Der Beitrag beschreibt Schritte zur Automatisierung der Verwaltung von SSL-Zertifikaten von mit и AWS.
ist ein Tool, mit dem wir diese Funktion implementieren können. Es kann mit SSL-Zertifikaten von Let's Encrypt arbeiten, diese im Amazon Certificate Manager speichern, die Route53-API verwenden, um die DNS-01-Herausforderung zu implementieren, und schließlich Push-Benachrichtigungen an SNS senden. IN acme-dns-route53 Es gibt auch integrierte Funktionen zur Verwendung in AWS Lambda, und das ist es, was wir brauchen.
Dieser Artikel ist in 4 Abschnitte unterteilt:
- Erstellen einer ZIP-Datei;
- Erstellen einer IAM-Rolle;
- Erstellen einer Lambda-Funktion, die ausgeführt wird acme-dns-route53;
- Erstellen eines CloudWatch-Timers, der zweimal täglich eine Funktion auslöst;
Hinweis: Bevor Sie beginnen, müssen Sie die Installation durchführen и
Erstellen einer ZIP-Datei
acme-dns-route53 ist in GoLang geschrieben und unterstützt mindestens Version 1.9.
Wir müssen eine ZIP-Datei mit einer Binärdatei erstellen acme-dns-route53 innen. Dazu müssen Sie installieren acme-dns-route53 aus dem GitHub-Repository mit dem Befehl go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Die Binärdatei ist installiert in $GOPATH/bin Verzeichnis. Bitte beachten Sie, dass wir bei der Installation zwei geänderte Umgebungen angegeben haben: GOOS=linux и GOARCH=amd64. Sie machen dem Go-Compiler klar, dass er eine Binärdatei erstellen muss, die für das Linux-Betriebssystem und die amd64-Architektur geeignet ist – diese läuft auf AWS.
AWS erwartet, dass unser Programm in einer ZIP-Datei bereitgestellt wird, also erstellen wir es acme-dns-route53.zip Archiv, das die neu installierte Binärdatei enthält:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Hinweis: Die Binärdatei sollte sich im Stammverzeichnis des Zip-Archivs befinden. Dafür verwenden wir -j Flagge.
Jetzt ist unser Zip-Spitzname bereit für die Bereitstellung. Jetzt müssen Sie nur noch eine Rolle mit den erforderlichen Rechten erstellen.
Erstellen einer IAM-Rolle
Wir müssen eine IAM-Rolle mit den Rechten einrichten, die unser Lambda während seiner Ausführung benötigt.
Nennen wir diese Richtlinie lambda-acme-dns-route53-executor und gib ihr sofort eine Grundrolle AWSLambdaBasicExecutionRole. Dadurch kann unser Lambda Protokolle ausführen und in den AWS CloudWatch-Dienst schreiben.
Zuerst erstellen wir eine JSON-Datei, die unsere Rechte beschreibt. Dadurch können Lambda-Dienste die Rolle im Wesentlichen nutzen lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonDer Inhalt unserer Datei ist wie folgt:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Jetzt führen wir den Befehl aus aws iam create-role So erstellen Sie eine Rolle:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonHinweis: Merken Sie sich den Richtlinien-ARN (Amazon Resource Name) – wir werden ihn in den nächsten Schritten benötigen.
Rolle lambda-acme-dns-route53-executor erstellt, jetzt müssen wir Berechtigungen dafür angeben. Am einfachsten geht das mit dem Befehl aws iam attach-role-policy, Übergabe des Richtlinien-ARN AWSLambdaBasicExecutionRole следующим обрахом:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleHinweis: Eine Liste mit anderen Richtlinien finden Sie hier .
Erstellen einer Lambda-Funktion, die ausgeführt wird acme-dns-route53
Hurra! Jetzt können Sie unsere Funktion mit dem Befehl in AWS bereitstellen aws lambda create-function. Das Lambda muss mit den folgenden Umgebungsvariablen konfiguriert werden:
AWS_LAMBDA- macht es klar acme-dns-route53 Diese Ausführung erfolgt innerhalb von AWS Lambda.DOMAINS– eine durch Kommas getrennte Liste von Domänen.LETSENCRYPT_EMAIL- enthält .NOTIFICATION_TOPIC– Name des SNS-Benachrichtigungsthemas (optional).STAGING- zum Wert1Staging-Umgebung verwendet wird.1024MB – Speicherlimit, kann geändert werden.900Sekunden (15 Minuten) – Zeitüberschreitung.acme-dns-route53– der Name unserer Binärdatei, die sich im Archiv befindet.fileb://~/acme-dns-route53.zip– der Pfad zum Archiv, das wir erstellt haben.
Lassen Sie uns nun Folgendes bereitstellen:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Erstellen eines CloudWatch-Timers, der zweimal täglich eine Funktion auslöst
Der letzte Schritt besteht darin, cron einzurichten, das unsere Funktion zweimal täglich aufruft:
- Erstellen Sie eine CloudWatch-Regel mit dem Wert
schedule_expression. - Erstellen Sie ein Regelziel (was ausgeführt werden soll), indem Sie den ARN der Lambda-Funktion angeben.
- Erteilen Sie der Regel die Erlaubnis, die Lambda-Funktion aufzurufen.
Unten habe ich meine Terraform-Konfiguration angehängt, aber tatsächlich erfolgt dies ganz einfach über die AWS-Konsole oder die AWS-CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Jetzt sind Sie so konfiguriert, dass SSL-Zertifikate automatisch erstellt und aktualisiert werden
Source: habr.com