红帽全球峰会Red Hat Ansible Automation Platform Service on AWS
在 AWS 上安装和配置 Red Hat Ansible Automation Platform Service
摘要
对红帽文档提供反馈
如果您对本文档有任何改进建议,或发现错误,请通过 https://access.redhat.com 联系技术支持来创建一个请求。
免责声明 :本文档中包含了指向外部 Web 站点的链接仅用于方便用户。红帽没有审阅链接的内容,并不对其内容负责。包含任何指向外部网站的链接并不表示红帽认可该网站或其实体、产品或服务。您同意红帽对因您使用(或依赖)外部网站或内容而导致的任何损失或费用不承担任何责任。
使用 Red Hat Ansible Automation Platform Service on AWS,您可以通过 AWS Marketplace 购买和部署 Ansible Automation Platform。红帽配置和置备 Ansible Automation Platform 环境,然后维护它,确保可靠性和安全性。
有两种方法 PULL 和 PUSH 将 execution plane 节点连接到 AWS control plane 上的 Ansible Automation Platform 服务。
Red Hat Ansible Automation Platform Service on AWS 提供了通过 AWS Marketplace 购买的 Ansible Automation Platform 部署。红帽配置和置备 Ansible Automation Platform。红帽团队处理 Ansible Automation Platform 的设置和维护,确保可靠性和安全性。
虽然红帽管理 control plane,但执行平面将使用自动化网格跃点节点和执行节点在网络中实现。有关配置执行节点的帮助,请参阅 受管云或 operator 环境的自动化网格。
配置控制节点和执行节点之间的通信有两种方法:
- PULL 连接模型(推荐)
- PUSH 连接模型
2.2. PULL 连接
远程自动化网格节点可以使用 'polling' 或 'pull' 模型访问 Ansible Automation Platform,这不需要在企业网络中打开入口端口。
pull 模型从远程执行节点启动 WebSocket 到使用 mTLS 保护的 control plane hop 节点,用于身份验证和加密。如果专用网络有出站互联网连接,此模型消除了将跃点节点部署到您的非星区域(DMZ)的需要来建立与专用网络的连接。不支持终止 TLS 的代理服务器,并会破坏自动化网格连接。
有关配置自动化网格的帮助,请参阅 定义自动化网格节点类型。
图 1 Pull 模型 
2.3. PUSH 连接
您可以使用推送模型设计其自动化网格架构,并配置通信端口。
默认端口为 27199。如果您选择不同的端口,请确保它不会与现有服务(如 HTTPS)冲突。AWS 上的 Ansible Automation Platform Service 支持当前的自动化网格功能,将通信推送到跃点节点和执行节点。
图 1 Push 模型 
要在 AWS 上设置 Red Hat Ansible Automation Platform Service,您必须首先接受提供。您可以通过 AWS 市场接受公共服务,或者直接从红帽销售者提供私人服务。
3.1. 接受公共服务
要设置 Red Hat Ansible Automation Platform Service on AWS,您必须通过 AWS 市场链接 Amazon Web Services (AWS)和红帽帐户。
当您链接您的帐户时,您可以通过 Red Hat Hybrid Cloud Console 置备和配置集群。
先决条件
- AWS 帐户
流程
- 登录到 AWS 帐户。
- 导航到 AWS Marketplace 的 Discover 产品页面。如果您已接受您的服务,您可以在 Manage subscription 页中找到它。
在搜索字段中,搜索 "Red Hat Ansible Automation Platform Service on AWS"。
根据您的区域选择以下之一:
- 对于 EMEA,请选择 Red Hat Limited。
- 对于其他世界,请选择 Red Hat。
- 单击 。
- 选择您需要的合同持续时间。
- 如果您希望合同自动续订,请单击 。
- 选择合同选项。
- 可选:添加一个购买号。
- 点 。
。这会将您重定向到 Red Hat Single Sign-On,在其中必须:
- 创建或登录到您的红帽帐户。
- 将您的 AWS 帐户连接到红帽帐户。这会将您重定向到 Red Hat Hybrid Cloud Console 上的 Provision environment 页面。您可以在此处开始配置您的环境。
输入 AWS 帐户 ID 并点 。
- 这个帐户 ID 必须是从 AWS Marketplace 购买所提供的帐户 ID。系统无法识别关联的或嵌套帐户。
