Inlägget beskriver steg för att automatisera hanteringen av SSL-certifikat från använder sig av и AWS.
är ett verktyg som gör att vi kan implementera den här funktionen. Det kan fungera med SSL-certifikat från Let's Encrypt, spara dem i Amazon Certificate Manager, använda Route53 API för att implementera DNS-01-utmaningen och slutligen push-meddelanden till SNS. I acme-dns-route53 Det finns också inbyggd funktionalitet för användning inuti AWS Lambda, och det är detta vi behöver.
Den här artikeln är uppdelad i 4 avsnitt:
- skapa en zip-fil;
- skapa en IAM-roll;
- skapa en lambdafunktion som körs acme-dns-route53;
- skapa en CloudWatch-timer som utlöser en funktion 2 gånger om dagen;
Notera: Innan du börjar måste du installera и
Skapa en zip-fil
acme-dns-route53 är skriven i GoLang och stöder version som inte är lägre än 1.9.
Vi måste skapa en zip-fil med en binär fil acme-dns-route53 inuti. För att göra detta måste du installera acme-dns-route53 från GitHub-förrådet med kommandot go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Binären är installerad i $GOPATH/bin katalog. Observera att vi under installationen angav två ändrade miljöer: GOOS=linux и GOARCH=amd64. De gör det klart för Go-kompilatorn att den behöver skapa en binär som är lämplig för Linux OS och amd64-arkitektur - det är detta som körs på AWS.
AWS förväntar sig att vårt program ska distribueras i en zip-fil, så låt oss skapa acme-dns-route53.zip arkiv som kommer att innehålla den nyinstallerade binära filen:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Notera: Binären ska finnas i roten av zip-arkivet. För detta använder vi -j flagga.
Nu är vårt zip-smeknamn redo för distribution, allt som återstår är att skapa en roll med nödvändiga rättigheter.
Skapa en IAM-roll
Vi måste skapa en IAM-roll med de rättigheter som krävs av vår lambda under dess genomförande.
Låt oss kalla detta politik lambda-acme-dns-route53-executor och ge henne omedelbart en grundläggande roll AWSLambdaBasicExecutionRole. Detta gör att vår lambda kan köra och skriva loggar till AWS CloudWatch-tjänsten.
Först skapar vi en JSON-fil som beskriver våra rättigheter. Detta kommer i huvudsak att tillåta lambdatjänster att använda rollen lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonInnehållet i vår fil är följande:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Låt oss nu köra kommandot aws iam create-role för att skapa en roll:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNotera: kom ihåg policyn ARN (Amazon Resource Name) - vi kommer att behöva den i nästa steg.
Rollen som lambda-acme-dns-route53-executor skapat, nu måste vi ange behörigheter för det. Det enklaste sättet att göra detta är att använda kommandot aws iam attach-role-policy, passerar policy ARN AWSLambdaBasicExecutionRole enligt följande:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNotera: en lista med andra policyer kan hittas .
Skapa en lambdafunktion som körs acme-dns-route53
Hurra! Nu kan du distribuera vår funktion till AWS med kommandot aws lambda create-function. Lambdan måste konfigureras med hjälp av följande miljövariabler:
AWS_LAMBDA- gör det klart acme-dns-route53 att avrättningen sker inuti AWS Lambda.DOMAINS— en lista över domäner separerade med kommatecken.LETSENCRYPT_EMAIL- innehåller .NOTIFICATION_TOPIC— Namn på SNS-meddelandeämne (valfritt).STAGING- till värdet1iscensättningsmiljö används.1024MB - minnesgräns, kan ändras.900sekunder (15 min) — timeout.acme-dns-route53— namnet på vår binär, som finns i arkivet.fileb://~/acme-dns-route53.zip— vägen till arkivet som vi skapade.
Låt oss nu distribuera:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Skapa en CloudWatch-timer som utlöser en funktion 2 gånger om dagen
Det sista steget är att ställa in cron, som anropar vår funktion två gånger om dagen:
- skapa en CloudWatch-regel med värdet
schedule_expression. - skapa ett regelmål (vad som ska exekveras) genom att ange ARN för lambdafunktionen.
- ge tillåtelse till regeln att anropa lambdafunktionen.
Nedan har jag bifogat min Terraform-konfiguration, men i själva verket görs detta väldigt enkelt med hjälp av AWS-konsolen eller AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Nu är du konfigurerad att automatiskt skapa och uppdatera SSL-certifikat
Källa: will.com