大家好,在云原生和自动化运维的世界里,Terraform无疑是基础设施即代码(IaC)领域的王者。它强大的声明式语法让我们能够轻松地描述和管理云资源。然而,即使是经验丰富的工程师,在面对某些动态场景时也可能会遇到挑战。

今天,我们就来深入探讨一个非常经典且实用的场景:如何使用 for_each 表达式,优雅地自动化处理 AWS ACM (Certificate Manager) 证书的 DNS 验证,特别是当一个证书包含多个域名时。在这里插入图片描述

问题的提出:多域名证书的DNS验证之痛

在现代Web应用中,一个服务拥有多个访问域名是非常普遍的。例如,主域名 test.core.org,以及一系列子域名如 admin-test.core.orgagent-test.core.org 等。为了启用HTTPS,我们需要为所有这些域名申请一个SSL/TLS证书。AWS ACM提供了一个便捷的方式,就是将这些域名都作为“主题备用名称”(Subject Alternative Names, SANs)添加到一个证书中。

让我们来看一下申请这样一个证书的Terraform代码:

resource "aws_acm_certificate" "cloudfront" {provider          = aws.cloudfrontdomain_name       = "test.core.org"validation_method = "DNS"subject_alternative_names = ["admin-test.core.org","agent-test.core.org","mmts-test.core.org","static-test.core.org"]tags = {Environment = "test"}lifecycle {create_before_destroy = true}
}

代码很直观,我们定义了一个主域名和四个备用域名。我们选择了 DNS 作为验证方法,这意味着AWS会为 每一个 域名(包括主域名和所有SANs)生成一个唯一的CNAME记录,我们需要将这些记录发布到我们的DNS服务商(比如AWS Route 53)的DNS区域(Zone)中,以证明我们对这些域名的所有权。

问题来了:AWS为5个域名生成了5组不同的验证信息。我们该如何为这5个域名动态创建对应的DNS记录呢?手动创建?当然不行,这违背了IaC的初衷。写5个 aws_route53_record 资源块?代码冗余且难以维护。

这时,for_each 就该闪亮登场了。

解决方案:for_each 的魔法

for_each 是 Terraform 0.12.6 版本引入的重大特性,它允许我们基于一个 map 或 set of strings 来创建多个相似资源的实例。这正是解决我们问题的完美工具。

当我们创建 aws_acm_certificate 资源后,Terraform会通过其 domain_validation_options 属性导出一组对象,其中包含了每个域名验证所需的所有信息。 这是一个列表(list),每个对象包含 domain_nameresource_record_nameresource_record_typeresource_record_value 等关键信息。

我们的目标就是遍历这个列表,为每个元素创建一个 aws_route53_record 资源。

下面就是使用了 for_each 的解决方案代码,也是本次讲解的核心:

data "aws_route53_zone" "selected" {name         = "core.org."private_zone = false
}resource "aws_route53_record" "cloudfront_validation" {# for_each 的魔法在这里!for_each = {for dvo in aws_acm_certificate.cloudfront.domain_validation_options : dvo.domain_name => dvo}zone_id = data.aws_route53_zone.selected.zone_idname    = each.value.resource_record_nametype    = each.value.resource_record_typerecords = [each.value.resource_record_value]ttl     = 60
}

让我们来逐行解析这段代码的精髓。

深入解析 for_each 表达式

for_each 的核心在于它接受一个 map 类型的值。然而,aws_acm_certificate.cloudfront.domain_validation_options 是一个 list of objects。因此,我们需要使用Terraform的 for 表达式将其转换成一个 map。

{for dvo in aws_acm_certificate.cloudfront.domain_validation_options : dvo.domain_name => dvo
}

这行代码做了什么?

