Red Hat Summit5.2. 컨트롤 플레인
Ansible Automation Platform 컨트롤 플레인에는 자동화 관리에 사용되는 애플리케이션 UI, API, 구성 요소 및 서비스가 포함되어 있습니다. Red Hat은 자체 인프라 내에서 이를 관리합니다.
각 고객 배포는 인프라 계층에서 완전히 격리됩니다. 모든 배포는 자체 전용 네트워크, 컴퓨팅 및 데이터베이스 리소스를 프로비저닝하며 다른 모든 고객 환경과는 완전히 독립적입니다. 이러한 격리 수준을 강제함으로써 데이터 누출 또는 무단 배포 상호 작용의 위험이 감소하여 작업 및 정보가 지정된 환경 내에서 제한되도록 합니다.
5.2.1. 고객 액세스
컨트롤 플레인에 대한 액세스는 Ansible Automation Platform 사용자 인터페이스 및 API에 따라 다릅니다.
AWS 배포에서 Ansible Automation Platform Service를 처음 구성하는 동안 배포에 대한 URL이 제공됩니다. 이 정보는 Red Hat Hybrid Cloud Console(HCC)을 통해 확인할 수도 있습니다.
관리자 계정의 초기 암호는 초기 배포를 수행한 HCC 사용자에게 제공됩니다.
Ansible Automation Platform에 처음 로그인한 직후 이 암호를 변경합니다.
배포 액세스에 도움이 필요한 경우 Red Hat 고객 포털 을 통해 지원 요청을 제출합니다.
5.2.2. 서비스 가동 시간
AWS에서 Red Hat Ansible Automation Platform Service의 가동 시간은 Ansible Automation Platform 컨트롤 플레인의 사용자 액세스 및 기능에 따라 측정됩니다. 이는 제품 웹 사용자 인터페이스 및 REST API의 가동 시간을 통해 측정됩니다. 측정은 성공적인 HTTP 응답 코드(200)를 통해 UI 및 API의 진입점에 대해 계산됩니다. 이 중 하나가 실패한 응답 코드를 반환하거나 사용할 수 없으며 완전히 시간 초과되면 서비스가 중단된 상태로 간주됩니다. 고객이 관리하는 실행 플레인의 가동 시간은 서비스 가동 시간의 일부로 포함되지 않습니다. 고객은 고객 가동 시간 목표를 충족하기 위해 실행 플레인이 중복되고 확장 가능하며 사용 가능한지 확인할 책임이 있습니다.
5.2.3. SRE 액세스 및 관리
SRE(Site Reliability Engineering) 액세스는 Ansible Automation Platform을 실행하는 인프라 및 서비스로 제한됩니다. Red Hat은 지원 서비스 중에와 같이 예외적인 경우에만 Ansible Automation Platform 인터페이스 또는 API에 액세스합니다.
컨트롤 플레인 리소스에 대한 SRE 액세스는 사람의 개입이 필요한 작업으로 제한되며 자동화할 수 없습니다. 모든 액세스는 요청 및 승인 프로세스를 따르며 권한이 있는 직원만 이러한 작업을 수행할 수 있도록 감사됩니다.
SRES 액세스 리소스 및 감사 데이터는 다음과 같은 경우 수집됩니다.
- SRE 팀은 임시 액세스를 허용하는 툴을 사용하여 클러스터 리소스에 대한 액세스를 요청합니다. 이 툴에서는 액세스 권한을 요청한 시간과 SRE 팀 멤버를 자세히 설명하는 로그 항목을 생성합니다.
- 감사 로그는 고객 인스턴스에서 수행되는 모든 관리 작업에 대해 생성되며 중앙 집중식 로깅 시스템으로 전송됩니다.
Red Hat은 30일마다 작업 로그를 지웁니다.
5.2.4. 백업 및 재해 복구
Red Hat은 각 배포와는 별도의 지역에 있는 일일 데이터베이스 및 파일 시스템 스냅샷을 유지합니다.
| Component | 스냅샷 빈도 | 보존 정책 |
| 데이터베이스 | daily | 7일 |
| 파일 시스템 | daily | 7일 |
이 복구 데이터는 적절한 시간 내에 AWS 지역 중단을 해결할 수 없는 경우 사용됩니다.
