红帽全球峰会5.2. Control plane(控制平面)
Ansible Automation Platform control plane 包括用于管理自动化的应用程序 UI、API、组件和服务。红帽在其自己的基础架构中管理它们。
每个客户部署在基础架构层完全隔离。每个部署都置备自己的专用网络、计算和数据库资源,完全独立于所有其他客户环境。通过强制这种隔离级别,降低数据泄漏或未经授权的跨部署交互的风险,确保操作和信息在其指定环境中仍然被限制。
5.2.1. 客户访问权限
您可以通过 Ansible Automation Platform 用户界面和 API 访问 control plane。
在 AWS 部署的 Ansible Automation Platform Service 初始配置过程中,您将收到部署的 URL。您还可以通过 Red Hat Hybrid Cloud Console (HCC)找到此信息。
管理员帐户的初始密码提供给执行初始部署的 HCC 用户。
您必须在首次登录到 Ansible Automation Platform 后立即更改此初始密码。
如果您需要帮助访问部署,请通过红帽客户门户网站提交支持请求。
您可以使用您拥有的域名,为 AWS 上的 Ansible Automation Platform Service 提供自定义 URL。要为部署请求自定义域名,您可以提交客户支持请求以启动配置过程。Red Hat SRE 团队将参与支持票据,以便在后续步骤中进行协作。有关配置信息,请参阅自定义域部分。https://docs.redhat.com/en/documentation/ansible_on_clouds/2.x/html/red_hat_ansible_automation_platform_service_on_aws/saas-service-definition#con-saas-custom-domain
5.2.2. 服务正常运行时间
Red Hat Ansible Automation Platform Service on AWS 的正常运行时间会根据 Ansible Automation Platform control plane 的用户访问和功能来测量。这通过产品 Web 用户界面和 REST API 的正常运行时间来衡量。
测量是通过成功 HTTP 响应代码(200)计算为 UI 和 API 的入口点。如果其中任何一个返回失败的响应代码,或者不可用并完全超时,则该服务将被视为处于中断状态。执行平面(由客户管理的正常运行时间)没有包括在服务的正常运行时间中。客户负责确保执行平面具有冗余性、可扩展且可用,以满足客户正常运行时间目标。
5.2.3. SRE 访问和管理
站点可靠性工程(SRE)访问仅限于运行 Ansible Automation Platform 的基础架构和服务。红帽仅在特殊情况下访问 Ansible Automation Platform 接口或 API,比如在支持参与期间。
SRE 对 control plane 资源的访问仅限于需要人工干预且无法自动化的操作。任何访问都遵循一个请求与approval 进程,并被审核,以确保只有授权人员才能执行这些操作。
SREs 在以下情况下收集资源和审计数据:
- SRE 团队使用允许临时访问的工具请求访问集群资源。这个工具会生成一个日志条目,详细描述了时间以及请求访问权限的 SRE 团队成员。
- 为客户实例上执行的任何管理操作创建审计日志,并发送到集中式日志记录系统。
红帽每 30 天删除一次作业日志。
5.2.4. 备份和恢复
红帽在每个部署独立的区域中维护日常数据库和文件系统快照。
| 组件 | 快照频率 | 保留策略 |
| 数据库 | 每日 | 7 天 |
| 文件系统 | 每日 | 7 天 |
如果 AWS 区域中断无法在合理的时间内解决,则使用此恢复数据。
客户数据根据部署区域复制到预定义的次要区域。当前对的区域有:
| 主区域 | 业务连续性区域 |
|---|---|
| af-south-1 | ap-southeast-2 |
| ap-east-1 | ap-south-1 |
| ap-southeast-2 | ap-south-1 |
| ca-central-1 | us-east-2 |
| eu-central-1 | eu-central-2 |
| eu-central-2 | eu-central-1 |
| eu-west-1 | eu-north-1 |
| eu-west-2 | eu-west-1 |
| us-east-1 | us-west-2 |
| us-east-2 | us-west-2 |
| us-west-2 | us-east-1 |
要在不同的 AWS 区域中恢复 Ansible Automation Platform 部署,客户必须提交从可用选项指定首选部署区域的请求。红帽评估请求,并开始在该区域中构建实例。来自上一实例的数据已从客户的业务连续性区域中恢复。客户负责任何必要的部署后网络配置,将新实例集成到其环境中。
备份数据不能被客户直接访问。数据仅用于出现基础架构故障,而不适用于客户配置错误。红帽建议您使用配置即代码实践来维护您配置的客户托管备份。
5.2.5. 基础架构监控
红帽负责监控 control plane。您无法访问为运行 control plane 的资源添加任何额外的监控。
