ស្វ័យប្រវត្តិកម្មនៃការគ្រប់គ្រងវិញ្ញាបនបត្រ SSL Let's Encrypt ដោយប្រើ DNS-01 challenge និង AWS

ប្រកាសពិពណ៌នាអំពីជំហានដើម្បីធ្វើឱ្យការគ្រប់គ្រងវិញ្ញាបនបត្រ SSL ដោយស្វ័យប្រវត្តិ តោះ អ៊ិនគ្រីប CA ដោយប្រើ បញ្ហាប្រឈម DNS-01 и AWS.

acme-dns-route53 គឺជាឧបករណ៍ដែលនឹងអនុញ្ញាតឱ្យយើងអនុវត្តមុខងារនេះ។ វាអាចធ្វើការជាមួយវិញ្ញាបនបត្រ SSL ពី Let's Encrypt រក្សាទុកពួកវានៅក្នុងកម្មវិធីគ្រប់គ្រងវិញ្ញាបនបត្រ Amazon ប្រើ Route53 API ដើម្បីអនុវត្តបញ្ហាប្រឈម DNS-01 ហើយចុងក្រោយជំរុញការជូនដំណឹងទៅ SNS ។ IN acme-dns-route53 វាក៏មានមុខងារភ្ជាប់មកជាមួយសម្រាប់ប្រើប្រាស់នៅក្នុង AWS Lambda ហើយនេះគឺជាអ្វីដែលយើងត្រូវការ។

អត្ថបទនេះចែកចេញជា ៤ ផ្នែក៖

• បង្កើតឯកសារ zip;
• បង្កើតតួនាទី IAM;
• បង្កើតមុខងារ lambda ដែលដំណើរការ acme-dns-route53;
• បង្កើតកម្មវិធីកំណត់ម៉ោង CloudWatch ដែលបង្កឱ្យមានមុខងារ 2 ដងក្នុងមួយថ្ងៃ។

ចំណាំ: មុនពេលអ្នកចាប់ផ្តើមអ្នកត្រូវដំឡើង GoLang 1.9+ и អេសអេសស៊ីអាយ

ការបង្កើតឯកសារ zip

acme-dns-route53 ត្រូវបានសរសេរជា GoLang និងគាំទ្រកំណែមិនទាបជាង 1.9 ទេ។

យើងត្រូវបង្កើតឯកសារ zip ជាមួយប្រព័ន្ធគោលពីរ acme-dns-route53 ខាងក្នុង។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវដំឡើង acme-dns-route53 ពីឃ្លាំង GitHub ដោយប្រើពាក្យបញ្ជា go install:

$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

ប្រព័ន្ធគោលពីរត្រូវបានដំឡើងនៅក្នុង $GOPATH/bin ថត។ សូមចំណាំថាកំឡុងពេលដំឡើង យើងបានបញ្ជាក់បរិយាកាសដែលបានផ្លាស់ប្តូរពីរ៖ GOOS=linux и GOARCH=amd64. ពួកគេធ្វើឱ្យវាច្បាស់ចំពោះអ្នកចងក្រង Go ថាវាត្រូវការបង្កើតប្រព័ន្ធគោលពីរដែលសមរម្យសម្រាប់ Linux OS និងស្ថាបត្យកម្ម amd64 - នេះគឺជាអ្វីដែលដំណើរការលើ AWS ។
AWS រំពឹងថាកម្មវិធីរបស់យើងនឹងត្រូវបានដាក់ពង្រាយក្នុងឯកសារ zip ដូច្នេះសូមបង្កើត acme-dns-route53.zip បណ្ណសារដែលនឹងមានប្រព័ន្ធគោលពីរដែលបានដំឡើងថ្មី៖

$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

ចំណាំ: ប្រព័ន្ធគោលពីរគួរតែស្ថិតនៅក្នុងឫសនៃប័ណ្ណសារហ្ស៊ីប។ សម្រាប់រឿងនេះយើងប្រើ -j ទង់ជាតិ។

ឥឡូវនេះឈ្មោះហៅក្រៅ zip របស់យើងគឺរួចរាល់សម្រាប់ការដាក់ពង្រាយ ហើយអ្វីដែលនៅសេសសល់គឺដើម្បីបង្កើតតួនាទីជាមួយនឹងសិទ្ធិចាំបាច់។

ការបង្កើតតួនាទី IAM

យើងត្រូវរៀបចំតួនាទី IAM ជាមួយនឹងសិទ្ធិដែលទាមទារដោយ lambda របស់យើងកំឡុងពេលប្រតិបត្តិរបស់វា។
តោះហៅគោលការណ៍នេះ។ lambda-acme-dns-route53-executor ហើយផ្តល់ឱ្យនាងនូវតួនាទីជាមូលដ្ឋានភ្លាមៗ AWSLambdaBasicExecutionRole. វានឹងអនុញ្ញាតឱ្យ lambda របស់យើងដំណើរការ និងសរសេរកំណត់ហេតុទៅកាន់សេវាកម្ម AWS CloudWatch ។
ដំបូង យើងបង្កើតឯកសារ JSON ដែលពិពណ៌នាអំពីសិទ្ធិរបស់យើង។ នេះនឹងអនុញ្ញាតឱ្យសេវាកម្ម lambda ប្រើប្រាស់តួនាទីយ៉ាងសំខាន់ lambda-acme-dns-route53-executor:

$ touch ~/lambda-acme-dns-route53-executor-policy.json

ខ្លឹមសារនៃឯកសាររបស់យើងមានដូចខាងក្រោម៖

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "cloudwatch:PutMetricData",
                "acm:ImportCertificate",
                "acm:ListCertificates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "sns:Publish",
                "route53:GetChange",
                "route53:ChangeResourceRecordSets",
                "acm:ImportCertificate",
                "acm:DescribeCertificate"
            ],
            "Resource": [
                "arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
                "arn:aws:route53:::hostedzone/*",
                "arn:aws:route53:::change/*",
                "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
            ]
        }
    ]
}