- 验证 AWS ID 后,点 。
- 选择您需要的区域。
- 单击 。
验证
这会将您重定向到 Instances 的 Environment 详情页面,您可以在其中查看创建实例的所有详细信息。您可以在此处检查您的实例是否为 Ready 还是仍然处于 Provision in progress 状态。
置备您的环境可能需要两小时时间。准备就绪后,您将收到与您的帐户关联的地址的确认电子邮件。
尽快更新您的密码。确认电子邮件包含指向 admin 密码的链接,您将使用该密码登录并更改密码。此链接是一次性使用的,因此在单击之前准备。
如果您没有收到电子邮件或初始 admin 密码已过期,您必须提交 支持票据,红帽团队将协助您执行后续步骤。
3.2. 接受私有服务
私人优惠将直接从 Red Hat 销售商发送给您。专用优惠包括适用于您的帐户的特定定价和许可条款并具有过期日期。如果您不接受该日期的提供,您将会被移到该产品的公共提供,或者不再订阅它。
先决条件
- AWS 帐户
红帽销售您购买单单并通过电子邮件向您提供问题。
- 有关手动步骤,请参阅查看和订阅 AWS Marketplace 中的私有 服务页面
流程
- 单击私人优惠电子邮件中的链接接受条款。
- 登录到 AWS 帐户。
- 导航到 AWS Marketplace 的 Private Offers 页面。如果您已接受您的服务,您可以在 Manage subscription 页中找到它。
- 点 Offer ID 列下的 URL。这会将您重定向到 offer Selection 页面。
- 点 。
。这会将您重定向到 Red Hat Single Sign-On,在其中必须:
- 创建或登录到您的红帽帐户。
将您的 AWS 帐户连接到红帽帐户。
- 如果您要第一次连接到您的帐户,您必须接受条款和条件,然后单击 。这会将您重定向到 Red Hat Hybrid Cloud Console 上的 Provision environment 页面。您可以在此处开始配置您的环境。
输入 AWS 帐户 ID 并点 。
- 这个帐户 ID 必须是从 AWS 市场购买所提供的帐户 ID。系统无法识别关联的或嵌套帐户。
- 验证 AWS ID 后,点 。
- 选择您需要的区域,。
- 单击 。
验证
这会将您重定向到 Instances 的 Environment 详情页面,您可以在其中查看创建实例的所有详细信息。您可以在此处检查您的实例是否为 Ready 还是仍然处于 Provision in progress 状态。
置备您的环境可能需要两小时时间。准备就绪后,您将收到与您的帐户关联的地址的确认电子邮件。
尽快更新您的密码。确认电子邮件包含指向 admin 密码的链接,您将使用该密码登录并更改密码。此链接是一次性使用的,因此在单击之前准备。
如果您没有收到电子邮件或初始 admin 密码已过期,您必须提交 支持票据,红帽团队将协助您执行后续步骤。
3.3. 产品通知 Feed
Ansible Automation Platform RSS 通知源有有效的 2025 年 7 月。此源充当与客户通信各种产品更新和更改的方法。
通过访问 announcements.ansiblecloud.redhat.com/feed.atom,用户可以订阅通知。使用 RSS 源读取器,客户会使用 Ansible Automation Platform 升级和系统维护等事件进行更新。
所有 Ansible Automation Platform 客户都可以订阅此内容。消息包括分类标签,以指定部署类型:managed、self-managed (内部)或组合。红帽正在开发一个将来的增强功能,将此功能直接集成到 UI 中。
在订阅了 AWS 上的 Ansible Automation Platform Service 并可以访问 Ansible Automation Platform 后,您必须配置自动化网格节点并设置自动化作业。
有关配置自动化网格的帮助,请参阅 受管云或 operator 环境的自动化网格。
不要更改 "Gateway proxy URL" 设置。更改网关代理可能会导致状态页面中出现假中断。
服务定义详细介绍了红帽之间的共享职责,其管理 control plane 以及管理执行平面的客户。
5.1. 帐户管理
本节概述计费和环境管理操作。
5.1.1. 账单
Red Hat Ansible Automation Platform Service on AWS 通过 Amazon Web Services (AWS)进行计费。定价基于受管节点的数量和相关基础架构管理成本。在账单周期开始时,预先购买受管活跃节点提供折扣等级。
该服务包含一个 Ansible Automation Platform 部署,以及 10 个 Red Hat Enterprise Linux (RHEL)权利用于运行您的自动化执行平面。
5.1.2. deployment-self-service
您可以自助服务部署,包括但不限于以下操作:
- 在 AWS 环境中购买并部署 Ansible Automation Platform。
