5.9. 保护自动化中心和自动化控制器之间的连接
以下流程描述了如何保护自动化中心负载均衡器
先决条件
- 确保您使用 openssl v3 或更高版本。
流程
使用以下命令生成自动化中心证书:
openssl req -x509 -nodes -newkey rsa:4096 -keyout hub_key.pem -out hub_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<HUB_DNS_NAME>"
$ openssl req -x509 -nodes -newkey rsa:4096 -keyout hub_key.pem -out hub_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<HUB_DNS_NAME>"
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 其中
HUB_DNS_NAME
是 hub loadbalancer 的 DNS 名称。也可以请求证书或导入到 AWS 中。- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 点 开始导入生成的证书。
-
将
cert.pem
的内容粘贴到 Certificate body 字段中。 -
将
key.pem
的内容粘贴到 Certificate private key 字段中。 - 点
- 可选:添加您需要的任何额外标签。
- 点击 。
- 点 。
更新自动化中心内部负载均衡器监听器
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 为自动化中心选择内部负载均衡器。
- 点 Listeners 选项卡。
- 选择 Listener,然后点 。
-
为协议选择 HTTPS,并确保端口为
443
。 - 选择 listener settings > Default SSL/TLS certificate,并确保选择了 From ACM。
- 选择导入的 ACM 证书。
- 点 。
更新负载均衡器安全组
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 选择自动化中心 ALB 安全组。
- 选择 Inbound rules 选项卡,然后点 。
-
添加规则类型:
HTTPS
,其中 Source 为:Anywhere-IPv4
。 - 删除旧的 HTTP 规则,然后点 。
将证书添加到 EC2 实例
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 选择自动化中心实例
将自动化中心密钥粘贴到以下位置:
sudo vi /efs/certificates/hub_key.pem # Paste key
$ sudo vi /efs/certificates/hub_key.pem # Paste key
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将自动化中心证书粘贴到以下位置:
sudo vi /efs/certificates/hub_cert.pem # Paste cert
$ sudo vi /efs/certificates/hub_cert.pem # Paste cert
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将证书和密钥复制到 ca-trust 目录。然后使用以下命令更新 ca-trust :
sudo cp /efs/certificates/hub_key.pem /etc/pki/ca-trust/source/anchors/hub-key.pem # Copy key sudo cp /efs/certificates/hub_cert.pem /etc/pki/ca-trust/source/anchors/hub-cert.pem # Copy cert sudo update-ca-trust
$ sudo cp /efs/certificates/hub_key.pem /etc/pki/ca-trust/source/anchors/hub-key.pem # Copy key $ sudo cp /efs/certificates/hub_cert.pem /etc/pki/ca-trust/source/anchors/hub-cert.pem # Copy cert $ sudo update-ca-trust
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.9.1. 保护控制器负载均衡器 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
以下流程描述了如何保护自动化控制器负载均衡器。
先决条件
- 确保您使用 openssl 3 或更高版本。
流程
使用以下命令生成自动化控制器证书:
openssl req -x509 -nodes -newkey rsa:4096 -keyout controller_key.pem -out controller_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<CONTROLLER_DNS_NAME>"
$ openssl req -x509 -nodes -newkey rsa:4096 -keyout controller_key.pem -out controller_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<CONTROLLER_DNS_NAME>"
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 其中
CONTROLLER_DNS_NAME
是控制器负载均衡器的 DNS 名称。也可以请求证书或导入到 AWS 中。- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 点 开始导入生成的证书。
-
将
cert.pem
的内容粘贴到 Certificate body 字段中。 -
将
key.pem
的内容粘贴到 Certificate private key 字段中。 - 点
- 可选:添加您需要的任何额外标签。
- 点击 。
- 点 。
更新自动化控制器内部负载均衡器监听程序
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 为自动化控制器选择内部负载均衡器。
- 点 Listeners 选项卡。
- 选择 Listener,然后点 。
-
为协议选择 HTTPS,并确保端口为
443
。 - 选择 listener settings > Default SSL/TLS certificate,并确保选择了 From ACM。
- 选择导入的 ACM 证书。
- 点 。
更新负载均衡器安全组
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 选择自动化控制器 ALB 安全组。
- 选择 Inbound rules 选项卡,然后点 。
-
添加规则类型:
HTTPS
,其中 Source 为:Anywhere-IPv4
。 - 删除旧的 HTTP 规则,然后点 。
将证书添加到 EC2 实例
流程
- 在 Amazon Web Services UI 中,进入到 。确保您位于正确的区域。
- 选择自动化控制器实例
将自动化控制器密钥粘贴到以下位置:
sudo vi /efs/certificates/controller_key.pem # Paste key. This step only needs to be done on the first controller node.
$ sudo vi /efs/certificates/controller_key.pem # Paste key. This step only needs to be done on the first controller node.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将控制器证书粘贴到以下位置 -
sudo vi /efs/certificates/controller_cert.pem # Paste cert. This step only needs to be done on the first controller node.
$ sudo vi /efs/certificates/controller_cert.pem # Paste cert. This step only needs to be done on the first controller node.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将证书和密钥复制到 ca-trust 目录。然后使用以下命令更新 ca-trust 目录:
sudo cp /efs/certificates/controller_key.pem /etc/pki/ca-trust/source/anchors/controller-key.pem # Copy key sudo cp /efs/certificates/controller_cert.pem /etc/pki/ca-trust/source/anchors/controller-cert.pem # Copy cert sudo update-ca-trust
$ sudo cp /efs/certificates/controller_key.pem /etc/pki/ca-trust/source/anchors/controller-key.pem # Copy key $ sudo cp /efs/certificates/controller_cert.pem /etc/pki/ca-trust/source/anchors/controller-cert.pem # Copy cert $ sudo update-ca-trust
Copy to Clipboard Copied! Toggle word wrap Toggle overflow