A publicación describe os pasos para automatizar a xestión dos certificados SSL desde usando и AWS.
é unha ferramenta que nos permitirá implementar esta función. Pode funcionar con certificados SSL de Let's Encrypt, gardalos en Amazon Certificate Manager, usar a API Route53 para implementar o desafío DNS-01 e, finalmente, enviar notificacións push a SNS. EN acme-dns-route53 Tamén hai unha funcionalidade integrada para usar dentro de AWS Lambda, e isto é o que necesitamos.
Este artigo está dividido en 4 seccións:
- crear un ficheiro zip;
- crear un rol IAM;
- creando unha función lambda que se execute acme-dns-route53;
- crear un temporizador CloudWatch que activa unha función 2 veces ao día;
Nota: Antes de comezar, cómpre instalar и
Creando un ficheiro zip
acme-dns-route53 está escrito en GoLang e admite unha versión non inferior a 1.9.
Necesitamos crear un ficheiro zip cun binario acme-dns-route53 dentro. Para iso cómpre instalar acme-dns-route53 desde o repositorio de GitHub usando o comando go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53O binario está instalado en $GOPATH/bin directorio. Teña en conta que durante a instalación especificamos dous ambientes modificados: GOOS=linux и GOARCH=amd64. Deixan claro ao compilador Go que debe crear un binario axeitado para o sistema operativo Linux e a arquitectura amd64: isto é o que se executa en AWS.
AWS espera que o noso programa se despregue nun ficheiro zip, así que imos crear acme-dns-route53.zip arquivo que conterá o binario recén instalado:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Nota: O binario debería estar na raíz do arquivo zip. Para iso utilizamos -j Bandeira.
Agora o noso alcume zip está listo para a súa implantación, só queda crear un rol cos dereitos necesarios.
Creando un rol IAM
Necesitamos configurar un rol IAM cos dereitos que require a nosa lambda durante a súa execución.
Chamemos esta política lambda-acme-dns-route53-executor e inmediatamente darlle un papel básico AWSLambdaBasicExecutionRole. Isto permitirá que a nosa lambda execute e escriba rexistros no servizo AWS CloudWatch.
En primeiro lugar, creamos un ficheiro JSON que describe os nosos dereitos. Isto permitirá esencialmente que os servizos lambda utilicen o rol lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonO contido do noso ficheiro é o seguinte:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Agora imos executar o comando aws iam create-role para crear un papel:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNota: lembre a política ARN (Nome do recurso de Amazon) - necesitarémola nos próximos pasos.
Papel lambda-acme-dns-route53-executor creado, agora necesitamos especificar os permisos para iso. A forma máis sinxela de facelo é usar o comando aws iam attach-role-policy, aprobando a política ARN AWSLambdaBasicExecutionRole do seguinte xeito:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNota: pódese atopar unha lista con outras políticas .
Creando unha función lambda que se execute acme-dns-route53
Hurra! Agora podes implementar a nosa función en AWS usando o comando aws lambda create-function. A lambda debe configurarse usando as seguintes variables de ambiente:
AWS_LAMBDA- deixa claro acme-dns-route53 esa execución ocorre dentro de AWS Lambda.DOMAINS— unha lista de dominios separados por comas.LETSENCRYPT_EMAIL- contén .NOTIFICATION_TOPIC— nome do tema de notificación SNS (opcional).STAGING- ao valor1utilízase un ambiente de posta en escena.1024MB - límite de memoria, pódese cambiar.900segundos (15 min) - tempo de espera.acme-dns-route53— o nome do noso binario, que está no arquivo.fileb://~/acme-dns-route53.zip— o camiño ao arquivo que creamos.
Agora imos implementar:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Creando un temporizador CloudWatch que activa unha función 2 veces ao día
O último paso é configurar cron, que chama á nosa función dúas veces ao día:
- cree unha regra de CloudWatch co valor
schedule_expression. - cree un destino de regra (o que se debe executar) especificando o ARN da función lambda.
- dar permiso á regra para chamar á función lambda.
A continuación adxunto a miña configuración de Terraform, pero de feito isto faise de forma moi sinxela usando a consola AWS ou AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Agora estás configurado para crear e actualizar automaticamente certificados SSL
Fonte: www.habr.com