고객 데이터는 배포 지역에 따라 사전 정의된 보조 리전에 복제됩니다. 현재 페어링된 지역은 다음과 같습니다.
| 기본 리전 | 비즈니스 연속성 리전 |
|---|---|
| us-east-1 | us-west-2 |
| us-east-2 | us-west-2 |
| us-west-2 | us-east-1 |
| eu-central-1 | eu-central-2 |
| eu-west-1 | eu-north-1 |
| eu-west-2 | eu-west-1 |
| ap-southeast-2 | ap-south-1 |
| ap-east-1 | ap-south-1 |
| ca-central-1 | us-east-2 |
다른 AWS 리전에서 Ansible Automation Platform 배포를 복구하려면 고객이 사용 가능한 옵션에서 선호하는 배포 리전을 지정하는 요청을 제출해야 합니다. Red Hat은 요청을 평가하고 해당 지역의 인스턴스 빌드를 시작합니다. 이전 인스턴스의 데이터는 고객의 비즈니스 연속성 영역에서 복구됩니다. 고객은 새 인스턴스를 해당 환경에 통합하기 위해 필요한 배포 후 네트워크 구성을 담당합니다.
고객이 직접 백업 데이터에 액세스할 수 없습니다. 데이터는 고객 구성 오류가 아닌 인프라 장애 발생 시에만 사용됩니다. Red Hat은 구성as-code 관행을 사용하여 고객이 호스팅하는 구성 백업을 유지 관리하는 것이 좋습니다.
5.2.5. 인프라 모니터링
Red Hat은 컨트롤 플레인을 모니터링합니다. 컨트롤 플레인을 실행하는 리소스에 추가 모니터링을 추가할 수 있는 권한이 없습니다.
5.2.6. 애플리케이션 모니터링 및 고객 감사
Ansible Automation Platform 활동 스트림은 Ansible Automation Platform 및 사용법에 대한 자세한 정보를 제공합니다. 감사 또는 규정 준수를 위해 이 정보를 유지하려면 보존 및 쿼리를 위해 로그를 지원되는 로깅 서비스로 내보내야 합니다.
5.2.7. 상태 알림
Red Hat은 Red Hat Hybrid Cloud Console, 원래 배포 연락처에 대한 이메일 알림, 지정한 추가 연락처를 통해 AWS 클러스터의 Red Hat Ansible Automation Platform Service의 상태 및 상태를 전달합니다.
5.2.8. 보안
5.2.8.1. ID 및 액세스 관리
Ansible Automation Platform에는 액세스를 정의하는 사용자 및 RBAC 권한을 구성하기 위한 기본 제공 사용자 모델이 포함되어 있습니다. Red Hat은 Ansible Automation Platform과 함께 엔터프라이즈 ID 공급자를 사용하여 사용자를 위한 다단계 인증을 구현하는 것이 좋습니다. 자세한 내용은 액세스 관리 및 인증 가이드를 참조하십시오.
Red Hat은 긴급 액세스를 위해 길고 복잡한 암호를 사용하여 하나 이상의 로컬 관리자 계정을 보유할 것을 권장합니다.
5.2.8.2. Encryption
데이터는 AES-256 암호화를 사용하는 AWS KMS 서비스를 사용하여 데이터베이스 및 파일 시스템에서 모두 암호화됩니다. 전송 중인 데이터는 TLS 1.2 이상으로 암호화됩니다.
AWS 고객 관리 키(CMK)를 사용하여 데이터베이스, Amazon S3 버킷 및 AWS Secrets Manager 시크릿에 암호화를 적용합니다. 이러한 KMS 키는 고객 관리 키의 AWS KMS(Key Management Service)에 안전하게 저장됩니다. KMS 키는 키 손상의 위험을 줄이기 위해 365일마다 자동으로 순환됩니다. Amazon S3 버킷은 자동화 허브 구성 및 백업에 사용됩니다. AWS Secrets Manager 시크릿은 인증 정보 및 구성 세부 정보와 같은 중요한 정보를 저장하는 데 사용됩니다.
5.2.9. 호스팅된 구성 요소
이 제품의 목표는 Ansible Automation Platform 배포를 관리 서비스로 제공하여 고객에게 Ansible Automation Platform 컨트롤 플레인을 관리하는 것입니다. 별도로 지정하지 않는 한 Operator 기반 배포 모델의 모든 Ansible Automation Platform 기능이 지원됩니다.
| 기능 | 가용성 계획 |
| 이벤트 기반 Ansible | 이 서비스는 이벤트 기반 Ansible을 직접 제공하지 않지만 서비스와 함께 사용할 수 있는 Event-Driven Ansible의 자체 관리 인스턴스를 배포할 수 있습니다. |
