S
Size: a a a
2020 June 23
KT
Это так удобно когда в каждом аккаунте свой домен есть, что даже слова только матерные от радости
Ну извините, это гибче чем в один аккаунт ломиться
V
у меня терраформ раскатывает все зоны из yaml файликов
я терраформом и днс в других аккаунтах разруливаю при создании серта, также из тф через assume role
RS
Делаю для таких целей стэк на нужные DNS записи в аккаунте, где лежит домен. На каждую запись. В результате можно зайти и посмотреть в стэке, что за записи на какие аккаунты регионы выданы.
RS
Автоматизировано при помощи библиотеки, легко понять-удалить, если что пошло не так.
RS
Как в описанном случае - один домен на много аккаунтов. Jenkins переключается в аккаунт, где живёт домен и создаёт там стэк - для каждого аккаунта, запрашивающего, например, подтверждение сертификата.
i
короче, у нас route53 менеджится в отдельном аккаунте. Вышла статья недавно https://aws.amazon.com/about-aws/whats-new/2020/06/aws-certificate-manager-extends-automation-certificate-issuance-via-cloudformation/ я бы хотел за один прогон aws cloudformation deploy сетапить серт для API Gateway, но подтверждающие dns записи сделать в другом аккаунте
С терраформом не проблема
RS
В результате аккаунт с централизированным Route53 выглядит примерно так.
i
Не всегда подходит поддомен переносить
RS
Домен не переносится - это как раз для описанного варианта, когда нужно хранить домены в одном месте для всех окружений, разбросанных по аккаунтам. К DNS записи не получится добавить тэг, чтобы описать зачем-кому нужен. А в случае варианта со стэком описание добавляется в Description стэка. Денег за стэки не берут, видно в консоли, автоматизировано для CI/CD.