  1. for dvo in ...: 这是一个循环,遍历 domain_validation_options 列表中的每一个对象,并将当前对象赋值给临时变量 dvo
  2. ... : dvo.domain_name => dvo: 这是 for 表达式生成map的关键部分。它遵循 key => value 的语法。
    • dvo.domain_name 作为 map 的 key。我们使用每个待验证的域名(例如 “test.core.org”)作为键。这非常重要,因为 for_each 要求的 map key 必须是唯一的字符串,而域名正好满足这个条件。
    • dvo 作为 map 的 value。我们将完整的验证信息对象 dvo 作为值。

经过这个转换,我们就得到了一个类似下面这样的map(值为示意):

{"test.core.org" = { domain_name = "test.core.org", resource_record_name = "_c123.test.core.org", ... },"admin-test.core.org" = { domain_name = "admin-test.core.org", resource_record_name = "_c456.admin-test.core.org", ... },...
}
使用 each 对象引用值

一旦 for_each 接收到这个map,Terraform就会为map中的每一个键值对创建一个 aws_route53_record 资源的实例。在资源块内部,我们可以通过特殊的 each 对象来访问当前实例的 key 和 value。

  • each.key: 在我们的例子中,它会是 “test.core.org”, “admin-test.core.org” 等域名字符串。
  • each.value: 它会是我们赋给 map value 的 dvo 对象。

因此,代码中的这几行就变得非常好理解了:

  • name = each.value.resource_record_name: 设置DNS记录的名称,例如 _c123.test.core.org
  • type = each.value.resource_record_type: 设置DNS记录的类型,通常是 CNAME
  • records = [each.value.resource_record_value]: 设置DNS记录的值,这是AWS提供的用于验证的唯一字符串。

通过这种方式,我们仅用一个资源块就动态地为所有需要验证的域名创建了对应的DNS记录,代码简洁、可读性高,且易于扩展。如果未来证书增加了新的SAN,我们只需要修改 aws_acm_certificate 资源中的 subject_alternative_names 列表,apply 时 Terraform 会自动为新域名创建验证记录。

实用建议与注意事项
  1. 依赖关系:Terraform足够智能,它能理解 aws_route53_record.cloudfront_validation 依赖于 aws_acm_certificate.cloudfront。它会先创建证书请求,获取 domain_validation_options,然后再创建DNS记录。
  2. 等待验证完成:请注意,上面的代码只负责创建DNS记录。证书的状态此时仍然是 PENDING_VALIDATION。在实际生产中,你还需要使用 aws_acm_certificate_validation 资源来明确告诉Terraform,需要等待DNS记录生效且证书验证通过后,才能继续创建依赖此证书的其他资源(如Load Balancer Listener或CloudFront Distribution)。
  3. key 的选择:将 for 表达式转换为map时,选择一个稳定且唯一的字符串作为key至关重要。dvo.domain_name 是一个绝佳的选择。
结论

Terraform 的 for_each 循环远不止是创建多个资源的语法糖。它是一种处理动态、集合类基础设施的强大范式。通过今天对AWS ACM证书DNS验证案例的剖析,我们可以看到:

  • 提升了代码的简洁性:避免了大量重复的资源定义。
  • 增强了代码的可维护性:当域名列表变化时,无需修改DNS记录部分的代码。
  • 体现了IaC的核心思想:将基础设施的逻辑关系清晰地表达出来,实现了真正的自动化。

希望这篇文章能帮助大家更深入地理解 for_each 的强大之处,并将其应用到我们的日常工作中,解决更多自动化运维的难题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/pingmian/88092.shtml
繁体地址,请注明出处:http://hk.pswp.cn/pingmian/88092.shtml
英文地址,请注明出处:http://en.pswp.cn/pingmian/88092.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++标准库中各种互斥锁的用法 mutex

示例 仅供参考学习 #include <mutex> #include <shared_mutex> #include <thread> #include <chrono> #include <iostream> #include <vector>// // 1. std::mutex - 基本互斥锁 // void basic_mutex_example() {std::mutex mtx;int cou…

