sobre hosting y servidores administrados, podés combinar la orquestación de la nube con un proveedor local como donweb.com para la parte de hosting y dominios, sin perder el control centralizado del resto.
Preguntas Frecuentes
¿Qué es un orquestador de Terraform y para qué sirve?
Es una plataforma que coordina varias ejecuciones de Terraform u OpenTofu sobre distintos proveedores de nube. Centraliza credenciales, aísla el estado por proveedor y registra cada cambio, resolviendo lo que Terraform por sí solo no hace: el contexto operativo alrededor del aprovisionamiento.
¿Cómo se centraliza el estado de Terraform en un equipo?
Con un backend de estado administrado por la plataforma y aislado por proveedor, no compartido entre todas las nubes. TerraX, por ejemplo, guarda y administra el estado desde su backend Spring Boot en vez de dejarlo en buckets sueltos configurados por cada persona.
¿Qué diferencia hay entre Terraform y OpenTofu en 2026?
La diferencia central es la licencia y la gobernanza. Terraform usa la BSL 1.1 desde su versión 1.6 (2023) y lo gobierna HashiCorp; OpenTofu mantiene la licencia open source MPL 2.0 bajo la Linux Foundation. La sintaxis HCL es compatible entre ambos.
¿Cómo auditar quién hace cambios en la infraestructura?
Con una herramienta que registre cada ejecución (quién corrió qué plan o apply y qué cambió) y aplique control de acceso por roles. Sumar escaneo de cumplimiento permite frenar cambios que violen reglas antes de que toquen la nube.
¿Está disponible TerraX para usar hoy?
Al momento de publicar esto (junio de 2026) TerraX está en beta abierta, según el anuncio de su equipo. La documentación y el acceso figuran en docs.terrax-cloud.com.
Conclusión
Lo que cambió no es Terraform, que sigue haciendo lo suyo. Lo que cambió es que herramientas como TerraX ponen el foco donde están los problemas reales de un equipo multi-cloud: credenciales centralizadas, estado aislado por proveedor, workflows que encadenan pasos y un registro de quién tocó qué.
Si manejás varias nubes con un equipo chico, el ejercicio concreto es este: revisá dónde viven hoy tus credenciales y tu estado. Si la respuesta es “en laptops y en buckets sueltos”, ahí tenés tu próximo problema esperando. Y si pensás construir algo comercial encima del motor, mirá la licencia antes de elegir entre Terraform y OpenTofu.
Fuentes
- Documentación oficial de TerraX – arquitectura y beta abierta
- How We Built a Multi-Cloud Terraform Orchestrator – relato técnico del equipo (23/06/2026)
- OpenTofu vs Terraform 2026 – comparativa de licencia y gobernanza
- Terraform orchestration – conceptos de orquestación
- Microsoft Learn – resolución de problemas con Terraform en Azure