- 取消 AWS 环境订阅上的 Ansible Automation Platform。
当您取消或不更新 AWS Marketplace 中的订阅时,该服务会在取消后开始取消置备过程 72 小时。
系统在取消订阅后在有限时间内保留加密备份,以防止意外取消订阅数据丢失。
您可以在取消订阅后请求完整清除备份数据,了解存在持久性数据丢失。
如果您启动取消,您的部署将开始关闭。如果您启动取消错误,则从初始取消开始 72 小时 即可提交支持票据,红帽团队将协助您恢复已取消的部署。
5.1.3. 地区和可用性区域
每个支持的区域都与一个 companion AWS 区域配对,其中备份数据存储在另一个 AWS 区域中需要恢复的主区域。
如需支持的 和备份区域列表,请参阅备份和恢复 区域。
5.1.4. 服务级别协议
任何服务本身的服务级别协议(SLA)都在 Red Hat Enterprise Agreement 产品 附录 4 (在线订阅服务)的附录 4 (在线订阅服务)中定义。
5.1.4.1. 有限支持状态
当部署过渡到 "Limited Support" 状态时,红帽将不再对 execution plane 问题进行故障排除。
SLA 不再适用,并且拒绝针对 SLA 请求的学分。但是,这并不意味着您丢失了所有产品支持。如果您解决了导致有限状态的问题,部署可能会返回完全支持。
部署可能会因为以下原因移至有限支持状态,包括:
- 缺少执行平面
- 自动化需要一个客户执行平面。如果您还没有配置了一个或者处于降级状态,则必须在收到自动化支持前修复这些问题。
- 不支持的 Execution Plane 依赖项
- Red Hat Enterprise Linux (RHEL)和基于 OpenShift 的执行平面都需要常规维护和升级,以满足 Ansible Automation Platform 依赖项的最低支持版本。您可以使用各种方法升级这些资源,如 Ansible 进行修补、Red Hat Satellite 或 DNF 自动更新。使用支持的 Ansible Automation Platform 更新 OS、集群和 receptor 资源有助于减少支持问题。
5.1.5. 职责
了解您的职责和红帽职责。了解这些角色可帮助您有效地管理产品。
| 功能 | Red Hat | 客户 |
|---|---|---|
| control plane 基础架构 | ✓ | ┄ |
| 执行平面基础架构 | ┄ | ✓ |
| control plane 部署 | ✓ | ┄ |
| control plane 的正常运行时间 | ✓ | ┄ |
| control plane 升级 | ✓ | ┄ |
| control plane 备份和恢复 | ✓ | ┄ |
| control plane 安全性 | ✓ | ┄ |
| 执行平面(自动化网格)部署 | ┄ | ✓ |
| 执行平面正常运行时间 | ┄ | ✓ |
| 执行平面升级 | ┄ | ✓ |
| 执行 plane 备份和恢复 | ┄ | ✓ |
| 执行平面安全 | ┄ | ✓ |
| 设置和配置 | ┄ | ✓ |
| 自动化内容 | ┄ | ✓ |
| 应用程序集成 | ┄ | ✓ |
| 身份和访问 | ┄ | ✓ |
| 监控 SSL 和 TLS 证书过期 | ┄ | ✓ |
5.2. Control plane(控制平面)
Ansible Automation Platform control plane 包括用于管理自动化的应用程序 UI、API、组件和服务。红帽在其自己的基础架构中管理它们。
每个客户部署在基础架构层完全隔离。每个部署都置备自己的专用网络、计算和数据库资源,完全独立于所有其他客户环境。通过强制这种隔离级别,降低数据泄漏或未经授权的跨部署交互的风险,确保操作和信息在其指定环境中仍然被限制。
5.2.1. 客户访问权限
您可以通过 Ansible Automation Platform 用户界面和 API 访问 control plane。
在 AWS 部署的 Ansible Automation Platform Service 初始配置过程中,您将收到部署的 URL。您还可以通过 Red Hat Hybrid Cloud Console (HCC)找到此信息。
管理员帐户的初始密码提供给执行初始部署的 HCC 用户。
您必须在首次登录到 Ansible Automation Platform 后立即更改此初始密码。
如果您需要帮助访问部署,请通过红帽客户门户网站提交支持请求。
您可以使用您拥有的域名,为 AWS 上的 Ansible Automation Platform Service 提供自定义 URL。要为部署请求自定义域名,您可以提交客户支持请求以启动配置过程。Red Hat SRE 团队将参与支持票据,以便在后续步骤中进行协作。有关配置信息,请参阅自定义域部分。https://docs.redhat.com/en/documentation/ansible_on_clouds/2.x/html/red_hat_ansible_automation_platform_service_on_aws/saas-service-definition#con-saas-custom-domain
