A bejegyzés leírja az SSL-tanúsítványok kezelésének automatizálásának lépéseit felhasználásával и AWS.
egy olyan eszköz, amely lehetővé teszi számunkra ennek a funkciónak a megvalósítását. Működhet a Let's Encrypt SSL-tanúsítványaival, mentheti azokat az Amazon Certificate Managerbe, használhatja a Route53 API-t a DNS-01 kihívás megvalósításához, és végül push értesítéseket küldhet az SNS-nek. BAN BEN acme-dns-route53 Az AWS Lambdán belüli használatra is van beépített funkcionalitás, és erre van szükségünk.
Ez a cikk 4 részre oszlik:
- zip fájl létrehozása;
- IAM-szerep létrehozása;
- lefutó lambda függvény létrehozása acme-dns-route53;
- CloudWatch időzítő létrehozása, amely naponta kétszer indít egy funkciót;
Jegyzet: Mielőtt elkezdené, telepítenie kell и
Zip fájl létrehozása
Az acme-dns-route53 GoLang nyelven íródott, és nem támogatja az 1.9-nél régebbi verziót.
Létre kell hoznunk egy zip fájlt egy binárissal acme-dns-route53 belül. Ehhez telepítenie kell acme-dns-route53 a GitHub tárolóból a paranccsal go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53A bináris telepítve van $GOPATH/bin Könyvtár. Felhívjuk figyelmét, hogy a telepítés során két megváltozott környezetet adtunk meg: GOOS=linux и GOARCH=amd64. Világossá teszik a Go fordító számára, hogy létre kell hoznia egy Linux operációs rendszerhez és az amd64 architektúrához megfelelő bináris fájlt – ez fut az AWS-en.
Az AWS elvárja, hogy programunkat zip fájlban telepítsük, ezért hozzuk létre acme-dns-route53.zip archívum, amely az újonnan telepített bináris fájlt tartalmazza:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Jegyzet: A binárisnak a zip-archívum gyökerében kell lennie. Erre használjuk -j zászló.
A zip becenevünk készen áll a telepítésre, már csak egy szerepkör létrehozása van hátra a szükséges jogokkal.
IAM-szerep létrehozása
Be kell állítanunk egy IAM-szerepet a lambdánk által a végrehajtás során megkövetelt jogokkal.
Nevezzük ezt irányelvnek lambda-acme-dns-route53-executor és azonnal adj neki egy alapszerepet AWSLambdaBasicExecutionRole. Ez lehetővé teszi, hogy a lambda fut, és naplókat írjon az AWS CloudWatch szolgáltatásba.
Először létrehozunk egy JSON-fájlt, amely leírja a jogainkat. Ez lényegében lehetővé teszi a lambda-szolgáltatások számára a szerepkör használatát lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonFájlunk tartalma a következő:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Most futtassuk a parancsot aws iam create-role szerep létrehozásához:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonJegyzet: ne feledje az ARN (Amazon Resource Name) szabályzatot – a következő lépésekben szükségünk lesz rá.
Szerep lambda-acme-dns-route53-executor létrehozva, most meg kell adnunk az engedélyeket. Ennek legegyszerűbb módja a parancs használata aws iam attach-role-policy, passing policy ARN AWSLambdaBasicExecutionRole az alábbiak szerint:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleJegyzet: a többi szabályzatot tartalmazó lista megtalálható .
Lefutó lambda függvény létrehozása acme-dns-route53
Hurrá! Most a paranccsal telepítheti funkciónkat az AWS-re aws lambda create-function. A lambdát a következő környezeti változókkal kell konfigurálni:
AWS_LAMBDA- egyértelművé teszi acme-dns-route53 hogy a végrehajtás az AWS Lambdán belül történik.DOMAINS— a tartományok listája vesszővel elválasztva.LETSENCRYPT_EMAIL- tartalmaz .NOTIFICATION_TOPIC— az SNS értesítési témakör neve (opcionális).STAGING- értéken1színpadi környezetet használnak.1024MB - memóriakorlát, módosítható.900másodperc (15 perc) – időtúllépés.acme-dns-route53— az archívumban lévő binárisunk neve.fileb://~/acme-dns-route53.zip— az általunk létrehozott archívum elérési útja.
Most telepítsük:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}CloudWatch időzítő létrehozása, amely naponta kétszer aktivál egy funkciót
Az utolsó lépés a cron beállítása, amely naponta kétszer hívja meg a függvényünket:
- hozzon létre egy CloudWatch-szabályt az értékkel
schedule_expression. - hozzon létre egy szabálycélt (mit kell végrehajtani) a lambda függvény ARN-jének megadásával.
- adjon engedélyt a szabálynak a lambda függvény meghívására.
Az alábbiakban csatoltam a Terraform konfigurációmat, de valójában ez nagyon egyszerűen megtehető az AWS konzol vagy az AWS CLI használatával.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Most beállította az SSL-tanúsítványok automatikus létrehozását és frissítését
Forrás: will.com