Գրառումը նկարագրում է SSL վկայագրերի կառավարումն ավտոմատացնելու քայլերը օգտագործելով и AWS.
գործիք է, որը մեզ թույլ կտա իրականացնել այս հնարավորությունը: Այն կարող է աշխատել Let's Encrypt-ի SSL վկայագրերի հետ, պահպանել դրանք Amazon Certificate Manager-ում, օգտագործել Route53 API՝ DNS-01 մարտահրավերն իրականացնելու համար և, վերջապես, ուղարկել ծանուցումներ SNS-ին: IN acme-dns-route53 Կա նաև ներկառուցված գործառույթ՝ AWS Lambda-ի ներսում օգտագործելու համար, և սա այն է, ինչ մեզ անհրաժեշտ է:
Այս հոդվածը բաժանված է 4 բաժինների.
- zip ֆայլի ստեղծում;
- IAM դերի ստեղծում;
- ստեղծելով լամբդա ֆունկցիա, որն աշխատում է acme-dns-route53;
- CloudWatch ժմչփի ստեղծում, որը գործարկում է օրական 2 անգամ;
Նշում: Նախքան սկսելը, դուք պետք է տեղադրեք и
Zip ֆայլի ստեղծում
acme-dns-route53-ը գրված է GoLang-ով և աջակցում է 1.9-ից ոչ ցածր տարբերակը:
Մենք պետք է ստեղծենք zip ֆայլ երկուականով acme-dns-route53 ներսում։ Դա անելու համար անհրաժեշտ է տեղադրել acme-dns-route53 GitHub պահոցից՝ օգտագործելով հրամանը go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Երկուականը տեղադրված է $GOPATH/bin գրացուցակ. Խնդրում ենք նկատի ունենալ, որ տեղադրման ժամանակ մենք նշել ենք երկու փոփոխված միջավայր. GOOS=linux и GOARCH=amd64. Նրանք Go compiler-ին հասկացնում են, որ այն պետք է ստեղծի երկուական, որը հարմար է Linux OS-ի և amd64 ճարտարապետության համար. սա այն է, ինչ աշխատում է AWS-ով:
AWS-ն ակնկալում է, որ մեր ծրագիրը կտեղակայվի zip ֆայլում, ուստի եկեք ստեղծենք acme-dns-route53.zip արխիվ, որը կպարունակի նոր տեղադրված երկուականը՝
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Նշում: Երկուականը պետք է լինի zip արխիվի արմատում: Դրա համար մենք օգտագործում ենք -j դրոշ.
Այժմ մեր zip մականունը պատրաստ է տեղակայման, մնում է միայն անհրաժեշտ իրավունքներով դեր ստեղծել:
IAM դերի ստեղծում
Մենք պետք է ստեղծենք IAM-ի դերը այն իրավունքներով, որոնք պահանջում են մեր lambda-ն դրա իրականացման ընթացքում:
Սա կոչենք քաղաքականություն lambda-acme-dns-route53-executor և անմիջապես տալ նրան հիմնական դերը AWSLambdaBasicExecutionRole. Սա թույլ կտա մեր lambda-ին գործարկել և գրել տեղեկամատյաններ AWS CloudWatch ծառայության մեջ:
Նախ, մենք ստեղծում ենք JSON ֆայլ, որը նկարագրում է մեր իրավունքները: Սա, ըստ էության, թույլ կտա lambda ծառայություններին օգտագործել դերը lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonՄեր ֆայլի բովանդակությունը հետևյալն է.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Այժմ եկեք գործարկենք հրամանը aws iam create-role դեր ստեղծելու համար.
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonՆշում: հիշեք ARN (Amazon Resource Name) քաղաքականությունը. այն մեզ անհրաժեշտ կլինի հաջորդ քայլերում:
Դեր lambda-acme-dns-route53-executor ստեղծված, այժմ մենք պետք է դրա համար թույլտվություններ նշենք: Դա անելու ամենահեշտ ձևը հրամանն օգտագործելն է aws iam attach-role-policy, անցնելով քաղաքականությունը ARN AWSLambdaBasicExecutionRole հետեւյալ կերպ.
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleՆշում: կարելի է գտնել այլ քաղաքականությունների ցանկ .
Լամբդա ֆունկցիայի ստեղծում, որն աշխատում է acme-dns-route53
Ուռա՜ Այժմ դուք կարող եք տեղակայել մեր գործառույթը AWS-ում՝ օգտագործելով հրամանը aws lambda create-function. Լամբդան պետք է կազմաձևվի՝ օգտագործելով հետևյալ միջավայրի փոփոխականները.
AWS_LAMBDA- պարզ է դարձնում acme-dns-route53 այդ կատարումը տեղի է ունենում AWS Lambda-ի ներսում:DOMAINS— տիրույթների ցուցակ, որոնք բաժանված են ստորակետերով:LETSENCRYPT_EMAIL- պարունակում է .NOTIFICATION_TOPIC— SNS ծանուցման թեմայի անվանումը (ըստ ցանկության):STAGING- արժեքով1օգտագործվում է բեմադրության միջավայր.1024ՄԲ - հիշողության սահմանաչափ, կարող է փոխվել:900վրկ (15 րոպե) — ժամանակի ընդմիջում:acme-dns-route53— մեր երկուականի անունը, որը գտնվում է արխիվում:fileb://~/acme-dns-route53.zip— մեր ստեղծած արխիվի ուղին:
Հիմա եկեք տեղակայենք.
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}CloudWatch ժմչփի ստեղծում, որը գործարկում է օրական 2 անգամ
Վերջին քայլը cron-ի կարգավորումն է, որն օրական երկու անգամ կանչում է մեր գործառույթը.
- ստեղծեք CloudWatch կանոն արժեքով
schedule_expression. - ստեղծել կանոնների թիրախ (ինչ պետք է կատարվի)՝ նշելով լամբդա ֆունկցիայի ARN-ը:
- թույլտվություն տալ կանոնին՝ կանչելու լամբդա ֆունկցիան։
Ստորև ես կցել եմ իմ Terraform կազմաձևը, բայց իրականում դա արվում է շատ պարզ՝ օգտագործելով AWS կոնսոլը կամ AWS CLI:
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Այժմ դուք կազմաձևված եք SSL վկայագրերի ավտոմատ ստեղծման և թարմացման համար
Source: www.habr.com