5.2.2. 服务正常运行时间
Red Hat Ansible Automation Platform Service on AWS 的正常运行时间会根据 Ansible Automation Platform control plane 的用户访问和功能来测量。这通过产品 Web 用户界面和 REST API 的正常运行时间来衡量。
测量是通过成功 HTTP 响应代码(200)计算为 UI 和 API 的入口点。如果其中任何一个返回失败的响应代码,或者不可用并完全超时,则该服务将被视为处于中断状态。执行平面(由客户管理的正常运行时间)没有包括在服务的正常运行时间中。客户负责确保执行平面具有冗余性、可扩展且可用,以满足客户正常运行时间目标。
5.2.3. SRE 访问和管理
站点可靠性工程(SRE)访问仅限于运行 Ansible Automation Platform 的基础架构和服务。红帽仅在特殊情况下访问 Ansible Automation Platform 接口或 API,比如在支持参与期间。
SRE 对 control plane 资源的访问仅限于需要人工干预且无法自动化的操作。任何访问都遵循一个请求与approval 进程,并被审核,以确保只有授权人员才能执行这些操作。
SREs 在以下情况下收集资源和审计数据:
- SRE 团队使用允许临时访问的工具请求访问集群资源。这个工具会生成一个日志条目,详细描述了时间以及请求访问权限的 SRE 团队成员。
- 为客户实例上执行的任何管理操作创建审计日志,并发送到集中式日志记录系统。
红帽每 30 天删除一次作业日志。
5.2.4. 备份和恢复
红帽在每个部署独立的区域中维护日常数据库和文件系统快照。
| 组件 | 快照频率 | 保留策略 |
| 数据库 | 每日 | 7 天 |
| 文件系统 | 每日 | 7 天 |
如果 AWS 区域中断无法在合理的时间内解决,则使用此恢复数据。
客户数据根据部署区域复制到预定义的次要区域。当前对的区域有:
| 主区域 | 业务连续性区域 |
|---|---|
| af-south-1 | ap-southeast-2 |
| ap-east-1 | ap-south-1 |
| ap-southeast-2 | ap-south-1 |
| ca-central-1 | us-east-2 |
| eu-central-1 | eu-central-2 |
| eu-central-2 | eu-central-1 |
| eu-west-1 | eu-north-1 |
| eu-west-2 | eu-west-1 |
| us-east-1 | us-west-2 |
| us-east-2 | us-west-2 |
| us-west-2 | us-east-1 |
要在不同的 AWS 区域中恢复 Ansible Automation Platform 部署,客户必须提交从可用选项指定首选部署区域的请求。红帽评估请求,并开始在该区域中构建实例。来自上一实例的数据已从客户的业务连续性区域中恢复。客户负责任何必要的部署后网络配置,将新实例集成到其环境中。
备份数据不能被客户直接访问。数据仅用于出现基础架构故障,而不适用于客户配置错误。红帽建议您使用配置即代码实践来维护您配置的客户托管备份。
5.2.5. 基础架构监控
红帽负责监控 control plane。您无法访问为运行 control plane 的资源添加任何额外的监控。
5.2.6. 应用程序监控和客户审计
Ansible Automation Platform 活动流提供有关访问 Ansible Automation Platform 和用法的详细信息。要保留此信息进行审核或合规,您必须将日志导出到受支持的日志记录服务,以进行保留和查询。
5.2.7. 状态通知
红帽通过 Red Hat Hybrid Cloud Console 与 Red Hat Ansible Automation Platform Service on AWS 集群健康和状态沟通,向原始部署联系人发送电子邮件通知,以及您指定的任何其他联系人。
5.2.8. 安全性
平台是一个具有强大内置安全性的托管服务,包括在静态和传输(AES-256)中的 RBAC 和数据加密。
5.2.8.1. 身份和访问管理
Ansible Automation Platform 包含内置的用户模型,用于配置定义访问权限的用户和 RBAC 权限。
红帽建议在 Ansible Automation Platform 中使用企业身份提供程序为用户实施多因素身份验证。如需更多信息,请参阅 访问管理和身份验证 指南。
红帽建议至少使用长期复杂的密码保持一个本地管理员帐户,以便进行紧急访问。
5.2.8.2. Encryption
使用 AWS KMS Service 在数据库和文件系统中加密数据,它使用 AES-256 加密。传输中的数据使用 TLS 1.2 或更高版本加密。
