Пост апісвае крокі для аўтаматызацыі кіравання SSL сертыфікатамі ад выкарыстоўваючы и AWS.
- Гэта інструмент, які дазволіць нам рэалізаваць дадзеную фічу. Ён умее працаваць з SSL сертыфікатамі ад Let's Encrypt, захоўваць іх у Amazon Certificate Manager, выкарыстоўваць Route53 API для рэалізацыі DNS-01 challenge, і, у канцы, пушыць апавяшчэнні ў SNS. У acme-dns-route53 гэтак жа прысутнічае built-in функцыянал для выкарыстання ўсярэдзіне AWS Lambda, і гэта тое, што нам трэба.
Гэты артыкул разбіты на 4 раздзелы:
- стварэнне zip файла;
- стварэнне IAM ролі;
- стварэнне лямбда функцыі якая запускае acme-dns-route53;
- стварэнне CloudWatch таймера які трыгерыт функцыю 2 разы на дзень;
нататка: перад пачаткам неабходна ўсталяваць и
Стварэнне zip файла
acme-dns-route53 напісаны на GoLang і падтрымлівае версію не ніжэй за 1.9.
Нам трэба стварыць zip файл з бінарнікам acme-dns-route53 ўнутры. Для гэтага неабходна ўсталяваць acme-dns-route53 з GitHub рэпазітара выкарыстоўваючы каманду go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Бінарнік устаноўлены ў $GOPATH/bin дырэкторыю. Звярніце ўвагу на тое, што пры ўстаноўцы мы паказалі дзве пераеныя асяроддзі: GOOS=linux и GOARCH=amd64. Яны даюць зразумець Go кампілятару аб неабходнасці стварэння бінарніка падыходнага для Linux OS і amd64 архітэктуры - гэта тое, што запускаецца ў AWS.
AWS мае на ўвазе дэплой нашай праграмы ў zip файле, так што давайце створым acme-dns-route53.zip архіў які будзе змяшчаць толькі што ўсталяваны бінарнік:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53нататка: бінарнік павінен быць у корані zip архіва. Для гэтага мы выкарыстоўваем -j сцяг.
Цяпер наш zip-нік гатовы да дэплою, засталося толькі стварыць ролю з неабходнымі правамі.
Стварэнне IAM ролі
Нам трэба застапіць IAM ролю з правамі, неабходнымі нашай лямбдзе падчас яе выканання.
Давайце назавем гэтую policy lambda-acme-dns-route53-executor і адразу дамо ёй базавую ролю AWSLambdaBasicExecutionRole. Гэта дазволіць нашай лямбдзе запусціцца і пісаць логі ў AWS CloudWatch сэрвіс.
Для пачатку ствараем JSON файл у якім апісаны нашы правы. Гэта, па сутнасці, дазволіць лямбда-сэрвісам выкарыстоўваць ролю lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonЗмест нашага файла наступнае:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Цяпер выканаем каманду aws iam create-role для стварэння ролі:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonнататка: запомніце policy ARN (Amazon Resource Name) - ён нам спатрэбіцца на наступных этапах.
Роля lambda-acme-dns-route53-executor створана, зараз нам трэба пазначыць дазволу для яе. Самы просты спосаб зрабіць гэта - выкарыстоўваць каманду aws iam attach-role-policy, перадаўшы policy ARN AWSLambdaBasicExecutionRole наступным чынам:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleнататка: спіс з астатнімі палітыкамі можна знайсці .
Стварэнне лямбда функцыі якая запускае acme-dns-route53
Ура! Цяпер можна і задэплоіць нашу функцыю на AWS з дапамогай каманды aws lambda create-function. Лямбда павінна быць сканфігуравана выкарыстоўваючы наступныя зменныя асяроддзі:
AWS_LAMBDA- дае зразумець acme-dns-route53 аб тым, што выкананне адбывацца ўсярэдзіне AWS Lambda.DOMAINS- спіс даменаў, падзеленых коскамі.LETSENCRYPT_EMAIL- змяшчае .NOTIFICATION_TOPIC- назва SNS Notification Topic (апцыянальна).STAGING- Пры значэнні1выкарыстоўваецца staging environment.1024MB - ліміт памяці, можа быць зменены.900secs (15 min) - таймаўт.acme-dns-route53- назва нашага бінарніка, які ляжыць у архіве.fileb://~/acme-dns-route53.zip- шлях да архіва, які мы стварылі.
Цяпер дэплоім:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Стварэнне CloudWatch таймера які трыгерыт функцыю 2 разы на дзень
Апошні крок - гэта наладзіць крон, які выклікае нашу функцыю двойчы ў дзень:
- стварыць правіла CloudWatch са значэннем
schedule_expression. - стварыць мэту правілы (што павінна выконвацца), паказаўшы ARN лямбда-функцыі.
- даць дазвол правілу выклік лямбда-функцыі.
Ніжэй я прымацаваў свой Terraform канфіг, але на самой справе гэта робіцца вельмі проста з дапамогай AWS кансоль ці AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Цяпер і ў вас настроена аўтаматычнае стварэнне і абнаўленне SSL сертыфікатаў
Крыніца: habr.com