受管云或 Operator 环境的自动化网格

1. 您需要一个 Red Hat Enterprise Linux 操作系统。网格中的每个节点都需要一个静态 IP 地址，或者 Ansible Automation Platform 可访问的 DNS 主机名。
2. 在继续操作前，请确保您具有 RHEL 虚拟机的最低要求。如需更多信息，请参阅 系统要求。

3. 在需要通信的远程网络中部署 RHEL 实例。有关创建虚拟机的详情，请参考 Red Hat Enterprise Linux 文档中的 创建虚拟机。请记住，以足够的方式扩展虚拟机的容量，以便您的提议的任务可以在它们上运行。

   • RHEL ISO 可以从 access.redhat.com 获取。
   • 可以使用来自 console.redhat.com 的镜像构建器构建 RHEL 云镜像。

流程

1. SSH 到每个 RHEL 实例并执行以下步骤。根据您的网络访问和控制，可能需要 SSH 代理或其他访问模型。

   使用以下命令：

   ssh [username]@[host_ip_address]

   例如，对于在 Amazon Web Services 上运行的 Ansible Automation Platform 实例。

   ssh ec2-user@10.0.0.6

2. 创建或复制可用于从跃点节点连接到执行节点的 SSH 密钥。这可以是仅用于自动化网格配置的临时密钥，也可以是长期的密钥。后续步骤中使用 SSH 用户和密钥。

3. 使用 baseos 和 appstream 软件仓库启用 RHEL 订阅。Ansible Automation Platform RPM 存储库只能通过 subscription-manager 提供，不适用于 Red Hat Update Infrastructure (RHUI)。如果您试图使用其它 Linux 占用空间，包括带有 RHUI 的 RHEL，这会导致错误。

   sudo subscription-manager register --auto-attach

   如果为您的帐户启用了简单内容访问，请使用：

   sudo subscription-manager register

   有关简单内容访问的更多信息，请参阅开始使用简单内容访问。

4. 启用 Ansible Automation Platform 订阅和正确的 Red Hat Ansible Automation Platform 频道：

   对于 RHEL 8

   # subscription-manager repos --enable ansible-automation-platform-2.5-for-rhel-8-x86_64-rpms

   对于 RHEL 9

   # subscription-manager repos --enable ansible-automation-platform-2.5-for-rhel-9-x86_64-rpms

   对于 ARM

   # subscription-manager repos --enable ansible-automation-platform-2.5-for-rhel-aarch64-rpms

5. 确定软件包为最新版本：

   sudo dnf upgrade -y

6. 在运行下载的捆绑包的机器上安装 ansible-core 软件包：

   sudo dnf install -y ansible-core

   注意

   运行自动化网格配置捆绑包 playbook 的机器上需要 Ansible 内核。本文档假定在执行节点上发生。但是，如果您从其他机器运行 playbook，则可以省略这一步。您无法直接从控制节点运行，但这目前还不被支持，但将来的支持预期控制节点直接连接到执行节点。

流程

1. 在导航面板中，选择 Automation Execution → Infrastructure → Instances。

2. 在 Instances 列表页面中，单击 Add instance。此时会打开 Add Instance 窗口。

   

   实例需要以下属性：

   • 主机名 ：（必需）为您的实例输入完全限定域名（公共 DNS）或 IP 地址。此字段等同于基于安装程序部署 的主机名。

     注意

     如果实例使用无法从控制集群解析的私有 DNS，DNS 查找路由会失败，并且生成的 SSL 证书无效。改为使用 IP 地址。

   • 可选： 描述 ：输入实例的描述。
   • 实例状态 ：此字段是自动填充的，表示它正在安装，且无法修改。
   • 监听器端口 ：此端口用于 receptor 侦听进入的连接。您可以将端口设置为适合您的配置的端口。此字段等同于 API 中的 listener_port。默认值为 27199，但您可以设置自己的端口值。

   • 实例类型 ：只能创建 execution 和 hop 节点。基于 Operator 的部署不支持控制或混合节点。

     选项：

     • 启用实例 ：选中此框，使它可用于在执行节点上运行。
     • 选中 Managed by policy 复选框，以启用策略来确定如何分配实例。

     • 来自控制节点的对等点 ：

       • 如果要配置跃点节点：

         • 如果跃点节点需要直接从自动化控制器推送请求，请选中 Peers from Control 复选框。
         • 如果跃点节点与另一个跃点节点对等，则确保未 检查来自 Control 的 Peers。

       • 如果要配置执行节点：

         • 如果执行节点需要直接从自动化控制器推送请求，请选中 Peers from Control 复选框。
         • 如果执行节点与跃点节点对等，则确保未 检查来自 Control 的 Peers。
3. 单击 关联对等点。

4. 要验证对等配置和流量的方向，您可以使用拓扑视图查看更新的拓扑的图形表示。这有助于确定可能需要更新防火墙规则的位置。如需更多信息，请参阅 Topology 视图。

   注意

   从任何可通过 SSH 访问新创建的实例的计算机执行以下步骤。

5. 点 Download Bundle 旁边的 图标下载包含这个新实例的 tar 文件，以及将创建的节点安装到自动化网格所需的文件。

   安装捆绑包包含 TLS 证书和密钥、证书颁发机构和正确的 Receptor 配置文件。

   receptor-ca.crt
   work-public-key.pem
   receptor.key
   install_receptor.yml
   inventory.yml
   group_vars/all.yml
   requirements.yml

6. 从您下载的位置中提取下载的 tar.gz Install Bundle。为确保这些文件位于远程机器上的正确位置，安装捆绑包包含 install_receptor.yml playbook。

