Lua-resty-auto-ssl: allow_domain कॉल फ़्रीक्वेंसी

कहा जाता है कि आपके पास सर्टिफिकेट है या नहीं। व्यक्तिगत रूप से मैं जांचता हूं कि हमारे बैकएंड से पूछने से पहले हमारे पास पहले से कोई प्रमाण पत्र है या नहीं, यह एक नया उत्पन्न करना ठीक है या नहीं।

-- first check if we have the certificate already, else check with backend if we allow it 
    local certstorage = auto_ssl:get("storage")

    local fullchain_pem, privkey_pem = certstorage:get_cert(domain)
    if fullchain_pem then
      return true
    else ...

मैं ओवरहेड/प्रदर्शन प्रभाव के बारे में भी थोड़ा चिंतित हूं, लेकिन मैं अभी भी योजना के चरणों में हूं और अभी तक प्राप्त नहीं हुआ हूं।

@brianlund साझा करने के लिए धन्यवाद। मैंने उक्त वेब सेवा से हमारे परिणामों को 'कैश' करने के लिए एक स्थानीय lua_shared_dict लागू किया है।

    auto_ssl:set("allow_domain", function(domain)
      local http = require "resty.http"
      local httpc = http.new()
      local cjson = require "cjson"
      local our_allow_domain_cache = ngx.shared.our_allow_domain_cache

      local found = our_allow_domain_cache:get(domain)

      if found == nil then
        local res, err = httpc:request_uri("[is domain allowed web service]"..domain, {
          method = "GET",
        })

        if not res then
          found = false
        else
          local data = cjson.decode(res.body)
          found = data.found
        end

        -- Cache for 60 seconds, for now...
        our_allow_domain_cache:set(domain, found, 60)
      else
        if found then
          -- Known good domain, keep it in cache for a little longer
          our_allow_domain_cache:set(domain, found, 300)
        end
      end

मुझे वास्तव में auto_ssl:get("storage") सेवा की जाँच करने का आपका विचार पसंद है। मैं कुछ इसी तरह के साथ जा सकता हूं। क्या हम मान सकते हैं कि यह हर अनुरोध पर होता है? या lua_shared_dict auto_ssl भंडारण के लिए एक कैशिंग परत का उपयोग किया जा रहा है? ऐसा लगता है कि यह हो सकता है: https://github.com/GUI/lua-resty-auto-ssl/blob/master/lib/resty/auto-ssl/ssl_certificate.lua#L20

मुझे आश्चर्य है कि यह आपके उदाहरण में जांचना बेहतर होगा:
ngx.shared.auto_ssl:get("domain:fullchain_der:" .. domain) बनाम सीधे storage कॉल करना।

मेरा मानना ​​​​है कि ngx.shared.auto_ssl:get("domain:fullchain_der:" .. domain) केवल साझा मेमोरी कैश की जांच करता है। मैं कई नोड्स चलाने की योजना बना रहा हूं, इसलिए कुछ ऐसा चाहिए जो उनके बीच साझा किया जाए (रेडिस स्टोरेज)। मुझे आपका कैश समाधान पसंद है, हालांकि, यह स्टोरेज सेवा में बहुत सारी कॉल बचाएगा, अगर मुझे इसे बार-बार कॉल करने में कोई समस्या दिखाई देती है, तो मैं इसे ध्यान में रखूंगा।

मैं वहां आपके डेमो कोड के लिए @jasonbouffard को धन्यवाद देना चाहता हूं - यह मेरे लिए एक अत्यंत उपयोगी बिल्डिंग ब्लॉक था! इसकी प्रशंसा करना!

क्या हम मान सकते हैं कि यह हर अनुरोध पर होता है?

यह वास्तव में अच्छा प्रश्न है।

मेरी धारणा यह है कि डोमेन के लिए प्रमाणपत्र नहीं होने पर इस विधि को कॉल किया जाता है, लेकिन मुझे इसके बारे में निश्चित नहीं है।
क्या आप @jasonbouffard इसकी पुष्टि कर

@Alir3z4

मैं भी इसको लेकर उत्सुक था।
दस्तावेज़ इस बारे में इतने पारदर्शी नहीं हैं, इसलिए मुझे स्रोत कोड का निरीक्षण करना पड़ा।

तो, प्रत्येक अनुरोध पर, ऑटो-एसएसएल यह करता है:

• ngx.shared.auto_ssl शब्दकोश से प्रमाणपत्र प्राप्त करने का प्रयास करता है, जो 1 घंटे के लिए कैश किया जाता है
• उपयोगकर्ता द्वारा परिभाषित allow_domain विधि को कॉल करता है
• भंडारण से प्रमाणपत्र प्राप्त करने का प्रयास करता है
• एक नया प्रमाणपत्र बनाता है

इसे README.md में समझाना सही होगा।
धन्यवाद!

स्रोत:

https://github.com/auto-ssl/lua-resty-auto-ssl/blob/86d3c94807ad1585b464fad2d4defb379f9c152a/lib/resty/auto-ssl/ssl_certificate.lua#L104 -L157