2.2. 安装

Ansible Automation Platform 安装程序可以从其中一个基础架构服务器运行，如自动化控制器，或者从可通过 SSH 访问 Ansible Automation Platform 基础架构服务器的外部系统运行。Ansible Automation Platform 安装程序也不用于安装，而是用于后续第二天操作，如备份和恢复，以及升级。本指南建议从专用外部服务器执行安装和第二天操作，此处称为安装主机。这样做消除了登录其中一个基础架构服务器以运行这些功能的需求。安装主机必须仅用于管理 Ansible Automation Platform，且不得运行任何其他服务或软件。

安装主机必须是已安装和配置的 Red Hat Enterprise Linux 服务器，根据 Red Hat Enterprise Linux 的安全强化 以及与您的机构相关的任何安全配置文件(CIS、STIG 等)。获取 Ansible Automation Platform 安装程序，如 自动化平台规划指南中所述，按照 Automation Platform 安装指南中所述 创建安装程序清单文件。此清单文件用于升级、添加基础架构组件和由安装程序执行第二天操作，因此在安装后保留 文件以备将来使用。

对安装主机的访问必须仅限于负责管理 Ansible Automation Platform 基础架构的人员。随着时间的推移，它将包含敏感信息，如安装程序清单（其中包含 Ansible Automation Platform 的初始登录凭据）、用户提供的 PKI 密钥和证书的副本、备份文件等。如果需要基础架构管理和维护，还必须使用安装主机通过 SSH 登录 Ansible Automation Platform 基础架构服务器。

安装清单文件定义了 Ansible Automation Platform 基础架构的架构，并提供了很多变量，可用于修改基础架构组件的初始配置。如需有关安装程序清单的更多信息，请参阅 Ansible Automation Platform 安装指南。

下表列出了一些与安全相关的变量，以及它们的建议值用于创建安装清单。

在负载均衡器用于多个控制器或 hub 的参考架构中，SSL 客户端连接可以在负载均衡器终止，或传递给单独的 Ansible Automation Platform 服务器。如果 SSL 在负载均衡器终止，本指南建议流量从负载均衡器重新加密到单个 Ansible Automation Platform 服务器，以确保使用端到端加密。在这种情况下，表 2.3 中列出的 *_disable_https 变量会保留默认值 "false"。

默认情况下，Ansible Automation Platform 为平台的基础架构组件创建自签名 PKI 证书。如果现有的 PKI 基础架构可用，必须为自动化控制器、私有自动化中心、Event-Driven Ansible 控制器和 postgres 数据库服务器生成证书。将证书文件复制到安装程序目录中，以及用于验证证书的 CA 证书。

使用以下清单变量，以使用新证书配置基础架构组件。

当使用负载均衡器部署多个自动化控制器时，web_server_ssl_cert 和 web_server_ssl_key 会为每个控制器共享。要防止主机名不匹配，证书的通用名称(CN)必须与负载均衡器使用的 DNS FQDN 匹配。这在部署多个私有自动化中心和 automationhub_ssl_cert 和 automationhub_ssl_key 变量时也适用。如果您的机构策略为每个服务都需要唯一的证书，每个证书都需要一个 Subject Alt Name (SAN)，它与用于负载均衡服务的 DNS FQDN 匹配。要在每个自动化控制器上安装唯一的证书和密钥，安装清单文件中的证书和密钥变量必须定义为每个主机变量，而不是在 [all:vars] 部分中。例如：

[automationcontroller]
controller0.example.com web_server_ssl_cert=/path/to/cert0 web_server_ssl_key=/path/to/key0
controller1.example.com web_server_ssl_cert=/path/to/cert1 web_server_ssl_key=/path/to/key1
controller2.example.com web_server_ssl_cert=/path/to/cert2 web_server_ssl_key=/path/to/key2

[automationhub]
hub0.example.com automationhub_ssl_cert=/path/to/cert0 automationhub_ssl_key=/path/to/key0
hub1.example.com automationhub_ssl_cert=/path/to/cert1 automationhub_ssl_key=/path/to/key1
hub2.example.com automationhub_ssl_cert=/path/to/cert2 automationhub_ssl_key=/path/to/key2

安装清单文件包含多个敏感变量，主要用于设置 Ansible Automation Platform 使用的初始密码，它们通常以纯文本形式保存在清单文件中。为防止未经授权的查看这些变量，您可以将这些变量保存在加密的 Ansible vault 中。要做到这一点，进入安装程序目录并创建 vault 文件：

系统将提示您输入新 Ansible vault 的密码。不要丢失 vault 密码，因为每次需要访问 vault 文件时都需要它，包括在第二天操作和执行备份过程中。您可以通过将 vault 密码存储在加密的密码管理器中或根据您的组织策略安全地存储密码来保护 vault 密码。

在密码库中添加敏感变量，例如：

admin_password: <secure_controller_password>
pg_password: <secure_db_password>
automationhub_admin_password: <secure_hub_password>
automationhub_pg_password: <secure_hub_db_password>
automationhub_ldap_bind_password: <ldap_bind_password>
automationedacontroller_admin_password: <secure_eda_password>
automationedacontroller_pg_password: <secure_eda_db_password>

确保安装清单文件中不存在这些变量。要将新的 Ansible 库与安装程序搭配使用，请使用命令 ./setup.sh -e @vault.ymlcategories-unmarshal--ask-vault-pass 来运行。

对于使用 Defense Information Systems Agency (DISA)安全技术实施指南(STIG)作为其整体安全策略的一部分，现在提供了 用于 Ansible Automation Platform 自动化控制器的 STIG。STIG 目前仅涵盖 Ansible Automation Platform 的自动化控制器组件。将 STIG 应用到自动化控制器时，需要注意很多注意事项。

自动化控制器 STIG 概述文档指出它要与 Red Hat Enterprise Linux 8 的 STIG 一起使用。此版本的自动化控制器 STIG 在 Red Hat Enterprise Linux 9 可用前发布，因此在应用自动化控制器 STIG 时，Red Hat Enterprise Linux 8 应该用作底层主机操作系统。某些 Red Hat Enterprise Linux 8 STIG 控制将与 Ansible Automation Platform 安装和操作冲突，如以下部分所述。