5.9. 保护自动化中心和自动化控制器之间的连接


以下流程描述了如何保护自动化中心负载均衡器

先决条件

  • 确保您使用 openssl v3 或更高版本。

流程

  1. 使用以下命令生成自动化中心证书:

    $ openssl req -x509 -nodes -newkey rsa:4096 -keyout hub_key.pem -out hub_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<HUB_DNS_NAME>"
    Copy to Clipboard Toggle word wrap

    其中 HUB_DNS_NAME 是 hub loadbalancer 的 DNS 名称。也可以请求证书或导入到 AWS 中。

  2. 在 Amazon Web Services UI 中,进入到 Amazon Certificate Manager。确保您位于正确的区域。
  3. Import 开始导入生成的证书。
  4. cert.pem 的内容粘贴到 Certificate body 字段中。
  5. key.pem 的内容粘贴到 Certificate private key 字段中。
  6. Next
  7. 可选:添加您需要的任何额外标签。
  8. 点击 Next
  9. Import

更新自动化中心内部负载均衡器监听器

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 Load Balancers。确保您位于正确的区域。
  2. 为自动化中心选择内部负载均衡器。
  3. Listeners 选项卡。
  4. 选择 Listener,然后点 Edit
  5. 为协议选择 HTTPS,并确保端口为 443
  6. 选择 listener settings > Default SSL/TLS certificate,并确保选择了 From ACM
  7. 选择导入的 ACM 证书。
  8. Save Changes

更新负载均衡器安全组

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 安全组。确保您位于正确的区域。
  2. 选择自动化中心 ALB 安全组
  3. 选择 Inbound rules 选项卡,然后点 Edit inbound rules
  4. 添加规则类型:HTTPS,其中 Source 为:Anywhere-IPv4
  5. 删除旧的 HTTP 规则,然后点 Save rules

将证书添加到 EC2 实例

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 Instances。确保您位于正确的区域。
  2. 选择自动化中心实例
  3. 将自动化中心密钥粘贴到以下位置:

    $ sudo vi /efs/certificates/hub_key.pem # Paste key
    Copy to Clipboard Toggle word wrap
  4. 将自动化中心证书粘贴到以下位置:

    $ sudo vi /efs/certificates/hub_cert.pem # Paste cert
    Copy to Clipboard Toggle word wrap
  5. 将证书和密钥复制到 ca-trust 目录。然后使用以下命令更新 ca-trust :

    $ sudo cp /efs/certificates/hub_key.pem /etc/pki/ca-trust/source/anchors/hub-key.pem # Copy key
    $ sudo cp /efs/certificates/hub_cert.pem /etc/pki/ca-trust/source/anchors/hub-cert.pem # Copy cert
    $ sudo update-ca-trust
    Copy to Clipboard Toggle word wrap

5.9.1. 保护控制器负载均衡器

以下流程描述了如何保护自动化控制器负载均衡器。

先决条件

  • 确保您使用 openssl 3 或更高版本。

流程

  1. 使用以下命令生成自动化控制器证书:

    $ openssl req -x509 -nodes -newkey rsa:4096 -keyout controller_key.pem -out controller_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<CONTROLLER_DNS_NAME>"
    Copy to Clipboard Toggle word wrap

    其中 CONTROLLER_DNS_NAME 是控制器负载均衡器的 DNS 名称。也可以请求证书或导入到 AWS 中。

  2. 在 Amazon Web Services UI 中,进入到 ACM。确保您位于正确的区域。
  3. Import 开始导入生成的证书。
  4. cert.pem 的内容粘贴到 Certificate body 字段中。
  5. key.pem 的内容粘贴到 Certificate private key 字段中。
  6. Next
  7. 可选:添加您需要的任何额外标签。
  8. 点击 Next
  9. Import

更新自动化控制器内部负载均衡器监听程序

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 Load Balancers。确保您位于正确的区域。
  2. 为自动化控制器选择内部负载均衡器。
  3. Listeners 选项卡。
  4. 选择 Listener,然后点 Edit
  5. 为协议选择 HTTPS,并确保端口为 443
  6. 选择 listener settings > Default SSL/TLS certificate,并确保选择了 From ACM
  7. 选择导入的 ACM 证书。
  8. Save Changes

更新负载均衡器安全组

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 安全组。确保您位于正确的区域。
  2. 选择自动化控制器 ALB 安全组
  3. 选择 Inbound rules 选项卡,然后点 Edit inbound rules
  4. 添加规则类型:HTTPS,其中 Source 为:Anywhere-IPv4
  5. 删除旧的 HTTP 规则,然后点 Save rules

将证书添加到 EC2 实例

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 Instances。确保您位于正确的区域。
  2. 选择自动化控制器实例
  3. 将自动化控制器密钥粘贴到以下位置:

    $ sudo vi /efs/certificates/controller_key.pem # Paste key. This step only needs to be done on the first controller node.
    Copy to Clipboard Toggle word wrap
  4. 将控制器证书粘贴到以下位置 -

    $ sudo vi /efs/certificates/controller_cert.pem # Paste cert. This step only needs to be done on the first controller node.
    Copy to Clipboard Toggle word wrap
  5. 将证书和密钥复制到 ca-trust 目录。然后使用以下命令更新 ca-trust 目录:

    $ sudo cp /efs/certificates/controller_key.pem /etc/pki/ca-trust/source/anchors/controller-key.pem # Copy key
    $ sudo cp /efs/certificates/controller_cert.pem /etc/pki/ca-trust/source/anchors/controller-cert.pem # Copy cert
    $ sudo update-ca-trust
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat