La afiŝo priskribas paŝojn por aŭtomatigi la administradon de SSL-atestiloj de uzante и AWS.
estas ilo, kiu permesos al ni efektivigi ĉi tiun funkcion. Ĝi povas funkcii kun SSL-atestiloj de Let's Encrypt, konservi ilin en Amazon Certificate Manager, uzi la Route53 API por efektivigi la DNS-01-defion, kaj, finfine, puŝi sciigojn al SNS. EN acme-dns-itinero53 Ankaŭ ekzistas enkonstruita funkcieco por uzo ene de AWS Lambda, kaj ĉi tion ni bezonas.
Ĉi tiu artikolo estas dividita en 4 sekciojn:
- kreante zip-dosieron;
- kreante IAM-rolon;
- kreante lambda funkcio kiu funkcias acme-dns-itinero53;
- kreante CloudWatch-tempigilon, kiu ekigas funkcion 2 fojojn tage;
Noto: Antaŭ ol komenci, vi devas instali и
Kreante zip-dosieron
acme-dns-route53 estas skribita en GoLang kaj subtenas version ne pli malaltan ol 1.9.
Ni devas krei zip-dosieron kun duuma acme-dns-route53 interne. Por fari tion, vi devas instali acme-dns-route53 de GitHub-deponejo uzante la komandon go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53La binaro estas instalita en $GOPATH/bin dosierujo. Bonvolu noti, ke dum instalado ni specifis du ŝanĝitajn mediojn: GOOS=linux и GOARCH=amd64. Ili klarigas al la Go-kompililo, ke ĝi bezonas krei binaron taŭgan por Linukso OS kaj arkitekturo amd64 - jen kio funkcias per AWS.
AWS atendas, ke nia programo estos deplojita en zip-dosiero, do ni kreu acme-dns-route53.zip arkivo kiu enhavos la lastatempe instalitan binaron:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Noto: La duuma devus esti en la radiko de la zip-arkivo. Por tio ni uzas -j flago.
Nun nia zip-alnomo estas preta por deplojo, restas nur krei rolon kun la necesaj rajtoj.
Kreante IAM-rolon
Ni devas starigi IAM-rolon kun la rajtoj postulitaj de nia lambda dum ĝia ekzekuto.
Ni nomu ĉi tiun politikon lambda-acme-dns-route53-executor kaj tuj donu al ŝi bazan rolon AWSLambdaBasicExecutionRole. Ĉi tio permesos al nia lambda funkcii kaj skribi protokolojn al la AWS CloudWatch-servo.
Unue, ni kreas JSON-dosieron, kiu priskribas niajn rajtojn. Ĉi tio esence permesos al lambda servoj uzi la rolon lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonLa enhavo de nia dosiero estas jena:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Nun ni rulu la komandon aws iam create-role krei rolon:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNoto: memoru la politikon ARN (Amazon Resource Name) - ni bezonos ĝin en la sekvaj paŝoj.
La rolo de lambda-acme-dns-route53-executor kreita, nun ni devas specifi permesojn por ĝi. La plej facila maniero fari tion estas uzi la komandon aws iam attach-role-policy, pasante politikon ARN AWSLambdaBasicExecutionRole kiel sekvas:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNoto: listo kun aliaj politikoj troveblas .
Kreante lambda funkcio kiu funkcias acme-dns-itinero53
Hura! Nun vi povas disfaldi nian funkcion al AWS uzante la komandon aws lambda create-function. La lambda devas esti agordita uzante la sekvajn mediovariablojn:
AWS_LAMBDA— klarigas acme-dns-itinero53 tiu ekzekuto okazas ene de AWS Lambda.DOMAINS— listo de domajnoj apartigitaj per komoj.LETSENCRYPT_EMAIL- enhavas .NOTIFICATION_TOPIC— nomo de SNS Sciiga Temo (laŭvola).STAGING- je la valoro1sursceniga medio estas uzata.1024MB - limo de memoro, ŝanĝeblas.900sekundoj (15 min) - tempoforigo.acme-dns-route53— la nomo de nia binaro, kiu estas en la arkivo.fileb://~/acme-dns-route53.zip— la vojo al la arkivo, kiun ni kreis.
Nun ni disfaldu:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Kreante CloudWatch-tempigilon, kiu ekigas funkcion 2 fojojn tage
La lasta paŝo estas agordi cron, kiu vokas nian funkcion dufoje tage:
- kreu regulon de CloudWatch kun la valoro
schedule_expression. - kreu regulcelon (kio devus esti ekzekutita) specifante la ARN de la lambda funkcio.
- doni permeson al la regulo voki la lambda funkcio.
Malsupre mi alfiksis mian Terraform-agordon, sed fakte tio estas farita tre simple uzante la AWS-konzolon aŭ AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Nun vi estas agordita por aŭtomate krei kaj ĝisdatigi SSL-atestilojn
fonto: www.habr.com