Lambda 에 AWS API-Gateway 를 연결하여 Route53의 DNS Record 를 등록 삭제하는 API 만들기 (feat Python)

-

 뭐 이미 잘 아시는 분들이야 딱히 볼만한 내용은 없을것 같습니다. (당연한 소리인가요? )
(코드를 pre - code 로 해가가 넣었더니 민감 컨텐츠로 분류 되는듯 하여 스샷으로 넣을수 밖에 없었...)

개발팀 으로부터 요청이 들어왔습니다. 

웹 애플리 케이션에서 고객사채널이 오픈되면 서브도메인 등록과 IIS 사이트 바인딩까지 사람손 안거치고 되도록 해달라. 

사실 뭔지도 모를 도메인들이 막 생기면 나중에 관리가 안될것 같아서 도메인의 경우 인프라팀의 승인하에 등록 및 삭제를 하고 있었으나 막생긴다면 + 정책이 빨리처리하는게 우선! 이라고 하니.. 
그리고 개발자는 운영 서버에 직접 접근할 권한이 없기도 하기에 

젠킨스를 통해 구현 하려 했는데 이참에 API 로 만들어서 던져주고 나중에 젠킨스에서도 API 를 사용해야 겠다 라는 생각이 들었습니다. 

AWS 의 윈도우 이미지를 사용하는 EC2 의 경우 기본적으로 SSM 에이전트를 이용하는 람다를 통해 IIS 의 사이트 바인딩을 추가 제거 할수 있는 API 와 Route53 에 레코드를 추가 제거 할수 있는 API 를 만들었습니다. 

일단 도메인 레코드 추가삭제 API 를 기준으로 진행해보겠습니다. 

일단 람다 함수를 먼저 생성합니다. 

만만하고 람다 친화적? 인 파이썬님을 런타임 기본으로 잡고 이름을 정한뒤 기본실행 역할을 정합니다. 

동일한 그룹으로 묶을것들이 아니기 때문에 또 앞으로 어떻게 쓰게 될지 모르기 때문에 새 역할 생성을 선택합니다.

추가 구성에 네트워킹 관련 구성들이 있는데 
인프라가 Azure 와 AWS, 온프레미스로 여러곳에 있기도 해서 API 게이트웨이를 사용할 예정이기에 
추가구성은 하지 않습니다. 

만약 람다를 직접 호출 하려면 URL 활성화나 VPC 내에서 접근하려면 VPC활성화를 선택해 주시면 되겠죠? 


그럼 코드를 직접 입력 할수 있는 화면이 나옵니다 (현재 새로운 에디터인데 창 크기 조절도 안되고 뭔가 답답한 면이 있습니다. 오히려 저는 기존의 에디터가 더 좋은것 같네요)

요기서 에디터를 변경할 수 있습니다. 

순서는 사람들 마다 차이가 있긴한데 일단 route53 을 사용해야 하기 때문에 권한이 필요 합니다. 
람다 생성시 역할 생성을 자동으로 했다면 IAM 에 가서 역할에 람다함수 이름으로 검색해보시면 
이름-role-어쩌구 하는 정책이 생성되어 있습니다. 

선택하고 권한 정책 부분을 보면 람다 기본정책으로 로그 관련된 기능만 추가 되어있을것입니다. 


권한 추가를 선택하고 
정책 연결로 route53 관련 ChangeResourceRecordSets 이 존재하는 정책을 연결해도 되고
인라인 정책 생성을 통해 새로운 정책을 만들어서 연결 해도 됩니다. 
저는 만들어서 연결했습니다. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ChangeResourceRecordSets"
            ],
            "Resource": "*"
        }
    ]
}

이제 코드를 작성하거나 일단 API GateWay연결부터 해도 상관은 없습니다. 

API GateWay 를 연결하는데는 람다의 다이어그램에서 트리거 추가를 통해 하는 방법이 있고 
API GateWay 메뉴로 가서 생성후 연결하는 방법이 있습니다. 
저는 API Gateway 로 가서 생성하도록 하겠습니다. 
API 유형은 REST 로 선택하고


이름을 정하고 API 생성을 누릅니다.


새로 생성된 API 인데요  메서드가 아무것도 없습니다. 

POST 일때는 레코드 생성이나 수정, DELETE 일때는 레코드 삭제로 동작할 계획이기 때문에 POST 와 DELETE 메서드를 생성해 줍니다. 
인증은 IP 기반으로 할 계획이기 때문에 그냥단순하게 연결만 합니다. 

메서드 유형 POST 에 람다 함수 를 연결 선택하고 람다 프록시 통합을 켜줍니다 (그래야 요청처리 구조가 단준해집니다) 나머지는 그대로 두고 메서드를 생성합니다.
DELETE 역시 동일하게 생성합니다. 
두가지가 생성 되었습니다. 