5.2.6. 应用程序监控和客户审计
Ansible Automation Platform 活动流提供有关访问 Ansible Automation Platform 和用法的详细信息。要保留此信息进行审核或合规,您必须将日志导出到受支持的日志记录服务,以进行保留和查询。
5.2.7. 状态通知
红帽通过 Red Hat Hybrid Cloud Console 与 Red Hat Ansible Automation Platform Service on AWS 集群健康和状态沟通,向原始部署联系人发送电子邮件通知,以及您指定的任何其他联系人。
5.2.8. 安全性
5.2.8.1. 身份和访问管理
Ansible Automation Platform 包含内置的用户模型,用于配置定义访问权限的用户和 RBAC 权限。
红帽建议在 Ansible Automation Platform 中使用企业身份提供程序为用户实施多因素身份验证。如需更多信息,请参阅 访问管理和身份验证 指南。
红帽建议至少使用长期复杂的密码保持一个本地管理员帐户,以便进行紧急访问。
5.2.8.2. Encryption
使用 AWS KMS Service 在数据库和文件系统中加密数据,它使用 AES-256 加密。传输中的数据使用 TLS 1.2 或更高版本加密。
我们使用 AWS 客户受管密钥(CMK)在数据库、Amazon S3 存储桶和 AWS Secret Manager secret 之间强制实施加密。这些 KMS 密钥在客户管理的密钥下的 AWS 密钥管理服务(KMS)中安全存储。KMS 密钥会每 365 天自动轮转,以减少密钥破坏的风险。Amazon S3 存储桶用于自动化中心配置和备份。使用 AWS Secret Manager secret 存储敏感信息,如凭证和配置详情。
5.2.9. 托管的组件
此产品的目标是将 Ansible Automation Platform 部署作为托管服务提供,从而使客户需要管理 Ansible Automation Platform control plane。除非另有指定,否则支持基于 Operator 的部署模型中的所有 Ansible Automation Platform 功能。
| 功能 | 可用性计划 |
| Event-Driven Ansible | 此服务不直接提供 Event-Driven Ansible,但您可以部署可用于该服务的 Event-Driven Ansible 的自我管理实例。 |
5.2.10. 自定义域
Ansible Automation Platform control plane 可通过其用户界面、API 和网格入口访问。虽然每个服务实例都有自动生成的红帽 URL,但您可以设置一个自定义域。这个自定义过程会根据您计划使用 AWS PrivateLink 的不同而有所不同。
要使用自定义域,您必须根据服务的连接模型配置三个 DNS 记录。在以下部分中将更详细地阐述这些记录。这些记录的惯例有:
-
platform.<optional_subdomain.exampledomain.com> -
mesh-ingress-0.<optional_subdomain.exampledomain.com> -
mesh-ingress-1.<optional_subdomain.exampledomain.com>
您可以在您拥有的域下创建自定义子域。
5.2.10.1. 为自定义域规划
要为部署设置自定义域,您必须完成几个准备步骤,包括域识别和 TLS 证书创建。此流程概述了必要的规划活动,以确保成功使用自定义 URL 配置 Red Hat SRE 帮助。
先决条件
- 确保您已管理要使用的域或子域,以便添加多个记录。
- 确保用于解析记录的 DNS 服务器都必须在您想要使用域的地方访问。
-
确保对部署中的所有 URL 使用同一域(例如,将
exampledomain.com用于自定义 URL)。
流程
- 确定您要使用的域或子域。
创建 TLS 证书。
为确保自定义域 TLS 证书的有效性,您必须确认是否为平台记录生成证书,并将所有 mesh-ingress 记录包含在 Subject Alternative Name (SAN)参数中。或者,您可以选择生成通配符证书来覆盖主自定义域的子域。
重要自定义域的 TLS 证书要求:
- 初始设置:在提供新证书时,必须至少有一年或更长的过期日期。这是我们对证书管理流程的要求。
- 续订:您负责监控证书过期。为确保不间断服务,您必须开始支持过程,以便在其过期前至少更新 14 天。
创建一个支持问题单,红帽为部署请求自定义 URL 配置并提供以下信息:
- 公司名称
-
部署信息(例如,
cus-xxxx) -
自定义域(例如,
exampledomain.com)
- 允许 SRE 团队将配置应用到您的部署,验证功能,并通过支持票据与您合作后续步骤。
配置完成后,将自定义域应用到您的部署。
注意您的原始 mesh-ingresses 不可用,而是使用自定义域的新入口。
- 如果您之前使用旧域配置执行节点,请重新配置执行节点。
5.2.10.2. 设置没有 AWS PrivateLink 的自定义域
