W poście opisano kroki umożliwiające automatyzację zarządzania certyfikatami SSL z za pomocą и AWS.
to narzędzie, które pozwoli nam wdrożyć tę funkcję. Może współpracować z certyfikatami SSL z Let's Encrypt, zapisywać je w Menedżerze certyfikatów Amazon, wykorzystywać API Route53 do realizacji wyzwania DNS-01 i wreszcie wysyłać powiadomienia push do SNS. W acme-dns-route53 Istnieje również wbudowana funkcjonalność do wykorzystania wewnątrz AWS Lambda i właśnie tego potrzebujemy.
Artykuł jest podzielony na 4 sekcje:
- tworzenie pliku ZIP;
- utworzenie roli IAM;
- utworzenie działającej funkcji lambda acme-dns-route53;
- utworzenie timera CloudWatch, który uruchamia funkcję 2 razy dziennie;
Uwaga: Zanim zaczniesz, musisz zainstalować и
Tworzenie pliku zip
acme-dns-route53 jest napisany w GoLang i obsługuje wersję nie niższą niż 1.9.
Musimy utworzyć plik zip z plikiem binarnym acme-dns-route53 wewnątrz. Aby to zrobić, musisz zainstalować acme-dns-route53 z repozytorium GitHub za pomocą polecenia go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Plik binarny jest zainstalowany w $GOPATH/bin informator. Należy pamiętać, że podczas instalacji określiliśmy dwa zmienione środowiska: GOOS=linux и GOARCH=amd64. Wyjaśniają kompilatorowi Go, że musi utworzyć plik binarny odpowiedni dla systemu operacyjnego Linux i architektury amd64 - to właśnie działa na AWS.
AWS oczekuje, że nasz program zostanie wdrożony w pliku zip, więc utwórzmy acme-dns-route53.zip archiwum, które będzie zawierać nowo zainstalowany plik binarny:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Uwaga: Plik binarny powinien znajdować się w katalogu głównym archiwum zip. Do tego używamy -j flaga.
Teraz nasz pseudonim zip jest gotowy do wdrożenia, pozostaje tylko utworzyć rolę z niezbędnymi uprawnieniami.
Tworzenie roli IAM
Musimy ustawić rolę IAM z uprawnieniami wymaganymi przez naszą lambdę podczas jej wykonywania.
Nazwijmy tę politykę lambda-acme-dns-route53-executor i od razu daj jej podstawową rolę AWSLambdaBasicExecutionRole. Umożliwi to naszej lambdzie uruchamianie i zapisywanie logów do usługi AWS CloudWatch.
Najpierw tworzymy plik JSON opisujący nasze prawa. Zasadniczo umożliwi to usługom lambda korzystanie z tej roli lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonZawartość naszego pliku jest następująca:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Teraz uruchommy polecenie aws iam create-role aby utworzyć rolę:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonUwaga: pamiętaj o polityce ARN (Amazon Resource Name) - będzie nam potrzebna w kolejnych krokach.
Rola lambda-acme-dns-route53-executor utworzony, teraz musimy określić dla niego uprawnienia. Najłatwiej to zrobić za pomocą polecenia aws iam attach-role-policy, uchwalenie polityki ARN AWSLambdaBasicExecutionRole w następujący sposób:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleUwaga: można znaleźć listę innych polityk .
Tworzenie działającej funkcji lambda acme-dns-route53
Brawo! Teraz możesz wdrożyć naszą funkcję w AWS za pomocą polecenia aws lambda create-function. Lambdę należy skonfigurować przy użyciu następujących zmiennych środowiskowych:
AWS_LAMBDA– wyjaśnia acme-dns-route53 wykonanie to odbywa się wewnątrz AWS Lambda.DOMAINS— lista domen oddzielonych przecinkami.LETSENCRYPT_EMAIL- zawiera .NOTIFICATION_TOPIC— nazwa tematu powiadomienia SNS (opcjonalnie).STAGING- na wartość1używane jest środowisko testowe.1024MB - limit pamięci, można zmienić.900sek. (15 min) — przekroczenie limitu czasu.acme-dns-route53— nazwa naszego pliku binarnego, który znajduje się w archiwum.fileb://~/acme-dns-route53.zip— ścieżka do utworzonego przez nas archiwum.
Teraz wdróżmy:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Tworzenie timera CloudWatch, który uruchamia funkcję 2 razy dziennie
Ostatnim krokiem jest ustawienie crona, który wywołuje naszą funkcję dwa razy dziennie:
- utwórz regułę CloudWatch z wartością
schedule_expression. - utwórz cel reguły (co powinno zostać wykonane), podając ARN funkcji lambda.
- zezwól regule na wywołanie funkcji lambda.
Poniżej załączam moją konfigurację Terraform, ale w rzeczywistości odbywa się to w bardzo prosty sposób za pomocą konsoli AWS lub interfejsu CLI AWS.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Teraz jesteś skonfigurowany do automatycznego tworzenia i aktualizowania certyfikatów SSL
Źródło: www.habr.com