Príspevok popisuje kroky na automatizáciu správy certifikátov SSL z použitím и AWS.
je nástroj, ktorý nám umožní implementovať túto funkciu. Dokáže pracovať s certifikátmi SSL z Let's Encrypt, ukladať ich v Amazon Certificate Manager, používať Route53 API na implementáciu DNS-01 výzvy a nakoniec posielať notifikácie SNS. IN acme-dns-route53 K dispozícii je tiež vstavaná funkcia na použitie vo vnútri AWS Lambda, a to je to, čo potrebujeme.
Tento článok je rozdelený do 4 sekcií:
- vytvorenie súboru zip;
- vytvorenie role IAM;
- vytvorenie lambda funkcie, ktorá beží acme-dns-route53;
- vytvorenie časovača CloudWatch, ktorý spúšťa funkciu 2-krát denne;
Poznámka: Než začnete, musíte nainštalovať и
Vytvorenie súboru zip
acme-dns-route53 je napísaný v GoLang a podporuje verziu nie nižšiu ako 1.9.
Musíme vytvoriť súbor zip s binárnym súborom acme-dns-route53 vnútri. Ak to chcete urobiť, musíte nainštalovať acme-dns-route53 z úložiska GitHub pomocou príkazu go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binárna je nainštalovaná v $GOPATH/bin adresár. Upozorňujeme, že počas inštalácie sme špecifikovali dve zmenené prostredia: GOOS=linux и GOARCH=amd64. Kompilátoru Go jasne dávajú najavo, že potrebuje vytvoriť binárny súbor vhodný pre OS Linux a architektúru amd64 – to je to, čo beží na AWS.
AWS očakáva, že náš program bude nasadený v súbore zip, takže poďme tvoriť acme-dns-route53.zip archív, ktorý bude obsahovať novo nainštalovaný binárny súbor:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Poznámka: Binárny súbor by mal byť v koreňovom adresári zip archívu. Na to používame -j vlajka.
Teraz je naša zipová prezývka pripravená na nasadenie, zostáva už len vytvoriť rolu s potrebnými právami.
Vytvorenie role IAM
Musíme nastaviť rolu IAM s právami, ktoré vyžaduje naša lambda počas jej vykonávania.
Nazvime to politika lambda-acme-dns-route53-executor a hneď jej dať základnú úlohu AWSLambdaBasicExecutionRole. To umožní našej lambde bežať a zapisovať protokoly do služby AWS CloudWatch.
Najprv vytvoríme súbor JSON, ktorý popisuje naše práva. To v podstate umožní službám lambda používať túto rolu lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonObsah nášho súboru je nasledovný:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Teraz spustíme príkaz aws iam create-role vytvoriť rolu:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonPoznámka: zapamätajte si politiku ARN (Amazon Resource Name) – budeme ju potrebovať v ďalších krokoch.
Úloha lambda-acme-dns-route53-executor vytvorený, teraz preň musíme zadať povolenia. Najjednoduchší spôsob, ako to urobiť, je použiť príkaz aws iam attach-role-policy, absolvovanie politiky ARN AWSLambdaBasicExecutionRole takto:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRolePoznámka: nájdete zoznam s ďalšími politikami .
Vytvorenie funkcie lambda, ktorá beží acme-dns-route53
Hurá! Teraz môžete nasadiť našu funkciu do AWS pomocou príkazu aws lambda create-function. Lambda musí byť nakonfigurovaná pomocou nasledujúcich premenných prostredia:
AWS_LAMBDA- objasňuje acme-dns-route53 že spustenie prebieha vo vnútri AWS Lambda.DOMAINS— zoznam domén oddelených čiarkami.LETSENCRYPT_EMAIL- obsahuje .NOTIFICATION_TOPIC— názov oznamovacej témy SNS (nepovinné).STAGING- v hodnote1používa sa inscenačné prostredie.1024MB - limit pamäte, možno zmeniť.900sekúnd (15 min) – časový limit.acme-dns-route53— názov našej dvojhviezdy, ktorá je v archíve.fileb://~/acme-dns-route53.zip— cesta k archívu, ktorý sme vytvorili.
Teraz poďme nasadiť:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Vytvorenie časovača CloudWatch, ktorý spustí funkciu 2-krát denne
Posledným krokom je nastavenie cronu, ktorý volá našu funkciu dvakrát denne:
- vytvorte pravidlo CloudWatch s hodnotou
schedule_expression. - vytvorte cieľ pravidla (čo by sa malo vykonať) zadaním ARN funkcie lambda.
- povoliť pravidlu volať funkciu lambda.
Nižšie som pripojil svoju konfiguráciu Terraform, ale v skutočnosti sa to robí veľmi jednoducho pomocou konzoly AWS alebo AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Teraz ste nakonfigurovaní na automatické vytváranie a aktualizáciu certifikátov SSL
Zdroj: hab.com