Como adicionar entradas estáticas a uma zona hospedada de nomeação automática do AWS Route53?

1

Estou executando alguns de nossos serviços REST de back-end com o Amazon ECS (Docker) e eles alteram seu IP público a cada reinicialização.

Estou usando a nomenclatura automática do AWS Route 53 (também conhecida como discovery service) para registrar novos registros A no DNS quando uma nova instância de back-end é ativada.

Tudo funciona bem, exceto que os back-ends estão usando HTTP. Gostaria de protegê-los com HTTPS e eu estava procurando Vamos criptografar / Certbot e aqui vem o problema.

Desejo obter um certificado curinga para todos os nomes na zona hospedada, digamos * .aws.example.com, mas preciso adicionar um registro TEXT de verificação na Zona hospedada, e isso não é possível.

A mensagem de erro que recebo é:

The resource hostedzone/Z1R8P3NTRAIWDS can only be managed through servicediscovery.amazonaws.com (arn:aws:servicediscovery:eu-west-1:263810592360:namespace/ns-cuqs46hqusim4jih)

Como posso adicionar alguns registros estáticos à minha Zona Hospedada gerenciada pela descoberta de serviços?

    
por Federico Bonelli 17.08.2018 / 17:09

2 respostas

0

Eu finalmente consegui resolver meu problema usando o procedimento na seção "Usando a Descoberta de Serviço com uma Zona Hospedada Existente" na página de documentação: link

Basicamente:

  1. crie com autodiscovery um namespace não relacionado da zona hospedada public Route53 anteriormente existente
  2. associe o registro de descoberta automática à zona hospedada pelo Route53 público com o seguinte comando aws-cli aws route53 change-resource-record-sets --hosted-zone-id existing-hosted-zone-id --change-batch file://path-to-text-file

O arquivo de texto é composto assim:

{
  "Changes": [
    {
      "Action": "UPSERT", 
      "ResourceRecordSet": {
        "Type":"A", 
        "Name":"record-name-in-existing-hosted-zone", 
        "AliasTarget": {
          "DNSName":"record-name-in-new-hosted-zone", 
          "HostedZoneId":"service-discovery-hosted-zone-id", 
          "EvaluateTargetHealth":true
        }
      }
    }
  ]
}
    
por 29.08.2018 / 12:29
0

Você pode usar o Elastic Load Balancer na frente do seu e usar o processo de certificado da Amazon. Você pagará um pouco mais pelo ELB, mas poderá usar o endpoint do ELB no Route53 dali em diante e não precisará se preocupar com o endereço IP do ECS.

Caso contrário, pode ser necessário desativar a descoberta automática ou gerar um certificado de um provedor que aprova com base em um e-mail para o administrador registrado.

    
por 18.08.2018 / 04:25