如果您不计划连接到 Ansible Automation Platform UI,或通过 AWS PrivateLink 使用自动化网格,请完成以下步骤来配置 DNS。
流程
识别部署的负载均衡器的规范名称。
您可以使用红帽生成的 URL 上的 DNS 查找来识别两个负载均衡器的 DNS 名称:
Shell # Replace the URL with the "platform" URL of your deployment dig platform.cus-<id>.aws.ansiblecloud.com
Shell # Replace the URL with the "platform" URL of your deployment dig platform.cus-<id>.aws.ansiblecloud.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow Shell # Replace the URL with the "mesh-ingress" URL of your deployment dig mesh-ingress-0.cus-<id>.aws.ansiblecloud.com
Shell # Replace the URL with the "mesh-ingress" URL of your deployment dig mesh-ingress-0.cus-<id>.aws.ansiblecloud.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用以下主机名为您的自定义域创建 DNS CNAME 记录,指向上一步中标识的 DNS 名称:
-
platform (例如,
platform.exampledomain.com)cus-xxxxx-alb-11111111.us-east-1.elb.amazonaws.com -
Mesh-ingress-0 (如
mesh-ingress-0.exampledomain.com)xxxxx.elb.us-east-1.amazonaws.com -
Mesh-ingress-1 (如
mesh-ingress-1.exampledomain.com)xxxxx.elb.us-east-1.amazonaws.com
-
platform (例如,
5.2.10.3. 使用 AWS PrivateLink 设置自定义域
如果您计划连接到 Ansible Automation Platform UI,或通过 AWS PrivateLink 使用自动化网格,请完成以下步骤来配置 DNS。
流程
通过执行以下步骤,检索您创建的 Amazon Virtual Private Cloud (VPC)端点的主要 DNS 名称,以连接到 AWS PrivateLink 端点服务:
-
登录 Amazon Web Services 门户,再选择
。 - 点 Red Hat Ansible Automation Platform Service on AWS 的 VPC 端点。
检索 Details 选项卡中的 DNS 名称。
有几个条目。要查找正确的 DNS 名称,请转至 Details 选项卡,并查找没有绑定到特定可用区(AZ)的条目。例如,选择
vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com,而不是包括一个 AZ,如us-east-1a或us-east-1b。另外,您可以选择使用 Amazon Web Services CLI 来检索该端点的 DNS 名称:
Shell aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-xxxx --query 'VpcEndpoints[0].DnsEntries[*].DnsName'
Shell aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-xxxx --query 'VpcEndpoints[0].DnsEntries[*].DnsName'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
登录 Amazon Web Services 门户,再选择
检索 DNS 名称后,使用以下主机名指向上一步中标识的 DNS 名称,为自定义域创建 DNS CNAME 记录:
-
platform (例如,
platform.exampledomain.com)vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com -
Mesh-ingress-0 (如
mesh-ingress-0.exampledomain.com)vpce-xxxx-xxxx.vpce-xxxx-xxxx.us-east-1.vpce.amazonaws.com -
Mesh-ingress-1 (如
mesh-ingress-1.exampledomain.com)vpce-xxxx-xxxx.vpce-svc-xxxx.us-east-1.vpce.amazonaws.com
-
platform (例如,
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}