Postitus kirjeldab samme SSL-sertifikaatide haldamise automatiseerimiseks kasutades и AWS.
on tööriist, mis võimaldab meil seda funktsiooni rakendada. See võib töötada Let's Encrypti SSL-sertifikaatidega, salvestada need Amazon Certificate Manageri, kasutada DNS-53 väljakutse rakendamiseks Route01 API-t ja lõpuks edastada SNS-ile tõukemärguandeid. IN acme-dns-route53 Samuti on AWS Lambda sees kasutamiseks sisseehitatud funktsionaalsus ja see on see, mida me vajame.
See artikkel on jagatud 4 osaks:
- ZIP-faili loomine;
- IAM rolli loomine;
- töötava lambda funktsiooni loomine acme-dns-route53;
- CloudWatchi taimeri loomine, mis käivitab funktsiooni 2 korda päevas;
Märge: Enne alustamist peate installima и
Zip-faili loomine
acme-dns-route53 on kirjutatud GoLangis ja toetab versiooni, mis ei ole väiksem kui 1.9.
Peame looma kahendfailiga ZIP-faili acme-dns-route53 sees. Selleks peate installima acme-dns-route53 GitHubi hoidlast, kasutades käsku go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binaarfail on installitud $GOPATH/bin kataloog. Pange tähele, et installimise ajal määrasime kaks muudetud keskkonda: GOOS=linux и GOARCH=amd64. Nad teevad Go kompilaatorile selgeks, et see peab looma Linuxi OS-i ja amd64 arhitektuuri jaoks sobiva binaarfaili – see on see, mis töötab AWS-is.
AWS eeldab, et meie programm juurutatakse ZIP-failina, nii et loome acme-dns-route53.zip arhiiv, mis sisaldab äsja installitud kahendfaili:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Märge: Binaarfail peaks asuma ZIP-arhiivi juurtes. Selleks kasutame -j lipp.
Nüüd on meie zip-hüüdnimi kasutuselevõtuks valmis, jääb üle vaid vajalike õigustega roll luua.
IAM-rolli loomine
Peame seadistama IAM-i rolli õigustega, mida meie lambda selle täitmise ajal nõuab.
Nimetagem seda poliitikat lambda-acme-dns-route53-executor ja anna talle kohe põhiroll AWSLambdaBasicExecutionRole. See võimaldab meie lambdal käitada ja kirjutada logisid AWS CloudWatchi teenusesse.
Esiteks loome JSON-faili, mis kirjeldab meie õigusi. See võimaldab sisuliselt lambda-teenustel seda rolli kasutada lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonMeie faili sisu on järgmine:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Nüüd käivitame käsu aws iam create-role rolli loomiseks:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonMärge: pidage meeles poliitikat ARN (Amazoni ressursi nimi) – vajame seda järgmistes sammudes.
Roll lambda-acme-dns-route53-executor loodud, peame nüüd selle jaoks õigused määrama. Lihtsaim viis seda teha on kasutada käsku aws iam attach-role-policy, läbib poliitika ARN AWSLambdaBasicExecutionRole järgmiselt:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleMärge: leiate loendi muude poliitikatega .
Töötava lambda-funktsiooni loomine acme-dns-route53
Hurraa! Nüüd saate käsu abil juurutada meie funktsiooni AWS-is aws lambda create-function. Lambda tuleb konfigureerida järgmiste keskkonnamuutujate abil:
AWS_LAMBDA- teeb asja selgeks acme-dns-route53 et täitmine toimub AWS Lambda sees.DOMAINS— komadega eraldatud domeenide loend.LETSENCRYPT_EMAIL- sisaldab .NOTIFICATION_TOPIC— SNS-i teavitusteema nimi (valikuline).STAGING- väärtuses1kasutatakse lavastuskeskkonda.1024MB - mälupiirang, saab muuta.900sekundit (15 min) — ajalõpp.acme-dns-route53— meie kahendfaili nimi, mis on arhiivis.fileb://~/acme-dns-route53.zip— tee meie loodud arhiivi.
Nüüd võtame kasutusele:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}CloudWatchi taimeri loomine, mis käivitab funktsiooni 2 korda päevas
Viimane samm on seadistada cron, mis kutsub meie funktsiooni kaks korda päevas:
- looge väärtusega CloudWatchi reegel
schedule_expression. - looge reegli sihtmärk (mida tuleks käivitada), määrates lambda-funktsiooni ARN-i.
- anda reeglile luba lambda funktsiooni kutsumiseks.
Allpool olen lisanud oma Terraformi konfiguratsiooni, kuid tegelikult tehakse seda väga lihtsalt, kasutades AWS-i konsooli või AWS-i CLI-d.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Nüüd olete konfigureeritud SSL-sertifikaate automaatselt looma ja värskendama
Allikas: www.habr.com