이상태에서는 당연히 사용할수 없고 위의 배포를 해야 실제 사용할수 있습니다. (뭔가 수정해도 배포를 해야 적용이 됩니다 ) 
스테이지는 default 던 prod / dev 던 필요한 네이밍을 붙여서 배포를 합니다.



완전 처음 하시는 분들을 위한 보충 설명

좌측 메뉴 구성은 맨위의 API 에서 선택한 현재 선택된 API 의 설정 메뉴가 아래에 있는형태입니다. 은처음 보면 은근 눈에 안띄더라고요 


배포를 하고 나면 자동으로 스테이지 메뉴로 이동 되는데요. 

여기에서 이 API 의 URL 을 확인 할수 있습니다. 
루트에 있기 떄문에 스테이지의 주소 루트인 /default/ 가 URL 로 잡혀있는데요. 
리소스 메뉴에서 / 아래로 새로운 리소스를 생성하고 거기에 메서드를 만들면 

이런식으로 주소가 나오게 됩니다. 

여기에서 만약 API 주소를 자신이 가진 도메인에서 사용하고 싶다면 좌측 상단의 사용자 지정 도메인 이름 을 선택하시고 도메인을 연결하시면 됩니다. 

도메인 이름추가에 도메인을 하나 추가하고 (ex : api.domain.com ) ACM 의 인증서를 사용하도록 합니다.  등록한 도메인을 클릭해서 들어가면 하단에 API매핑 이라는 메뉴가 있습니다. 
여기에서 API 매핑 구성을 선택하고 새 매핑 추가를 누르시면 API 를 선택할수 있는 드롭박스가 나타납니다.
여기에서 매핑할 API / 스테이지를 선택합니다. 경로의 경우 입력하면 URL 의 주소가 경로 주소가 됩니다. 입력하지 않으면 api 의 이름이 사용됩니다. 

dnscontrol 로 경로를 지정해 보겠습니다.

이렇게 API Gateway 는 일단 구성했습니다.
그러면 접근 주소는 https://내도메인/dnscontrol  이 됩니다. 
다시 람다로 가서 새로 고침해보면 




트리거에 API 게이트웨이 가 연결되어 있는것을 볼수 있습니다. 
근데 POST 와 DELETE 두개인데 (3) 으로 표시되어있네요? 
네 아까 위에 리소스 설명을 위해 GET 을 임시로 만들었다가 지운것 때문에 없는 메서드 1 개가 포함되어있습니다. (생성은 자동이지만 삭제는 안해줍니다) 없어진 트리거는 선택후 삭제 처리 합니다. 

이제 람다 코드를 넣어야 겠죠? 
만만한게 파이썬이고 간단한게 파이썬이라서 사용하고 있습니다만 
아래는 boto3 를 이용해 route53 의 레코드를 제어하는 람다 코드샘플입니다.




주의할 점은
API 게이트웨이에서 REST 방식 으로 사용시엔 입력되는 json 값이 body 에 묶여서 들어옵니다.

예를 들어 POST 로 { "name":"park" , "Type":"human" } 을 API 게이트웨이에 보내면 실제 람다가 받는 정보는 
{
  "httpMethod": "POST",
  "body": "{\"name\": \"park\", \"Type\": \"human\"}"
}
이 됩니다.  그래서  파싱은 body 에서 해야 합니다. 
람다에서 테스트를 할때도 코드를 그렇게 짜놔야 하니 이벤트json 도 위 형태를 가져야 정상적으로 동작하겠죠?

원래는 모두 입력 받아서 하려고 했었는데 그러다보면 관리적인 면에서나  오류확률등이 있어서 코드별로 고정값을 사용하도록 (어차피 한서버에서 운용하는 애플리케이션이라) 했고
동일 도메인에 대해서 퍼블릭 호스티드 존과 프라이빗 호스티드존 두가지가 존재 하기 때문에 
ALB 를 거치는 경우와 내부 IP 를 사용하게 되는 경우를 반영하여  퍼블릭한번 프라이빗 한번 동작하도록 구성했습니다. 

등록 : [POST] 
{ "Code": "D01", "Name": "test.도메인." } 

삭제 : [DELETE] 
{ "Code": "D01", "Name": "test.도메인." }

로 사용합니다.

동작이 잘 되면 이제 보안을 위해 IP 제어를 합니다.
lambda 에는 엔드포인트가 없기 때문에 (URL 받지 않음) 람다는 API 게이트웨이를 통해서만 접속할수 있습니다. 그런 이유로 API 게이트웨이에서만 IP 제어를 하면 된다는 결론이죠. 