我们使用 AWS 客户受管密钥(CMK)在数据库、Amazon S3 存储桶和 AWS Secret Manager secret 之间强制实施加密。这些 KMS 密钥在客户管理的密钥下的 AWS 密钥管理服务(KMS)中安全存储。KMS 密钥会每 365 天自动轮转,以减少密钥破坏的风险。Amazon S3 存储桶用于自动化中心配置和备份。使用 AWS Secret Manager secret 存储敏感信息,如凭证和配置详情。
5.2.9. 托管的组件
此产品的目标是将 Ansible Automation Platform 部署作为托管服务提供,从而使客户需要管理 Ansible Automation Platform control plane。除非另有指定,否则支持基于 Operator 的部署模型中的所有 Ansible Automation Platform 功能。
| 功能 | 可用性计划 |
| Event-Driven Ansible | 此服务不直接提供 Event-Driven Ansible,但您可以部署可用于该服务的 Event-Driven Ansible 的自我管理实例。 |
5.2.10. 自定义域
Ansible Automation Platform control plane 可通过其用户界面、API 和网格入口访问。虽然每个服务实例都有自动生成的红帽 URL,但您可以设置一个自定义域。这个自定义过程会根据您计划使用 AWS PrivateLink 的不同而有所不同。
要使用自定义域,您必须根据服务的连接模型配置三个 DNS 记录。在以下部分中将更详细地阐述这些记录。这些记录的惯例有:
-
platform.<optional_subdomain.exampledomain.com> -
mesh-ingress-0.<optional_subdomain.exampledomain.com> -
mesh-ingress-1.<optional_subdomain.exampledomain.com>
您可以在您拥有的域下创建自定义子域。
5.2.10.1. 为自定义域规划
要为部署设置自定义域,您必须完成几个准备步骤,包括域识别和 TLS 证书创建。此流程概述了必要的规划活动,以确保成功使用自定义 URL 配置 Red Hat SRE 帮助。
先决条件
- 确保您已管理要使用的域或子域,以便添加多个记录。
- 确保用于解析记录的 DNS 服务器都必须在您想要使用域的地方访问。
-
确保对部署中的所有 URL 使用同一域(例如,将
exampledomain.com用于自定义 URL)。
流程
- 确定您要使用的域或子域。
创建 TLS 证书。
为确保自定义域 TLS 证书的有效性,您必须确认是否为平台记录生成证书,并将所有 mesh-ingress 记录包含在 Subject Alternative Name (SAN)参数中。或者,您可以选择生成通配符证书来覆盖主自定义域的子域。
重要自定义域的 TLS 证书要求:
- 初始设置:在提供新证书时,必须至少有一年或更长的过期日期。这是我们对证书管理流程的要求。
- 续订:您负责监控证书过期。为确保不间断服务,您必须开始支持过程,以便在其过期前至少更新 14 天。
创建一个支持问题单,红帽为部署请求自定义 URL 配置并提供以下信息:
- 公司名称
-
部署信息(例如,
cus-xxxx) -
自定义域(例如,
exampledomain.com)
- 允许 SRE 团队将配置应用到您的部署,验证功能,并通过支持票据与您合作后续步骤。
配置完成后,将自定义域应用到您的部署。
注意您的原始 mesh-ingresses 不可用,而是使用自定义域的新入口。
- 如果您之前使用旧域配置执行节点,请重新配置执行节点。
5.2.10.2. 设置没有 AWS PrivateLink 的自定义域
如果您不计划连接到 Ansible Automation Platform UI,或通过 AWS PrivateLink 使用自动化网格,请完成以下步骤来配置 DNS。
流程
识别部署的负载均衡器的规范名称。
您可以使用红帽生成的 URL 上的 DNS 查找来识别两个负载均衡器的 DNS 名称:
Shell # Replace the URL with the "platform" URL of your deployment dig platform.cus-<id>.aws.ansiblecloud.com
Shell # Replace the URL with the "platform" URL of your deployment dig platform.cus-<id>.aws.ansiblecloud.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow Shell # Replace the URL with the "mesh-ingress" URL of your deployment dig mesh-ingress-0.cus-<id>.aws.ansiblecloud.com