ឥឡូវនេះសូមដំណើរការពាក្យបញ្ជា aws iam create-role ដើម្បីបង្កើតតួនាទី៖

$ aws iam create-role --role-name lambda-acme-dns-route53-executor 
 --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

ចំណាំ: ចងចាំគោលការណ៍ ARN (ឈ្មោះធនធាន Amazon) - យើងនឹងត្រូវការវានៅជំហានបន្ទាប់។

តួនាទីរបស់ lambda-acme-dns-route53-executor បានបង្កើតឥឡូវនេះ យើងត្រូវបញ្ជាក់ការអនុញ្ញាតសម្រាប់វា។ មធ្យោបាយងាយស្រួលបំផុតដើម្បីធ្វើវាគឺប្រើពាក្យបញ្ជា aws iam attach-role-policyគោលនយោបាយអនុម័ត ARN AWSLambdaBasicExecutionRole ដូចខងេ្រកម:

$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor 
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

ចំណាំ: បញ្ជីដែលមានគោលការណ៍ផ្សេងទៀតអាចរកបាន នៅទីនេះ.

ការបង្កើតមុខងារ lambda ដែលដំណើរការ acme-dns-route53

ហ៊ឺយ! ឥឡូវនេះអ្នកអាចដាក់មុខងាររបស់យើងទៅ AWS ដោយប្រើពាក្យបញ្ជា aws lambda create-function. lambda ត្រូវតែកំណត់រចនាសម្ព័ន្ធដោយប្រើអថេរបរិស្ថានខាងក្រោម៖

• AWS_LAMBDA - ធ្វើឱ្យវាច្បាស់ acme-dns-route53 ការប្រតិបត្តិនោះកើតឡើងនៅក្នុង AWS Lambda ។
• DOMAINS - បញ្ជីនៃដែនដែលបំបែកដោយសញ្ញាក្បៀស។
• LETSENCRYPT_EMAIL - មាន តោះ អ៊ិនគ្រីប អ៊ីមែល.
• NOTIFICATION_TOPIC - ឈ្មោះប្រធានបទការជូនដំណឹង SNS (ជាជម្រើស)។
• STAGING - នៅតម្លៃ 1 បរិយាកាសដំណាក់កាលត្រូវបានប្រើ។
• 1024 MB - ដែនកំណត់អង្គចងចាំ, អាចផ្លាស់ប្តូរបាន។
• 900 វិនាទី (15 នាទី) - អស់ពេល។
• acme-dns-route53 - ឈ្មោះរបស់ប្រព័ន្ធគោលពីររបស់យើង ដែលមាននៅក្នុងប័ណ្ណសារ។
• fileb://~/acme-dns-route53.zip - ផ្លូវទៅកាន់បណ្ណសារដែលយើងបានបង្កើត។

ឥឡូវតោះដាក់ពង្រាយ៖

$ aws lambda create-function 
 --function-name acme-dns-route53 
 --runtime go1.x 
 --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor 
 --environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}" 
 --memory-size 1024 
 --timeout 900 
 --handler acme-dns-route53 
 --zip-file fileb://~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53", 
     "LastModified": "2019-05-03T19:07:09.325+0000", 
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", 
     "MemorySize": 1024, 
     "Environment": {
         "Variables": {
            "DOMAINS": "example1.com,example2.com", 
            "STAGING": "1", 
            "LETSENCRYPT_EMAIL": "[email protected]", 
            "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", 
            "AWS_LAMBDA": "1"
         }
     }, 
     "Version": "$LATEST", 
     "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", 
     "Timeout": 900, 
     "Runtime": "go1.x", 
     "TracingConfig": {
         "Mode": "PassThrough"
     }, 
     "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", 
     "Description": "", 
     "CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", 
     "Handler": "acme-dns-route53"
 }

បង្កើតកម្មវិធីកំណត់ម៉ោង CloudWatch ដែលចាប់ផ្តើមមុខងារ 2 ដងក្នុងមួយថ្ងៃ

ជំហានចុងក្រោយគឺត្រូវដំឡើង cron ដែលហៅមុខងាររបស់យើងពីរដងក្នុងមួយថ្ងៃ៖

• បង្កើតច្បាប់ CloudWatch ជាមួយនឹងតម្លៃ schedule_expression.
• បង្កើត​គោល​ដៅ​ច្បាប់ (អ្វី​ដែល​គួរ​ត្រូវ​បាន​ប្រតិបត្តិ) ដោយ​បញ្ជាក់ ARN នៃ​មុខងារ lambda ។
• ផ្តល់ការអនុញ្ញាតឱ្យច្បាប់ដើម្បីហៅមុខងារ lambda ។

ខាងក្រោមនេះខ្ញុំបានភ្ជាប់ Terraform config របស់ខ្ញុំ ប៉ុន្តែតាមពិតវាត្រូវបានធ្វើយ៉ាងសាមញ្ញដោយប្រើកុងសូល AWS ឬ AWS CLI។

# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name                = "acme-dns-route53-issuer-scheduler"
  schedule_expression = "cron(0 */12 * * ? *)"
}

# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
  arn  = "${aws_lambda_function.acme_dns_route53.arn}"
}

# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
  action        = "lambda:InvokeFunction"
  function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
  principal     = "events.amazonaws.com"
  source_arn    = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}

ឥឡូវនេះអ្នកត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបង្កើត និងធ្វើបច្ចុប្បន្នភាពវិញ្ញាបនបត្រ SSL ដោយស្វ័យប្រវត្តិ

ប្រភព: www.habr.com