Het bericht beschrijft stappen om het beheer van SSL-certificaten te automatiseren gebruik makend van и AWS.
is een tool waarmee we deze functie kunnen implementeren. Het kan werken met SSL-certificaten van Let's Encrypt, deze opslaan in Amazon Certificate Manager, de Route53 API gebruiken om de DNS-01-uitdaging te implementeren en, ten slotte, pushmeldingen naar SNS sturen. IN acme-dns-route53 Er is ook ingebouwde functionaliteit voor gebruik binnen AWS Lambda, en dit is wat we nodig hebben.
Dit artikel is verdeeld in 4 secties:
- een zipbestand maken;
- het creëren van een IAM-rol;
- het creëren van een lambda-functie die wordt uitgevoerd acme-dns-route53;
- een CloudWatch-timer maken die 2 keer per dag een functie activeert;
Opmerking: Voordat u begint, moet u installeren и
Een zipbestand maken
acme-dns-route53 is geschreven in GoLang en ondersteunt versie niet lager dan 1.9.
We moeten een zipbestand maken met een binair bestand acme-dns-route53 binnen. Om dit te doen, moet u installeren acme-dns-route53 vanuit de GitHub-repository met behulp van de opdracht go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Het binaire bestand is geïnstalleerd in $GOPATH/bin map. Houd er rekening mee dat we tijdens de installatie twee gewijzigde omgevingen hebben gespecificeerd: GOOS=linux и GOARCH=amd64. Ze maken de Go-compiler duidelijk dat deze een binair bestand moet maken dat geschikt is voor Linux OS en amd64-architectuur - dit is wat op AWS draait.
AWS verwacht dat ons programma in een zip-bestand wordt geïmplementeerd, dus laten we het maken acme-dns-route53.zip archief dat het nieuw geïnstalleerde binaire bestand zal bevatten:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Opmerking: Het binaire bestand moet in de root van het zip-archief staan. Hiervoor gebruiken wij -j vlag.
Nu onze zip-bijnaam klaar is voor implementatie, hoeft u alleen nog maar een rol met de benodigde rechten aan te maken.
Een IAM-rol creëren
We moeten een IAM-rol opzetten met de rechten die onze lambda nodig heeft tijdens de uitvoering ervan.
Laten we dit beleid noemen lambda-acme-dns-route53-executor en geef haar meteen een basisrol AWSLambdaBasicExecutionRole. Hierdoor kan onze lambda logs uitvoeren en schrijven naar de AWS CloudWatch-service.
Eerst maken we een JSON-bestand aan waarin onze rechten worden beschreven. Hierdoor kunnen lambda-services in wezen de rol gebruiken lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonDe inhoud van ons bestand is als volgt:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Laten we nu de opdracht uitvoeren aws iam create-role een rol creëren:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonOpmerking: onthoud het beleid ARN (Amazon Resource Name) - we hebben het nodig bij de volgende stappen.
Роль lambda-acme-dns-route53-executor gemaakt, nu moeten we er machtigingen voor opgeven. De eenvoudigste manier om dit te doen is door het commando te gebruiken aws iam attach-role-policy, het passeren van beleid ARN AWSLambdaBasicExecutionRole следующим обрахом:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleOpmerking: een lijst met ander beleid is te vinden .
Een lambda-functie maken die wordt uitgevoerd acme-dns-route53
Hoera! Nu kunt u onze functie implementeren in AWS met behulp van de opdracht aws lambda create-function. De lambda moet worden geconfigureerd met behulp van de volgende omgevingsvariabelen:
AWS_LAMBDA- maakt het duidelijk acme-dns-route53 die uitvoering vindt plaats binnen AWS Lambda.DOMAINS— een lijst met domeinen gescheiden door komma's.LETSENCRYPT_EMAIL- bevat .NOTIFICATION_TOPIC— naam van het SNS-meldingsonderwerp (optioneel).STAGING- tegen de waarde1Er wordt gebruik gemaakt van een staging-omgeving.1024MB - geheugenlimiet, kan worden gewijzigd.900sec (15 min) — time-out.acme-dns-route53— de naam van ons binaire bestand, dat zich in het archief bevindt.fileb://~/acme-dns-route53.zip— het pad naar het archief dat we hebben gemaakt.
Laten we nu inzetten:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Een CloudWatch-timer maken die 2 keer per dag een functie activeert
De laatste stap is het instellen van cron, die onze functie twee keer per dag aanroept:
- maak een CloudWatch-regel met de waarde
schedule_expression. - maak een regeldoel (wat moet worden uitgevoerd) door de ARN van de lambda-functie op te geven.
- geef toestemming aan de regel om de lambda-functie aan te roepen.
Hieronder heb ik mijn Terraform-configuratie bijgevoegd, maar in feite gebeurt dit heel eenvoudig met behulp van de AWS-console of AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Nu bent u geconfigureerd om automatisch SSL-certificaten aan te maken en bij te werken
Bron: www.habr.com