Shell # Replace the URL with the "mesh-ingress" URL of your deployment dig mesh-ingress-0.cus-<id>.aws.ansiblecloud.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用以下主机名为您的自定义域创建 DNS CNAME 记录,指向上一步中标识的 DNS 名称:
-
platform (例如,
platform.exampledomain.com) →cus-xxxxx-alb-11111111.us-east-1.elb.amazonaws.com -
Mesh-ingress-0 (如
mesh-ingress-0.exampledomain.com) →xxxxx.elb.us-east-1.amazonaws.com -
Mesh-ingress-1 (如
mesh-ingress-1.exampledomain.com) →xxxxx.elb.us-east-1.amazonaws.com
-
platform (例如,
5.2.10.3. 使用 AWS PrivateLink 设置自定义域
如果您计划连接到 Ansible Automation Platform UI,或通过 AWS PrivateLink 使用自动化网格,请完成以下步骤来配置 DNS。
流程
通过执行以下步骤,检索您创建的 Amazon Virtual Private Cloud (VPC)端点的主要 DNS 名称,以连接到 AWS PrivateLink 端点服务:
- 登录 Amazon Web Services 门户,再选择 → 。
- 点 Red Hat Ansible Automation Platform Service on AWS 的 VPC 端点。
检索 Details 选项卡中的 DNS 名称。
有几个条目。要查找正确的 DNS 名称,请转至 Details 选项卡,并查找没有绑定到特定可用区(AZ)的条目。例如,选择
vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com,而不是包括一个 AZ,如us-east-1a或us-east-1b。另外,您可以选择使用 Amazon Web Services CLI 来检索该端点的 DNS 名称:
Shell aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-xxxx --query 'VpcEndpoints[0].DnsEntries[*].DnsName'
Shell aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-xxxx --query 'VpcEndpoints[0].DnsEntries[*].DnsName'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
检索 DNS 名称后,使用以下主机名指向上一步中标识的 DNS 名称,为自定义域创建 DNS CNAME 记录:
-
platform (例如,
platform.exampledomain.com) →vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com -
Mesh-ingress-0 (如
mesh-ingress-0.exampledomain.com) →vpce-xxxx-xxxx.vpce-xxxx-xxxx.us-east-1.vpce.amazonaws.com -
Mesh-ingress-1 (如
mesh-ingress-1.exampledomain.com) →vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com
-
platform (例如,
5.3. 执行平面
您只能在默认或控制器执行平面上运行测试和清理作业。所有其他自动化都必须配置为在执行平面上运行。
作为 AWS 订阅上的 Ansible Automation Platform Service 的一部分,您会收到 10 个 Red Hat Enterprise Linux (RHEL)权利来运行执行 plane。可以单独购买其他 RHEL 或 OpenShift 许可证。
5.3.1. 形成
执行平面的大小并形成取决于自动化类型以及连接到网格的位置。对自动化网格实现使用以下指南:
Ansible Automation Platform 最低要求:
hop Nodes: Red Hat Ansible Automation Platform Service on AWS 包括两个跃点节点,供客户用于与执行节点对等。它们通常需要最少的资源。跃点节点形成取决于连接的执行节点的数量。具有 2 个 vCPU 和 2 GB RAM 的虚拟机(VM)可以路由 2-4 执行节点的流量。
