この投稿では、SSL 証明書の管理を自動化する手順について説明します。
この記事は 4 つのセクションに分かれています。
- zip ファイルを作成します。
- IAM ロールを作成する。
- 実行するラムダ関数を作成する acme-dns-route53;
- 2 日 XNUMX 回関数をトリガーする CloudWatch タイマーを作成します。
注: 始める前にインストールする必要があります
zipファイルの作成
acme-dns-route53 は GoLang で書かれており、1.9 以上のバージョンをサポートします。
バイナリを含む zip ファイルを作成する必要があります acme-dns-route53
内部。 これを行うには、インストールする必要があります acme-dns-route53
コマンドを使用して GitHub リポジトリから go install
:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
バイナリは次の場所にインストールされます $GOPATH/bin
ディレクトリ。 インストール中に、次の XNUMX つの変更された環境を指定したことに注意してください。 GOOS=linux
и GOARCH=amd64
。 これらは、Go コンパイラーに対して、Linux OS と amd64 アーキテクチャに適したバイナリを作成する必要があることを明確にします。これが AWS で実行されるものです。
AWS はプログラムが zip ファイルでデプロイされることを期待しているので、次のファイルを作成しましょう acme-dns-route53.zip
新しくインストールされたバイナリが含まれるアーカイブ:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
注: バイナリは zip アーカイブのルートにある必要があります。 このために私たちは使用します -j
フラグ。
これで、zip ニックネームをデプロイする準備が整いました。残っているのは、必要な権限を持つロールを作成することだけです。
IAM ロールの作成
ラムダの実行中に必要な権限を持つ IAM ロールを設定する必要があります。
このポリシーをポリシーと呼びましょう lambda-acme-dns-route53-executor
そしてすぐに彼女に基本的な役割を与えます AWSLambdaBasicExecutionRole
。 これにより、ラムダが実行され、AWS CloudWatch サービスにログが書き込まれるようになります。
まず、権利を説明する JSON ファイルを作成します。 これにより、基本的にラムダサービスがロールを使用できるようになります。 lambda-acme-dns-route53-executor
:
$ touch ~/lambda-acme-dns-route53-executor-policy.json
ファイルの内容は次のとおりです。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}
それではコマンドを実行してみましょう aws iam create-role
ロールを作成するには:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
注: ポリシー ARN (Amazon リソース ネーム) を覚えておいてください。次のステップで必要になります。
役割 lambda-acme-dns-route53-executor
作成されたので、次にそれに対する権限を指定する必要があります。 これを行う最も簡単な方法は、次のコマンドを使用することです aws iam attach-role-policy
、ポリシー ARN を渡す AWSLambdaBasicExecutionRole
次のようにします。
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
注: 他のポリシーのリストを見つけることができます
実行するラムダ関数の作成 acme-dns-route53
万歳! これで、次のコマンドを使用して関数を AWS にデプロイできるようになりました。 aws lambda create-function
。 ラムダは、次の環境変数を使用して構成する必要があります。
AWS_LAMBDA
- 明確にする acme-dns-route53 その実行は AWS Lambda 内で行われます。DOMAINS
— カンマで区切られたドメインのリスト。LETSENCRYPT_EMAIL
- を含むメールを暗号化してみましょう .NOTIFICATION_TOPIC
— SNS 通知トピックの名前 (オプション)。STAGING
- 値で1
ステージング環境が使用されます。1024
MB - メモリ制限。変更可能。900
秒 (15 分) — タイムアウト。acme-dns-route53
— アーカイブ内にあるバイナリの名前。fileb://~/acme-dns-route53.zip
— 作成したアーカイブへのパス。
それでは、デプロイしましょう:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}
2 日 XNUMX 回関数をトリガーする CloudWatch タイマーの作成
最後のステップは、XNUMX 日に XNUMX 回関数を呼び出す cron を設定することです。
- 値を使用して CloudWatch ルールを作成します
schedule_expression
. - lambda 関数の ARN を指定して、ルールのターゲット (何を実行するか) を作成します。
- ルールにラムダ関数を呼び出す許可を与えます。
以下に Terraform 構成を添付しますが、実際には、これは AWS コンソールまたは AWS CLI を使用して非常に簡単に実行できます。
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}
これで、SSL 証明書を自動的に作成および更新するように構成されました。
出所: habr.com