다시 API 게이트웨이로 가서 API 메뉴의 만든 API 를 클릭하고 좌측 메뉴에서 리소스 정책 을 선택합니다.
정책이 아무것도 없을텐데요. 여기에


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "execute-api:Invoke",
      "Resource": "arn:aws:execute-api:ap-northeast-2:************:khy*****0h/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "아이피/32",
            "아이피/32"
          ]
        }
      }
    }
  ]
}

이런 식으로 입력합니다. 
그럼 해당 IP 외에는 접근이 제한 됩니다. 
arn 은 리소스에 메서드 아무거나 눌러보시면 볼수 있습니다. 
특정 메서드만 제한을 하려면 
      "Resource": "arn:aws:execute-api:ap-northeast-2:************:khy*****0h/*/DELETE",
이런식으로 메서드까지 적어주면 됩니다.


소스 코드에 넣지 않고 람다 함수의 변수에 데이터를 넣고 쓰는 방법도 있습니다만 특별한 비밀 정보도 아닌지라.. 

여튼 도움되시는 분이 있길 바랍니다. 
위치: 대한민국 인천광역시

댓글

댓글 쓰기

이 블로그의 인기 게시물

비만 오면 C103 통신에러 걸리는 삼성 무풍 에어컨

-
이미지
 동그란 바람문이 달려 있는 비스포크(?) 무풍 에어컨 무풍 1세대 라고 해야 하나? 2년만에  C103 에러를 마주 하게 되었다.  그냥 간헐적 현상인줄 알았는데 비가 겁나 계속 오던 제작년 여름 비오는 열대야의 상황에서 켜면 5분돌다 C103 리셋하고 켜면 또 C103 의 반복으로 고통의 시간을 보내고 서비스 신청을 했더니 대기가 한달이 넘어가는 사태.. 일단 예약은 해뒀는데 어느순간 부터 또 그냥 잘 되는 상황. 그렇게 또 그냥 잘 돌아가니 일단 더 써보기로 하고 AS 취소 (무상 AS 기간은 이미 지남)  그러던 어느날 또 C103 의 향연이 시작되었는데 이때 공통점을 발견 하게 되었다. 1. 비가 오는데 장시간 오는경우 발생. 2. 집이 산밑이라 안개가 심하거나 아주 습한 날들이 있는데 그런 경우. 그리고 비가 그치고 하루 정도 지나거나 해가 쨍쨍 뜨면 반나절정도만 지나도 에어컨은 언제 그랬냐는듯 멀쩡하게 돌아가는 것이었다. 일단 통신 불량이라는 에러 코드니 통신 선을 교체해봤으나 증상은 그대로. 검색을 해보니 동일한 증상을 호소하는 분들이 많았다. 그렇다면 외부 습도에 영향을 받는다는 의미는 확실하니 실외기 보드쪽을 의심할수 밖에 없었기에 실외기를 열어 보니 습도에 영향을 받을만한건 컨트롤 보드 하나밖에 없었다. 일단 에어컨의 실내기 실외기 전원선을 뽑고 1분정도 놔뒀가 작업을 시작한다.  실외기 상부 테두리를 따라 있는 볼트들을 풀면 실외기 윗 철판을 들어낼수 있는데 들어 내고 보면 검정색 프라스틱 커버 아래쪽으로 기판이 존재한다.  그냥 보이는 볼트들을 풀고 앞쪽 커넥터(사진의 커넥터들)를 뽑은뒤 방열판 부분을 잡고 살짝 들어 올리면 안쪽으로 커넥터들이 몇개 더 있다  위치를 잘 확인해두고 커넥터를 모두 제거한뒤 기판을 들어 낸다. 기판을 들어낸 모습. 기판을 보니 별다른 방수 처리등은 되어있지 않았다. 마침 집에 방수용 실리콘 스프레이가 있어서 뿌려보았으나..... 결과적으로 좀더 버...
자세한 내용 보기

