Viesti kuvaa vaiheita SSL-varmenteiden hallinnan automatisoimiseksi käyttämällä и AWS.
on työkalu, jonka avulla voimme toteuttaa tämän ominaisuuden. Se voi toimia Let's Encryptin SSL-sertifikaattien kanssa, tallentaa ne Amazon Certificate Manageriin, käyttää Route53 API:ta DNS-01-haasteen toteuttamiseen ja lopuksi push-ilmoituksia SNS:lle. SISÄÄN acme-dns-route53 AWS Lambdan sisällä on myös sisäänrakennettu toiminnallisuus, ja tätä me tarvitsemme.
Tämä artikkeli on jaettu 4 osaan:
- zip-tiedoston luominen;
- IAM-roolin luominen;
- luomalla toimivan lambda-funktion acme-dns-route53;
- CloudWatch-ajastimen luominen, joka käynnistää toiminnon 2 kertaa päivässä;
Huomautus: Ennen kuin aloitat, sinun on asennettava и
Zip-tiedoston luominen
acme-dns-route53 on kirjoitettu GoLangissa ja se tukee vähintään 1.9:ää.
Meidän on luotava zip-tiedosto, jossa on binääri acme-dns-route53 sisällä. Tätä varten sinun on asennettava acme-dns-route53 GitHub-arkistosta komennolla go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binaari on asennettu sisään $GOPATH/bin hakemistosta. Huomaa, että määritimme asennuksen aikana kaksi muuttunutta ympäristöä: GOOS=linux и GOARCH=amd64. Ne tekevät Go-kääntäjälle selväksi, että sen on luotava Linux-käyttöjärjestelmälle ja amd64-arkkitehtuurille sopiva binaari - tämä toimii AWS:ssä.
AWS odottaa, että ohjelmamme otetaan käyttöön zip-tiedostona, joten luodaan acme-dns-route53.zip arkisto, joka sisältää juuri asennetun binaarin:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Huomautus: Binaaritiedoston tulee olla zip-arkiston juuressa. Tätä varten käytämme -j lippu.
Nyt zip-lempinimemme on valmis käyttöönotettavaksi, jäljellä on vain luoda rooli, jolla on tarvittavat oikeudet.
IAM-roolin luominen
Meidän on määritettävä IAM-rooli, jolla on lambdamme edellyttämät oikeudet sen suorittamisen aikana.
Kutsutaan tätä politiikkaa lambda-acme-dns-route53-executor ja anna hänelle välittömästi perusrooli AWSLambdaBasicExecutionRole. Näin lambdamme voi suorittaa ja kirjoittaa lokeja AWS CloudWatch -palveluun.
Ensin luomme JSON-tiedoston, joka kuvaa oikeuksiamme. Tämä antaa olennaisesti lambda-palveluille mahdollisuuden käyttää roolia lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonTiedostomme sisältö on seuraava:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Suoritetaan nyt komento aws iam create-role roolin luominen:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonHuomautus: muista käytäntö ARN (Amazon Resource Name) - tarvitsemme sitä seuraavissa vaiheissa.
Rooli lambda-acme-dns-route53-executor luotu, nyt meidän on määritettävä sen käyttöoikeudet. Helpoin tapa tehdä tämä on käyttää komentoa aws iam attach-role-policy, läpäisee ARN-käytännön AWSLambdaBasicExecutionRole seuraavasti:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleHuomautus: löytyy luettelo muista käytännöistä .
Lambda-funktion luominen, joka toimii acme-dns-route53
Hurraa! Nyt voit ottaa toimintomme käyttöön AWS:ssä komennolla aws lambda create-function. Lambda on määritettävä käyttämällä seuraavia ympäristömuuttujia:
AWS_LAMBDA- tekee selväksi acme-dns-route53 että suoritus tapahtuu AWS Lambdan sisällä.DOMAINS— luettelo verkkotunnuksista pilkuilla erotettuina.LETSENCRYPT_EMAIL- sisältää .NOTIFICATION_TOPIC— SNS-ilmoitusaiheen nimi (valinnainen).STAGING- arvolla1lavastusympäristöä käytetään.1024MB - muistiraja, voidaan muuttaa.900sekuntia (15 min) — aikakatkaisu.acme-dns-route53- binaarimme nimi, joka on arkistossa.fileb://~/acme-dns-route53.zip- polku luomaan arkistoon.
Otetaan nyt käyttöön:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}CloudWatch-ajastimen luominen, joka käynnistää toiminnon 2 kertaa päivässä
Viimeinen vaihe on määrittää cron, joka kutsuu toimintoamme kahdesti päivässä:
- luo CloudWatch-sääntö arvolla
schedule_expression. - luo sääntökohde (mitä pitäisi suorittaa) määrittämällä lambda-funktion ARN.
- anna säännölle lupa kutsua lambda-funktiota.
Alla olen liittänyt Terraform-kokoonpanoni, mutta itse asiassa tämä tehdään hyvin yksinkertaisesti AWS-konsolin tai AWS CLI:n avulla.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Nyt olet määritetty luomaan ja päivittämään SSL-varmenteita automaattisesti
Lähde: will.com