De post beskriuwt stappen om it behear fan SSL-sertifikaten te automatisearjen fan mei help fan и Aws.
is in ark dat sil tastean ús te fieren dizze funksje. It kin wurkje mei SSL-sertifikaten fan Let's Encrypt, bewarje se yn Amazon Certificate Manager, brûk de Route53 API om de DNS-01-útdaging út te fieren, en, as lêste, push-notifikaasjes nei SNS. YN acme-dns-route53 D'r is ek ynboude funksjonaliteit foar gebrûk binnen AWS Lambda, en dit is wat wy nedich binne.
Dit artikel is ferdield yn 4 seksjes:
- it meitsjen fan in zip-bestân;
- it meitsjen fan in IAM-rol;
- it meitsjen fan in lambda funksje dy't rint acme-dns-route53;
- it meitsjen fan in CloudWatch-timer dy't in funksje 2 kear deis trigger;
Noat: Foardat jo begjinne moatte jo ynstallearje и
It meitsjen fan in zip-bestân
acme-dns-route53 is skreaun yn GoLang en stipet ferzje net leger as 1.9.
Wy moatte in zip-bestân meitsje mei in binêr acme-dns-route53 binnenkant. Om dit te dwaan moatte jo ynstallearje acme-dns-route53 fan GitHub-repository mei it kommando go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53De binêre is ynstalleare yn $GOPATH/bin directory. Tink derom dat wy by ynstallaasje twa feroare omjouwings spesifisearje: GOOS=linux и GOARCH=amd64. Se meitsje it dúdlik foar de Go-kompiler dat it in binêr moat meitsje dat geskikt is foar Linux OS en amd64-arsjitektuer - dit is wat op AWS rint.
AWS ferwachtet dat ús programma wurdt ynset yn in zip-bestân, dus litte wy meitsje acme-dns-route53.zip argyf dat de nij ynstalleare binêr sil befetsje:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Noat: De binêre moat yn 'e root fan it zip-argyf wêze. Dêrfoar brûke wy -j flagge.
No is ús zip-bynamme klear foar ynset, alles wat bliuwt is om in rol te meitsjen mei de nedige rjochten.
It meitsjen fan in IAM-rol
Wy moatte in IAM-rol ynstelle mei de rjochten dy't nedich binne troch ús lambda tidens syn útfiering.
Litte wy dit belied neame lambda-acme-dns-route53-executor en jou har daliks in basisrol AWSLambdaBasicExecutionRole. Dit sil ús lambda tastean om logs út te fieren en te skriuwen nei de AWS CloudWatch-tsjinst.
Earst meitsje wy in JSON-bestân dat ús rjochten beskriuwt. Dit sil yn essinsje lambda-tsjinsten tastean de rol te brûken lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonDe ynhâld fan ús bestân is as folget:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Litte wy no it kommando útfiere aws iam create-role om in rol te meitsjen:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNoat: tink oan it belied ARN (Amazon Resource Name) - wy sille it nedich wêze yn 'e folgjende stappen.
De rol fan lambda-acme-dns-route53-executor makke, no moatte wy tagongsrjochten foar it opjaan. De maklikste manier om dit te dwaan is it kommando te brûken aws iam attach-role-policy, trochjaan belied ARN AWSLambdaBasicExecutionRole as folget:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNoat: in list mei oare belied kin fûn wurde .
It meitsjen fan in lambda funksje dy't rint acme-dns-route53
Hoera! No kinne jo ús funksje ynsette nei AWS mei it kommando aws lambda create-function. De lambda moat wurde konfigureare mei de folgjende omjouwingsfariabelen:
AWS_LAMBDA- makket it dúdlik acme-dns-route53 dat útfiering komt binnen AWS Lambda.DOMAINS- in list mei domeinen skieden troch komma's.LETSENCRYPT_EMAIL- befettet .NOTIFICATION_TOPIC- namme fan SNS-notifikaasjeûnderwerp (opsjoneel).STAGING- op de wearde1staging omjouwing wurdt brûkt.1024MB - ûnthâld limyt, kin feroare wurde.900sekonden (15 min) - time-out.acme-dns-route53- de namme fan ús binêre, dy't yn it argyf is.fileb://~/acme-dns-route53.zip- it paad nei it argyf dat wy makke hawwe.
Litte wy no ynsette:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}In CloudWatch-timer oanmeitsje dy't in funksje 2 kear deis trigger
De lêste stap is om cron yn te stellen, dy't ús funksje twa kear deis neamt:
- meitsje in CloudWatch-regel mei de wearde
schedule_expression. - meitsje in regeldoel (wat moat wurde útfierd) troch de ARN fan 'e lambda-funksje op te jaan.
- tastimming jaan oan de regel om de lambdafunksje op te roppen.
Hjirûnder haw ik myn Terraform-konfiguraasje taheakke, mar feitlik wurdt dit heul ienfâldich dien mei de AWS-konsole as AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}No binne jo ynsteld om automatysk SSL-sertifikaten te meitsjen en te aktualisearjen
Boarne: www.habr.com