CT6 겉벨트를 갈아 봅시다. | Cadillac CT6 serpentine belt replacement

-
이미지
CT6 3.6L 입니다. 지난번 써모스탯 교체하고 벨트에 물이 묻으니 굉음이 나길래 보니. 아이들 베어링이 돌지 않아 벨트 마찰소음이 어마무시하게 나고있더라고요. 물기가 마르면서 괜찮아 지긴 했지만 아무리 그래도 그렇지 저정도 물좀 묻었다고 베어링이 안돈다? 그러고보니 '식식' 거리는 소음도 좀 있는것 같기도 하고... 그래서 벨트+아이들베어링+텐셔너를 교체합니다. 뭐 외벨트 베어링 얼마 하겠냐 해서 빨리 할생각에 국내 호환품을 찾다보니 콜로라도 3.6 엔진이 LGX 네요, 그래서 국내에서 부품을 사야겠다 했는데 일단 예약판매고  가격이 정말 사악했습니다... 그래서 우리의 희망 락오토를방문합니다. 외벨트 : 12639018 $19.45 (25,179원) 아이들베어링(아이들러 풀리) : 15-40561 $18.79 (37,271원) 벨트 텐셔너 : 12647765 $30.79 (39,860원) DHL 배송비 포함 114달러 (147,595원) 국내구입할라니 벨트 5만, 아이들러 7.5만, 텐셔너 9.5만.... -_-; 엔진 관련 정비 중에 솔직히 난이도 최하라고 생각되는 것이 벨트교체입니다. 정말 별거 없거든요.. 공구도 15미리 소켓, 13미리 소켓, 소켓대, 일자드라이버, 별렌치(엔진커버 분리용) 면 끝입니다. 특별한 주의 사항으로는 벨트에 손이 끼이지 않도록 주의하세요. 작업중 시동이 걸리는 상황이 발생하면 당연히 안되겠죠? 3종세트 준비. 엔진커버를 들어내고 풀고 흔들어 뺍니다. 그러면 벨트가 바로 보입니다. 벨트 모양입니다. 기억할 자신 없으면 사진으로 남겨두시던가 종이에 그려둡니다. 아이들러 풀리가 초록색, 텐셔너가 파랑색입니다. (위 사진은 교체 하고나서 찍은거라 벨트가 뽀송합니다.) 텐셔너에 15미리 소켓을 걸고 푸는 방향(반시계방향)으로 돌리면 베어링이 노랑색 위치로 움직이면서 벨트에 걸린 장력이 풀립니다. 그렇게 장력이 풀리면 걸려있던 벨트를 뺍니다. (그냥 폴트가 풀려 버리면 어쩌냐구요? 텐셔너의 볼트는 역나사선입니다. 때문...
자세한 내용 보기

CT6 고스트도어(소프트 클로징) 장착 | Installing Soft-Close Doors (Ghost Doors) on a Cadillac CT6

-
이미지
알리 익스프레스에서 광군절에 쿠폰에 뭐에 이거저거 썌려넣어서 35마넌에 일렉트릭 석션 도어락 모듈을 샀습니다. 판매자가 80달러짜리라고 인보이스 적어보내는 덕도 살짝.. 그래서 일단은 결론부터 운전석도어부터 시작했는데 삽질을 너무 하는 바람에 시간을 많이 잡아먹어서 조수석 도어는 오늘 포기하고 올라왔습니다.  나머지는 다 잘되고 내일 조수석만 마무리 하면 될것 같네요.. 도어뜯고 기존 락모듈 전체를 들어내서 기어박스를 분해해서 석션도어 모듈로 재조립 하는 방식의 제품이었습니다. 장착 설면서 보면 뭔가 복잡하지만 해보면 난이도는 생각보다 높지는 않는데 분해할것이 많다보니 굉장히 귀찮은 작업이 되네요.  모터 작동 소리는 좀 나는데 뒷도어의 경우 울림이 좀있어서 더 크게 느껴집니다. (읭~) 일단 도어트림 분해조립정도는 그냥 할수 있다 하시는 분 외에는 DIY 할 생각으로 구입하시면 낭패를 보실수 있습니다. 그런 분들은 돈주고 하세요.. 일단 가죽이 매우 연약하기 때문에 공구 쑤실때 조심하셔야 합니다 도어트림의 볼트는 총 6개가 있습니다. 도어캐치 커버 안에 한개. 스위치 모듈 포켓 바닥을 덜어내보면 한개 스위치 모듈을 들어내면 안에 두개 그리고 트림 최하단부에 두개가 있습니다.  스위치 모듈은 뒷부분 끝부터 들어내야 하고  앞쪽은 걸도록 되어있습니다. 그냥 힘으로 들어버리면 앞쪽 걸리는 부분이 부러집니다 (근데 부러져도 고정에는 딱히 문제는 없습니다 ^^) 커버 들어내고요 볼트 당연히 풀어야 하고요 아래쪽에서 쑤셔야 흠집을 최소화 할수 있습니다. 요렇게 말입죠... 모두 풀고 아래 헤라등을 넣어서 우두두둑!!!  뜯습니다.. (핀이 굉장히 세요~) 그렇게 도어트림 하부부터 우두둑 들어내고 난후 도어트림을 위쪾으로 밀어서 유리닿는 부분을 탈거합니다. 앞으로만 당기는게 아니라 유리 올라가는 방향으로 위로 밀어주는겁니다.  ​그리고..  자세한 사항은 생략한다.  (도어트림 뜯는것도 못하면 사실 이...
자세한 내용 보기