Objava opisuje korake za automatizaciju upravljanja SSL certifikatima iz koristeći и AWS.
je alat koji će nam omogućiti da implementiramo ovu funkciju. Može raditi sa SSL certifikatima iz Let's Encrypt, spremiti ih u Amazon Certificate Manager, koristiti Route53 API za implementaciju DNS-01 izazova i, konačno, proslijediti obavještenja SNS-u. IN acme-dns-route53 Tu je i ugrađena funkcionalnost za korištenje unutar AWS Lambda, a to je ono što nam treba.
Ovaj članak je podijeljen u 4 dijela:
- kreiranje zip datoteke;
- kreiranje IAM uloge;
- kreiranje lambda funkcije koja se pokreće acme-dns-route53;
- kreiranje CloudWatch tajmera koji pokreće funkciju 2 puta dnevno;
Bilješka: Prije nego što počnete potrebno je instalirati и
Kreiranje zip datoteke
acme-dns-route53 je napisan na GoLangu i podržava verziju ne nižu od 1.9.
Moramo kreirati zip datoteku sa binarnom datotekom acme-dns-route53 unutra. Da biste to uradili morate instalirati acme-dns-route53 iz GitHub spremišta koristeći naredbu go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binarna datoteka je instalirana u $GOPATH/bin imenik. Imajte na umu da smo tokom instalacije naveli dva promijenjena okruženja: GOOS=linux и GOARCH=amd64. Oni jasno stavljaju do znanja Go kompajleru da treba da kreira binarni fajl prikladan za Linux OS i amd64 arhitekturu – to je ono što radi na AWS-u.
AWS očekuje da se naš program implementira u zip fajlu, pa krenimo acme-dns-route53.zip arhiva koja će sadržavati novoinstalirani binarni fajl:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Bilješka: Binarni bi trebao biti u korijenu zip arhive. Za ovo koristimo -j zastava.
Sada je naš zip nadimak spreman za implementaciju, ostaje samo da kreirate ulogu sa potrebnim pravima.
Kreiranje IAM uloge
Moramo postaviti IAM ulogu s pravima koja zahtijeva naša lambda tokom njenog izvršavanja.
Nazovimo ovu politiku lambda-acme-dns-route53-executor i odmah joj dati osnovnu ulogu AWSLambdaBasicExecutionRole. Ovo će omogućiti našem lambda pokretanju i zapisivanju dnevnika na uslugu AWS CloudWatch.
Prvo, kreiramo JSON fajl koji opisuje naša prava. Ovo će u suštini omogućiti lambda servisima da koriste ulogu lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonSadržaj našeg fajla je sljedeći:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Sada pokrenimo naredbu aws iam create-role da kreirate ulogu:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonBilješka: zapamtite politiku ARN (Amazon Resource Name) - trebat će nam u sljedećim koracima.
Uloga lambda-acme-dns-route53-executor kreiran, sada moramo navesti dozvole za njega. Najlakši način da to učinite je korištenje naredbe aws iam attach-role-policy, donošenje politike ARN AWSLambdaBasicExecutionRole kako slijedi:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleBilješka: može se naći lista sa drugim pravilima .
Kreiranje lambda funkcije koja se pokreće acme-dns-route53
Ura! Sada možete primijeniti našu funkciju na AWS pomoću naredbe aws lambda create-function. Lambda mora biti konfigurirana korištenjem sljedećih varijabli okruženja:
AWS_LAMBDA- jasno je acme-dns-route53 da se izvršavanje dešava unutar AWS Lambda.DOMAINS— lista domena odvojenih zarezima.LETSENCRYPT_EMAIL- sadrži .NOTIFICATION_TOPIC— naziv teme SNS obaveštenja (opciono).STAGING- po vrijednosti1koristi se scensko okruženje.1024MB - ograničenje memorije, može se promijeniti.900sec (15 min) — vremensko ograničenje.acme-dns-route53— naziv naše binarne datoteke koja se nalazi u arhivi.fileb://~/acme-dns-route53.zip— put do arhive koju smo kreirali.
Sada rasporedimo:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Kreiranje CloudWatch tajmera koji pokreće funkciju 2 puta dnevno
Zadnji korak je postavljanje cron-a, koji poziva našu funkciju dva puta dnevno:
- kreirajte CloudWatch pravilo s vrijednošću
schedule_expression. - kreirajte cilj pravila (ono što bi trebalo da se izvrši) navodeći ARN lambda funkcije.
- dajte dopuštenje pravilu za pozivanje lambda funkcije.
Ispod sam priložio svoju Terraform konfiguraciju, ali to se u stvari radi vrlo jednostavno pomoću AWS konzole ili AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Sada ste konfigurirani da automatski kreirate i ažurirate SSL certifikate
izvor: www.habr.com