Android Handler机制与底层原理详解

Android 的 Handler 机制是跨线程通信和异步消息处理的核心框架&#xff0c;它构成了 Android 应用响应性和事件驱动模型的基础&#xff08;如 UI 更新、后台任务协调&#xff09;。其核心思想是 “消息队列 循环处理”。 核心组件及其关系Handler (处理器): 角色: 消息的发送…

jQuery JSONP:实现跨域数据交互的利器

jQuery JSONP&#xff1a;实现跨域数据交互的利器 引言 随着互联网的发展&#xff0c;跨域数据交互的需求日益增加。在Web开发中&#xff0c;由于同源策略的限制&#xff0c;直接通过XMLHttpRequest请求跨域数据会遇到诸多问题。而JSONP&#xff08;JSON with Padding&#xff…

Redis集群和 zookeeper 实现分布式锁的优势和劣势

在分布式系统中&#xff0c;实现分布式锁是确保多个节点间互斥访问共享资源的一种常见需求。Redis 集群 和 zookeeper 都可以用来实现这一功能&#xff0c;但它们有着各自不同的优势和劣势。 CAP 理论&#xff1a; 在设计一个分布式系统时&#xff0c;一致性&#xff08;Consis…

如何备份vivo手机中的联系人?

随着vivo移动设备在全球设立7个研发中心&#xff0c;vivo正在进入更多的国家。如今&#xff0c;越来越多的人开始使用vivo手机。以vivo X100为例&#xff0c;它配备了主摄像头和多个辅助摄像头&#xff0c;提供多样化的拍摄选项&#xff0c;并搭载了最新的FunTouch OS&#xff…

python脚本编程:使用BeautifulSoup爬虫库获取热门单机游戏排行榜

BeautifulSoup是一个便捷的解析html页面元素的python库&#xff0c;此处用来写一个简单的爬虫批量抓取国内游戏资讯网站的近期热门单机游戏排行榜。 网页来源如下所示代码 from bs4 import BeautifulSoup import requests# get web page web_url "https://www.3dmgame.co…

C#配置全面详解:从传统方式到现代配置系统

C#配置全面详解&#xff1a;从传统方式到现代配置系统 在软件开发中&#xff0c;配置是指应用程序运行时可调整的参数集合&#xff0c;如数据库连接字符串、API 地址、日志级别等。将这些参数从代码中分离出来&#xff0c;便于在不修改代码的情况下调整应用行为。C# 提供了多种…

数据中台架构解析:湖仓一体的实战设计

目录 一、数据中台与湖仓一体架构是什么 1. 数据中台 2. 湖仓一体架构 3. 湖仓一体在数据中台里的价值 二、湖仓一体架构的核心部件 1. 数据湖 2. 数据仓库 3. 数据集成工具 4. 数据分析与处理引擎 三、湖仓一体架构实战设计 1. 需求分析与规划 2. 数据湖建设 3. …

SQL Server表分区技术详解

表分区概述 表分区是将大型数据库表物理分割为多个较小单元的技术,逻辑上仍表现为单一实体。该技术通过水平分割数据显著提升查询性能,尤其针对TB级数据表可降低90%的响应时间。典型应用场景包含订单历史表、日志记录表等具有明显时间特征的业务数据,以及需要定期归档的审计…

WHIP(WebRTC HTTP Ingestion Protocol)详解

WHIP&#xff08;WebRTC HTTP Ingestion Protocol&#xff09;详解 WHIP&#xff08;WebRTC HTTP Ingestion Protocol&#xff09;是一种基于 HTTP 的协议&#xff0c;用于将 WebRTC 媒体流推送到媒体服务器&#xff08;如 SRS、Janus、LiveKit&#xff09;。它是为简化 WebRT…

图像噪点消除:用 OpenCV 实现多种滤波方法

在图像处理中&#xff0c;噪点是一个常见的问题。它可能是由于图像采集设备的缺陷、传输过程中的干扰&#xff0c;或者是光照条件不佳引起的。噪点会影响图像的质量和后续处理的效果&#xff0c;因此消除噪点是图像预处理的重要步骤之一。本文将介绍如何使用 OpenCV 实现几种常…

AI的Prompt提示词:英文写好还是中文好?

