โพสต์นี้อธิบายขั้นตอนในการจัดการใบรับรอง SSL โดยอัตโนมัติ
บทความนี้แบ่งออกเป็น 4 ส่วน:
- การสร้างไฟล์ zip;
- การสร้างบทบาท IAM
- การสร้างฟังก์ชันแลมบ์ดาที่ทำงาน acme-dns-เส้นทาง 53;
- การสร้างตัวจับเวลา CloudWatch ที่ทริกเกอร์ฟังก์ชัน 2 ครั้งต่อวัน
หมายเหตุ ก่อนที่คุณจะเริ่มคุณต้องติดตั้ง
การสร้างไฟล์ซิป
acme-dns-route53 เขียนด้วย GoLang และรองรับเวอร์ชันไม่ต่ำกว่า 1.9
เราจำเป็นต้องสร้างไฟล์ zip ด้วยไบนารี่ acme-dns-route53
ข้างใน. ในการทำเช่นนี้คุณจะต้องติดตั้ง acme-dns-route53
จากพื้นที่เก็บข้อมูล GitHub โดยใช้คำสั่ง go install
:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
มีการติดตั้งไบนารี่ใน $GOPATH/bin
ไดเรกทอรี โปรดทราบว่าระหว่างการติดตั้ง เราได้ระบุสภาพแวดล้อมที่เปลี่ยนแปลงไปสองรายการ: GOOS=linux
и GOARCH=amd64
. พวกเขาทำให้คอมไพเลอร์ Go เข้าใจอย่างชัดเจนว่าจำเป็นต้องสร้างไบนารีที่เหมาะสมสำหรับสถาปัตยกรรม Linux OS และ amd64 - นี่คือสิ่งที่ทำงานบน AWS
AWS คาดว่าโปรแกรมของเราจะถูกปรับใช้ในรูปแบบไฟล์ zip ดังนั้นมาสร้างกัน acme-dns-route53.zip
ไฟล์เก็บถาวรซึ่งจะมีไบนารีที่ติดตั้งใหม่:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
หมายเหตุ ไบนารีควรอยู่ในรูทของไฟล์ zip สำหรับสิ่งนี้เราใช้ -j
ธง.
ตอนนี้ชื่อเล่น zip ของเราพร้อมสำหรับการใช้งานแล้ว สิ่งที่เหลืออยู่คือการสร้างบทบาทที่มีสิทธิ์ที่จำเป็น
การสร้างบทบาท IAM
เราจำเป็นต้องตั้งค่าบทบาท IAM ด้วยสิทธิ์ที่ lambda ของเรากำหนดในระหว่างการดำเนินการ
ขอเรียกนโยบายนี้ว่า lambda-acme-dns-route53-executor
และมอบบทบาทพื้นฐานให้เธอทันที AWSLambdaBasicExecutionRole
. สิ่งนี้จะช่วยให้แลมบ์ดาของเราเรียกใช้และเขียนบันทึกไปยังบริการ AWS CloudWatch
ขั้นแรก เราสร้างไฟล์ JSON ที่อธิบายสิทธิ์ของเรา สิ่งนี้จะช่วยให้บริการแลมบ์ดาใช้บทบาทนี้ได้ lambda-acme-dns-route53-executor
:
$ touch ~/lambda-acme-dns-route53-executor-policy.json
เนื้อหาของไฟล์ของเรามีดังนี้:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}
ตอนนี้เรามารันคำสั่งกัน aws iam create-role
เพื่อสร้างบทบาท:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
หมายเหตุ จดจำนโยบาย ARN (ชื่อทรัพยากรของ Amazon) - เราจะต้องใช้นโยบายดังกล่าวในขั้นตอนถัดไป
บทบาท lambda-acme-dns-route53-executor
สร้างขึ้นแล้ว ตอนนี้เราจำเป็นต้องระบุการอนุญาต วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการใช้คำสั่ง aws iam attach-role-policy
,ผ่านนโยบาย ARN AWSLambdaBasicExecutionRole
ดังต่อไปนี้:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
หมายเหตุ คุณสามารถดูรายการที่มีนโยบายอื่นๆ ได้
การสร้างฟังก์ชันแลมบ์ดาที่ทำงาน acme-dns-เส้นทาง 53
ไชโย! ตอนนี้คุณสามารถปรับใช้ฟังก์ชันของเรากับ AWS โดยใช้คำสั่ง aws lambda create-function
. ต้องกำหนดค่าแลมบ์ดาโดยใช้ตัวแปรสภาพแวดล้อมต่อไปนี้:
AWS_LAMBDA
- ทำให้ชัดเจน acme-dns-เส้นทาง 53 การดำเนินการนั้นเกิดขึ้นภายใน AWS LambdaDOMAINS
— รายการโดเมนคั่นด้วยเครื่องหมายจุลภาคLETSENCRYPT_EMAIL
- ประกอบด้วยมาเข้ารหัสอีเมลกันดีกว่า .NOTIFICATION_TOPIC
— ชื่อของหัวข้อการแจ้งเตือน SNS (ไม่บังคับ)STAGING
- ตามมูลค่า1
มีการใช้สภาพแวดล้อมการแสดงละคร1024
MB - ขีดจำกัดหน่วยความจำสามารถเปลี่ยนแปลงได้900
วินาที (15 นาที) — หมดเวลาacme-dns-route53
— ชื่อของไบนารี่ของเราซึ่งอยู่ในไฟล์เก็บถาวรfileb://~/acme-dns-route53.zip
— เส้นทางไปยังไฟล์เก็บถาวรที่เราสร้างขึ้น
ตอนนี้มาปรับใช้:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}
การสร้างตัวจับเวลา CloudWatch ที่ทริกเกอร์ฟังก์ชัน 2 ครั้งต่อวัน
ขั้นตอนสุดท้ายคือการตั้งค่า cron ซึ่งจะเรียกใช้ฟังก์ชันของเราวันละสองครั้ง:
- สร้างกฎ CloudWatch ด้วยค่า
schedule_expression
. - สร้างเป้าหมายกฎ (สิ่งที่ควรดำเนินการ) โดยการระบุ ARN ของฟังก์ชันแลมบ์ดา
- ให้สิทธิ์แก่กฎในการเรียกใช้ฟังก์ชันแลมบ์ดา
ด้านล่างนี้ฉันได้แนบการกำหนดค่า Terraform ของฉันแล้ว แต่จริงๆ แล้วทำได้ง่ายมากโดยใช้คอนโซล AWS หรือ AWS CLI
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}
ตอนนี้คุณได้รับการกำหนดค่าให้สร้างและอัปเดตใบรับรอง SSL โดยอัตโนมัติ
ที่มา: will.com