- 有关配置自动化网格的帮助,请参阅 受管云或 operator 环境的自动化网格。
- 对于在较少位置(如特定地域或云)的自动化,请创建一个可垂直扩展的虚拟机的网格。大多数云和虚拟机监控程序都允许以最少的停机时间进行大量更改。
- 对于 CPU 或 RAM 密集型自动化,请使用更大的机器组成。
- 对于跨越多个位置的自动化,创建一个带有连接到这些位置的节点的网格。
- 考虑使用不同的 CPU 架构,如 ARM 和保留实例来降低 execution plane 成本。
- 要在自动化网格中配置冗余,请在同一区域的不同可用区中设置至少两个相同的网格节点,将每台机器连接到两个托管的跃点节点。
- 如果需要自动扩展执行平面,请使用 OpenShift。
5.3.2. 网络
了解自动化网格架构以及 execution plane 的连接要求
5.3.2.1. Automation mesh
AWS 上的 Ansible Automation Platform 服务提供默认的 "mesh-ingress" hop 节点。这些托管跃点节点允许通过客户专用网络的出口来轮询自动化工作,无需打开入站防火墙端口。托管跃点节点对入站流量使用端口 443。
以下是使用仅出口互联网通过此模型连接到 Ansible Automation Platform Service 的专用地址空间中的执行节点示例。
您还可以使用从 control plane 到执行平面的出站连接配置自动化网格,允许您指定自动化网格使用的端口。
您可以使用 Automation mesh 作为受管云或 Operator 环境 文档。
5.3.2.2. 连接性
执行平面可以在以下情况下与 control plane 通信:
- polling (mesh-ingress):执行节点必须通过端口 443 将有状态出口流量路由到 Ansible Automation Platform 部署域。
- push :必须在客户的远程网络中打开可配置的防火墙端口,以便 Ansible Automation Platform 将信息推送到执行节点。
您可以在防火墙、代理服务器和类似服务后配置自动化网格节点。这些服务路由或代理来自 Ansible Automation Platform 的流量,而不更改影响自动化网格功能的标头、有效负载或其他信息。
您可以通过 客户支持请求 向红帽支持团队提供 CIDR 块来限制对 control plane 的访问。这控制了对 control plane 的入站访问,将其限制为通过公共互联网为流量提供的 IP 范围。这些规则的应用程序不适用于通过 PrivateLink 的流量。这些限制不会影响源自 control plane 的出站流量。
5.3.3. 监控
您可以在 execution plane 中配置您选择的监控和强化工具。您负责其操作、功能和维护,确保不会干扰 execution plane 的操作。
执行平面上的任何其他工作负载都需要来自部署工具的虚拟机或 OpenShift 集群中的额外资源。确保相应地调整资源大小,以适应这些额外要求。
5.3.4. DNS
执行节点使用主机机器的 DNS 配置进行 DNS 查询。使用标准 RHEL 网络实践配置 DNS,以确保在自动化执行过程中正确查找。
5.3.5. 带有重叠 CIDR 块的网络
自动化网格将 control plane 连接到共享相同无类别域间路由(CIDR)块的多个网络(即,在不同云或数据中心间重复相同的类 A 地址空间)。执行节点将其部署网络视为本地网络。您必须至少有一个执行节点实例与每个网络中目标自动化的实例组配对。
5.3.6. 更新和维护
自动化网格执行节点旨在尽可能减少在更新 control plane 时修补执行平面的需求。但是,以后对技术的更新需要客户参与更新每个执行平面节点的组件。
需要补丁时,客户应遵循更新自动化网格节点的过程。有关更新 receptor 的帮助,请参阅 Automation mesh for managed cloud 或 operator 环境的 Updating Receptors 部分。
5.4. 支持
AWS 上的 Red Hat Ansible Automation Platform 服务包括红帽高级支持,可通过 红帽客户门户访问。
如需支持响应时间,请参阅 产品支持条款。
AWS 支持取决于客户对 AWS 的现有支持合同。
第 6 章 Red Hat Ansible Automation Platform 最佳实践
本节介绍 Ansible Automation Platform 产品使用的特定内容或上下文,用于将 Ansible Automation Platform 用作服务。
6.1. 配置自动化以使用实例组
Red Hat Ansible Automation Platform Service on AWS 要求客户实施自己的自动化执行平面。
作业模板必须使用客户配置的实例或容器组来运行。如果省略,作业运行似乎无法正常工作,并最终因为自动化执行失败而超时。每个作业模板都必须分配给客户配置的实例组才能正常工作。
6.2. 将内容与私有自动化中心同步