在与AI人大模型交互时,Prompt(提示词)的质量直接决定了输出的精准度和有效性。一个常见的问题是:究竟是用英文写Prompt好,还是用中文写更好?这并非一个简单的二元选择,而是涉及到语言模型的底层逻辑、表达的精确性以及个人使用习惯的综合考量。 英文Prompt的优势 模型训…

react的条件渲染【简约风5min】

const flag1true; console.log(flag1&&hello); console.log(flag1||hello); const flag20; console.log(flag2&&hello); console.log(flag2||hello); // &&运算符&#xff0c;如果第一个条件为假&#xff0c;则返回第一个条件&#xff0c;否则返回第二…

【RK3568+PG2L50H开发板实验例程】FPGA部分 | 紫光同创 IP core 的使用及添加

本原创文章由深圳市小眼睛科技有限公司创作&#xff0c;版权归本公司所有&#xff0c;如需转载&#xff0c;需授权并注明出处&#xff08;www.meyesemi.com)1.实验简介实验目的&#xff1a;了解 PDS 软件如何安装 IP、使用 IP 以及查看 IP 手册实验环境&#xff1a;Window11 PD…

thinkphp微信小程序一键获取手机号登陆(解密数据)

微信小程序获取手机号登录的步骤相对较为简单,主要分为几个部分: 1.用户授权获取手机号: 微信小程序通过调用 wx.getPhoneNumber API 获取用户授权后,获取手机号。 2.前端获取用户的手机号: 用户在小程序中点击获取手机号时,系统会弹出授权框,用户同意后,你可以通过 …

数据库设计精要:完整性和范式理论

文章目录数据的完整性实体的完整性主键域完整性参照完整性外键多表设计/多表理论一对一和一对多多对多数据库的设计范式第一范式&#xff1a;原子性第二范式&#xff1a;唯一性第三范式&#xff1a;不冗余性数据的完整性 实体的完整性 加主键&#xff0c;保证一个表中每一条数…

智能推荐社交分享小程序(websocket即时通讯、协同过滤算法、时间衰减因子模型、热度得分算法)

&#x1f388;系统亮点&#xff1a;websocket即时通讯、协同过滤算法、时间衰减因子模型、热度得分算法&#xff1b;一.系统开发工具与环境搭建1.系统设计开发工具后端使用Java编程语言的Spring boot框架项目架构&#xff1a;B/S架构运行环境&#xff1a;win10/win11、jdk17小程…

部署NextCloud AIO + Frp + nginx-proxy-manager内网穿透私有云服务

网络拓扑 假设已有域名为nextcloud.yourhost.com 用户通过域名https访问 -> Nginx -> frps -> frpc -> NextCloud 其中Nginx和frps安装在具有公网IP的服务器上&#xff0c;frpc和NextCloud安装在内网服务器中。 Nginx配置 通过docker安装nginx-proxy-manager 外…

【源力觉醒 创作者计划】文心开源大模型ERNIE-4.5-0.3B-Paddle私有化部署保姆级教程及技术架构探索

一起来轻松玩转文心大模型吧&#x1f449;一文心大模型免费下载地址: https://ai.gitcode.com/theme/1939325484087291906 前言 2025年6月30日&#xff0c;百度正式开源文心大模型4.5系列&#xff08;ERNIE 4.5&#xff09;&#xff0c;涵盖10款不同参数规模的模型&#xff0…

大模型面试:如何解决幻觉问题

在大模型面试中回答“如何解决幻觉”问题时&#xff0c;需要展现你对问题本质的理解、技术方案的掌握以及工程实践的洞察。以下是一个结构化的回答框架和关键点&#xff0c;供你参考&#xff1a;回答框架&#xff1a;问题理解 -> 解决方案 -> 总结 1. 明确问题&#xff0…