SST项目中API Gateway V2自定义域名删除问题的分析与解决

问题背景

在使用SST框架(Serverless Stack)部署AWS API Gateway V2服务时，开发人员发现了一个资源清理的问题。当API Gateway配置了自定义域名后，在执行sst remove命令尝试删除整个堆栈时，系统会在删除SSL证书环节卡住，最终导致超时失败。

问题现象

典型的应用场景是开发者在SST项目中配置了带有自定义域名的API Gateway V2服务：

const api = new sst.aws.ApiGatewayV2("Api", {
  domain: "some.domain.name",
  accessLog: {
    retention: "1 month",
  },
});

当尝试删除整个堆栈时，删除过程会在SSL证书删除阶段挂起，最终超时。临时解决方案是手动通过AWS CLI删除关联的域名：

aws apigateway delete-domain-name --domain-name your.domain.name

根本原因分析

经过深入分析，这个问题源于AWS资源的依赖关系：

1. 当API Gateway V2配置自定义域名时，AWS会在后台自动创建一个负载均衡器资源
2. 这个负载均衡器会关联到为该域名创建的SSL证书
3. 在删除堆栈时，SST/Pulumi尝试先删除SSL证书，但此时负载均衡器仍在使用该证书
4. 由于AWS的安全机制，正在被使用的SSL证书不能被直接删除

正确的删除顺序应该是：

1. 先删除API Gateway的自定义域名配置
2. 等待关联的负载均衡器被清理
3. 最后删除SSL证书

技术解决方案

SST团队在v3.11.21版本中修复了这个问题。修复的核心思路是：

1. 显式管理API Gateway自定义域名的删除顺序
2. 在删除SSL证书前确保所有依赖资源已被清理
3. 实现了与AWS CLI delete-domain-name命令等效的API调用

最佳实践建议

对于使用SST框架的开发人员，建议：

1. 确保使用最新版本的SST框架，特别是v3.11.21及更高版本
2. 在CI/CD流水线中，为资源删除操作预留足够的超时时间
3. 对于关键生产环境，考虑分阶段删除资源：
   • 先删除业务逻辑资源
   • 再删除网络和访问控制资源
   • 最后删除基础架构资源

总结

这个案例展示了云资源管理中依赖关系处理的重要性。SST框架通过改进资源删除顺序，解决了API Gateway V2自定义域名场景下的清理问题，为开发者提供了更顺畅的基础设施管理体验。理解AWS资源的内部关联关系，有助于开发者在遇到类似问题时快速定位和解决。