V objavi so opisani koraki za avtomatizacijo upravljanja potrdil SSL iz uporabo и AWS.
je orodje, ki nam bo omogočilo implementacijo te funkcije. Lahko deluje s potrdili SSL podjetja Let's Encrypt, jih shrani v Amazon Certificate Manager, uporabi API Route53 za implementacijo izziva DNS-01 in končno pošlje obvestila v SNS. IN acme-dns-route53 Obstaja tudi vgrajena funkcionalnost za uporabo znotraj AWS Lambda in to je tisto, kar potrebujemo.
Ta članek je razdeljen na 4 dele:
- ustvarjanje zip datoteke;
- ustvarjanje vloge IAM;
- ustvarjanje funkcije lambda, ki teče acme-dns-route53;
- ustvarjanje časovnika CloudWatch, ki sproži funkcijo 2-krat na dan;
Opomba: Preden začnete, morate namestiti и
Ustvarjanje datoteke zip
acme-dns-route53 je napisan v GoLang in podpira različico, ki ni nižja od 1.9.
Ustvariti moramo datoteko zip z dvojiško datoteko acme-dns-route53 znotraj. Če želite to narediti, morate namestiti acme-dns-route53 iz repozitorija GitHub z ukazom go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binarna datoteka je nameščena v $GOPATH/bin imenik. Upoštevajte, da smo med namestitvijo določili dve spremenjeni okolji: GOOS=linux и GOARCH=amd64. Prevajalniku Go pojasnijo, da mora ustvariti binarno datoteko, primerno za OS Linux in arhitekturo amd64 - to je tisto, kar deluje na AWS.
AWS pričakuje, da bo naš program nameščen v datoteki zip, zato ustvarjajmo acme-dns-route53.zip arhiv, ki bo vseboval novo nameščeno dvojiško datoteko:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Opomba: Binarna datoteka mora biti v korenu arhiva zip. Za to uporabljamo -j zastava.
Zdaj je naš vzdevek zip pripravljen za uvedbo, vse kar ostane je ustvariti vlogo s potrebnimi pravicami.
Ustvarjanje vloge IAM
Nastaviti moramo vlogo IAM s pravicami, ki jih zahteva naša lambda med njenim izvajanjem.
Recimo temu pravilnik lambda-acme-dns-route53-executor in ji takoj dodelite osnovno vlogo AWSLambdaBasicExecutionRole. To bo naši lambdi omogočilo izvajanje in pisanje dnevnikov v storitev AWS CloudWatch.
Najprej ustvarimo datoteko JSON, ki opisuje naše pravice. To bo v bistvu omogočilo storitvam lambda uporabo te vloge lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonVsebina naše datoteke je naslednja:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Zdaj pa zaženimo ukaz aws iam create-role ustvariti vlogo:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonOpomba: zapomnite si pravilnik ARN (Amazon Resource Name) – potrebovali ga bomo v naslednjih korakih.
Vloga lambda-acme-dns-route53-executor ustvarjen, zdaj moramo zanj določiti dovoljenja. Najlažji način za to je uporaba ukaza aws iam attach-role-policy, prehodni pravilnik ARN AWSLambdaBasicExecutionRole kot sledi:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleOpomba: najdete seznam z drugimi politikami .
Ustvarjanje lambda funkcije, ki teče acme-dns-route53
Hura! Zdaj lahko z ukazom razmestite našo funkcijo v AWS aws lambda create-function. Lambda mora biti konfigurirana z uporabo naslednjih spremenljivk okolja:
AWS_LAMBDA- pojasnjuje acme-dns-route53 da se izvršitev zgodi znotraj AWS Lambda.DOMAINS— seznam domen, ločenih z vejicami.LETSENCRYPT_EMAIL- vsebuje .NOTIFICATION_TOPIC— ime teme obvestil SNS (neobvezno).STAGING- po vrednosti1uporablja se uprizoritveno okolje.1024MB - omejitev pomnilnika, lahko se spremeni.900sekund (15 min) — časovna omejitev.acme-dns-route53— ime naše binarne datoteke, ki je v arhivu.fileb://~/acme-dns-route53.zip— pot do arhiva, ki smo ga ustvarili.
Zdaj pa razmestimo:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Ustvarjanje časovnika CloudWatch, ki sproži funkcijo 2-krat na dan
Zadnji korak je nastavitev crona, ki kliče našo funkcijo dvakrat na dan:
- ustvarite pravilo CloudWatch z vrednostjo
schedule_expression. - ustvarite cilj pravila (kaj naj se izvede) tako, da navedete ARN funkcije lambda.
- dajte dovoljenje pravilu za klic funkcije lambda.
Spodaj sem priložil svojo konfiguracijo Terraform, toda v resnici se to naredi zelo preprosto z uporabo konzole AWS ali AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Zdaj ste konfigurirani za samodejno ustvarjanje in posodabljanje potrdil SSL
Vir: www.habr.com