私有自动化中心允许您尝试同步自动化中心或 Ansible Galaxy 之间的所有内容。但是,由于此类大型任务的存储和资源需求,此同步会失败。
当从外部来源同步内容时,将同步限制为您的组织计划使用的集合,重点放在最近或已知的版本来减少同步范围。
私有链路连接是云环境中常用的网络功能。私有链路连接允许服务通过安全、内部网络私有通信,而无需向公共互联网公开流量。在 AWS 上,私有链路连接称为 AWS PrivateLink。
7.1. 私有链接连接的主要优点
为确保最大网络隔离和安全性,AWS PrivateLink 连接为 Ansible Automation Platform Service on AWS 建立私有连接,这一点非常重要,因为:
- 它可让 AWS control plane 上的 Ansible Automation Platform 服务连接到托管在私有网络上的项目及执行环境存储库,这些存储库无法从公共互联网访问。
- 它将自动化网格数据保留在专用网络中,而不是遍历公共互联网。
无论自动化网格如何连接,自动化网格都使用行业标准 TLS 加密。请考虑此流量与所有 TLS 流量相同。
7.2. AWS PrivateLink 的工作原理
AWS PrivateLink 连接同时支持(入口)和(出口)Ansible Automation Platform control plane。
有关 AWS PrivateLink 如何工作的更多信息,请参阅 Amazon Virtual Private Cloud 文档。
对于到 control plane 的 AWS PrivateLink 连接,AWS Endpoint Service 已将 AWS PrivateLink 连接自动置备到 AWS 环境中的 control plane。您必须在 Virtual Private Cloud (VPC)中创建一个 AWS 端点来连接到此服务,并启用端点服务主机名的专用 DNS 解析。在这个版本中,来自 VPC 到 control plane API 或网格入口的任何流量都连接到私有 IP 地址,且不会遍历公共互联网。流量是有状态的,因此不需要以相反方向打开私有链接,以响应来自客户 VPC 的传输控制协议(TCP)请求
您可以将 Ansible Automation Platform 配置为使用外部资源,如源代码存储库、容器 registry 和执行节点。默认情况下,control plane 通过公共互联网连接到这些资源。但是,如果您的资源不能公开,您可以使用 AWS PrivateLink 安全地访问私有资源,而无需绕过公共互联网。
AWS PrivateLink 连接允许 Ansible Automation Platform control plane 私有连接到您的资源,包括、registry、存储库和执行节点。流量是有状态的,无需在响应来自 control plane VPC 的传输控制协议(TCP)请求中打开私有链接。
要启用从 control plane 到您的私有资源的 AWS PrivateLink 连接,请在 VPC 中创建一个或多个 Endpoint Services。然后联系红帽支持来创建使用的端点。
在 VPC 中创建 Endpoint Service 时,您必须启用 Private DNS 选项。这样可确保 Ansible Automation Platform control plane 可以使用 AWS PrivateLink 上的指定域解析和连接到您的服务。私有 DNS 启用 Ansible Automation Platform 的 DNS 查询解析为接口端点的专用 IP 地址,从而通过 PrivateLink 促进安全通信和直接通信。
本文档没有涵盖 PrivateLink 连接所需的所有步骤。要完成 PrivateLink 连接,您必须通过客户支持门户与红帽合作。
7.3. 启用 AWS PrivateLink 连接
要启用私有链接连接,请提交客户支持票据,红帽团队将协助您执行后续步骤。
您必须为双向连接创建两个支持问题单:一个支持问题单,用于启用 AWS PrivateLink 连接到 control plane,另一个用于启用 control plane 的 AWS PrivateLink 连接。
流程
导航到 客户支持。这些字段自动填充,但确认:
- 帐户 字段显示您的客户帐户
- Owner 字段显示您的登录
- Product 字段显示 Red Hat Ansible Automation Platform On Clouds
- Version 字段显示 AWS - Managed Service
- 选择 Configuration 为您提供什么帮助? 部分。
- 点 。
使用以下模板中的值,将值复制到支持请求的 Title 中,并描述 您的问题 部分。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 点 。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}