Il-post tiddeskrivi passi biex tiġi awtomatizzata l-ġestjoni taċ-ċertifikati SSL minn bl-użu и AWS.
hija għodda li tippermettilna nimplimentaw din il-karatteristika. Jista 'jaħdem b'ċertifikati SSL minn Let's Encrypt, issalvahom f'Amazon Certificate Manager, uża l-API Route53 biex timplimenta l-isfida DNS-01, u, fl-aħħar, imbotta notifiki lill-SNS. IN acme-dns-route53 Hemm ukoll funzjonalità integrata għall-użu ġewwa AWS Lambda, u dan huwa dak li neħtieġu.
Dan l-artikolu huwa maqsum f'4 taqsimiet:
- ħolqien ta' fajl zip;
- il-ħolqien ta' rwol IAM;
- toħloq funzjoni lambda li taħdem acme-dns-route53;
- ħolqien ta' tajmer CloudWatch li jqajjem funzjoni 2 darbiet kuljum;
Nota: Qabel ma tibda għandek bżonn tinstalla и
Ħolqien ta 'fajl zip
acme-dns-route53 huwa miktub f'GoLang u jappoġġja verżjoni mhux inqas minn 1.9.
Għandna bżonn noħolqu fajl zip b'binarju acme-dns-route53 ġewwa. Biex tagħmel dan għandek bżonn tinstalla acme-dns-route53 mir-repożitorju ta' GitHub billi tuża l-kmand go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Il-binarju huwa installat fi $GOPATH/bin direttorju. Jekk jogħġbok innota li waqt l-installazzjoni speċifikajna żewġ ambjenti mibdula: GOOS=linux и GOARCH=amd64. Huma jagħmluha ċara lill-kompilatur Go li jeħtieġ li joħloq binarju adattat għal Linux OS u arkitettura amd64 - dan huwa dak li jimxi fuq AWS.
AWS jistenna li l-programm tagħna jiġi skjerat f'fajl zip, allura ejja noħolqu acme-dns-route53.zip arkivju li se jkun fih il-binarju li għadu kif ġie installat:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Nota: Il-binarju għandu jkun fl-għerq tal-arkivju zip. Għal dan nużaw -j bandiera.
Issa l-laqam zip tagħna huwa lest għall-iskjerament, dak kollu li jibqa 'huwa li jinħoloq rwol bid-drittijiet meħtieġa.
Il-ħolqien ta' rwol IAM
Irridu nwaqqfu rwol IAM bid-drittijiet meħtieġa mil-lambda tagħna waqt l-eżekuzzjoni tiegħu.
Ejja nsejħu din il-politika lambda-acme-dns-route53-executor u immedjatament tagħtiha rwol bażiku AWSLambdaBasicExecutionRole. Dan se jippermetti lill-lambda tagħna taħdem u tikteb zkuk fis-servizz AWS CloudWatch.
L-ewwel, noħolqu fajl JSON li jiddeskrivi d-drittijiet tagħna. Dan essenzjalment jippermetti lis-servizzi lambda jużaw ir-rwol lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonIl-kontenut tal-fajl tagħna huwa kif ġej:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Issa ejja nmexxu l-kmand aws iam create-role biex toħloq rwol:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNota: ftakar il-politika ARN (Isem tar-Riżorsi Amazon) - ikollna bżonnha fil-passi li jmiss.
Rwol lambda-acme-dns-route53-executor maħluqa, issa rridu nispeċifikaw permessi għaliha. L-eħfef mod biex tagħmel dan huwa li tuża l-kmand aws iam attach-role-policy, li tgħaddi l-politika ARN AWSLambdaBasicExecutionRole kif ġej:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNota: tista' tinstab lista b'politiki oħra .
Ħolqien ta 'funzjoni lambda li taħdem acme-dns-route53
Ħura! Issa tista' tuża l-funzjoni tagħna lill-AWS billi tuża l-kmand aws lambda create-function. Il-lambda trid tiġi kkonfigurata bl-użu tal-varjabbli ambjentali li ġejjin:
AWS_LAMBDA- jagħmilha ċara acme-dns-route53 dik l-eżekuzzjoni sseħħ ġewwa AWS Lambda.DOMAINS— lista ta' oqsma separati b'virgoli.LETSENCRYPT_EMAIL- fih .NOTIFICATION_TOPIC— isem tas-Suġġett ta' Notifika SNS (mhux obbligatorju).STAGING- fil-valur1jintuża l-ambjent tal-waqfien.1024MB - limitu tal-memorja, jista 'jinbidel.900seks (15 min) - timeout.acme-dns-route53— l-isem tal-binarju tagħna, li jinsab fl-arkivju.fileb://~/acme-dns-route53.zip— it-triq lejn l-arkivju li ħloqna.
Issa ejja niskjeraw:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Ħolqien ta 'timer CloudWatch li jqajjem funzjoni darbtejn kuljum
L-aħħar pass huwa li twaqqaf cron, li jsejjaħ il-funzjoni tagħna darbtejn kuljum:
- toħloq regola CloudWatch bil-valur
schedule_expression. - toħloq mira tar-regola (dak li għandu jiġi esegwit) billi tispeċifika l-ARN tal-funzjoni lambda.
- tagħti permess lir-regola biex issejjaħ il-funzjoni lambda.
Hawn taħt waħħalt il-konfigurazzjoni Terraform tiegħi, iżda fil-fatt dan isir b'mod sempliċi ħafna billi tuża l-AWS console jew l-AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Issa inti kkonfigurat biex toħloq u taġġorna awtomatikament iċ-ċertifikati SSL
Sors: www.habr.com