7. 在运行 ansible-playbook 命令前，请编辑 inventory.yml 文件中的以下字段：

   all:
     hosts:
       remote-execution:
         ansible_host: localhost # change to the mesh node host name
             ansible_user: <username> # user provided
             ansible_ssh_private_key_file: ~/.ssh/<id_rsa>

   • 确保 ansible_host 设置为节点的 IP 地址或 DNS。
   • 将 ansible_user 设置为运行安装的用户名。
   • 将 ansible_ssh_private_key_file 设置为包含用于连接实例的私钥的文件名。
   • inventory.yml 文件的内容充当模板，其中包含在网格拓扑中安装和配置 receptor 节点期间应用的角色的变量。您可以修改一些其他字段，或者在高级场景中完全替换该文件。如需更多信息，请参阅 角色变量。

8. 对于使用私有 DNS 的节点，请将以下行添加到 inventory.yml 中：

    ansible_ssh_common_args: <your ssh ProxyCommand setting>

   这指示 install-receptor.yml playbook 使用 proxy 命令通过本地 DNS 节点连接到私有节点。

9. 配置属性后，单击 Save。所创建的实例的 Details 页面将打开。
10. 保存文件以继续。

11. 运行安装捆绑包的系统来设置远程节点并运行 ansible-playbook 需要安装 ansible.receptor 集合：

    ansible-galaxy collection install ansible.receptor

    or

    ansible-galaxy install -r requirements.yml

    • 从 requirements.yml 文件安装 receptor 集合依赖项会持续检索指定的 receptor 版本。另外，它会检索将来可能需要的任何其他集合依赖项。
    • 在运行 playbook 的所有节点上安装 receptor 集合，否则会出现错误。

12. 如果定义了 receptor_listener_port，机器还需要一个可用的开放端口来建立入站 TCP 连接，例如 27199。运行以下命令，为 receptor 通信打开端口 27199 （确保您在防火墙中打开端口 27199）：

    sudo firewall-cmd --permanent --zone=public --add-port=27199/tcp

    注意

    可能是有些服务器没有侦听 receptor 端口（默认值为 27199）

    假设您有一个带有节点 A、B、C、D 的 Control plane

    RPM 安装程序使用最低特权方法在 control plane 节点之间创建高度连接的对等点，并仅在需要它的那些节点上打开 tcp 侦听器。所有 receptor 连接都是双向的，因此在创建连接后，receptor 可以在两个方向通信。

    以下是三个控制器节点的对等设置示例：

    Controller 节点 A -→ Controller 节点 B

    Controller 节点 A -→ Controller 节点 C

    Controller 节点 B -→ Controller 节点 C

    您可以通过设置强制监听程序

    receptor_listener=True

    但是，连接 Controller B -→ A 可能会被拒绝，因为连接已存在。

    这意味着没有连接到 Controller A，因为 Controller A 会创建与其他节点的连接，以下命令不会在 Controller A 上返回任何内容：

    [root@controller1 ~]# ss -ntlp | grep 27199 [root@controller1 ~]#

13. 在您要更新自动化网格的机器上运行以下 playbook：

    ansible-playbook -i inventory.yml install_receptor.yml

流程

1. 在导航面板中，选择 Automation Execution → Infrastructure → Instance Groups。
2. 点 Create group，然后从列表中选择 Create instance group。

3. 在以下字段中输入相关信息：

   • 名称 ：名称必须是唯一的，且不能命名为 "controller"。
   • 策略实例最小值 ：在新实例上线时，自动分配给此组的最少实例数量。

   • 策略实例百分比 ：使用滑块来选择在新实例上线时自动分配给此组的最小实例百分比。

     注意

     创建新实例组时不需要策略实例字段。如果没有指定值，则 Policy 实例最小值 和 Policy 实例百分比 默认为 0。

   • 最大并发作业 ：指定可为任何给定作业运行的最大 fork 数量。

   • 最大 fork ：指定可为任何给定作业运行的最大并发作业数。

     注意

     Max concurrent jobs 和 Max forks 的默认值 0 表示没有限制。如需更多信息，请参阅 实例组容量限制。

4. 如果编辑了现有实例组，或者点击 Create instance group，点 Save instance group

流程

1. 选择实例组的 Details 页面中的 Instances 选项卡。
2. 单击 关联实例。
3. 单击列表中一个或多个可用实例旁边的复选框，以选择要与实例组关联的实例，然后点 Confirm

流程

1. Templates 列表视图显示当前可用的作业模板。在此屏幕中，您可以启动 ，编辑 ，并复制 工作流作业模板。
2. 选择您想要的作业并点击 图标。
3. 选择您要运行作业的实例组。 请注意，系统管理员必须授予您或团队权限才能在作业模板中使用实例组。如果您选择了多个作业模板，则选择它们的顺序会设置执行优先级。
4. 点击 Next。
5. 点 Launch。

流程

1. 创建一个 YAML 文件（本例中为 oc_meshingress.yml）来设置网格入口节点。

   您的文件应类似以下内容：

   apiVersion: automationcontroller.ansible.com/v1alpha1
   kind: AutomationControllerMeshIngress
   metadata:
       name:
       namespace:
   spec:
       deployment_name: aap-controller

   其中：

   • apiVersion ：定义对象的这个表示法的版本化模式。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。这个值是 static。

   • kind ：是要创建的节点类型。

     使用 AutomationControllerMeshIngress 值。

     AutomationControllerMeshIngress 控制自动化控制器上的网格入口的部署和配置。

   • name ：输入网格入口节点的名称。

   • 命名空间 ：输入 Kubernetes 命名空间的名称，以将网格入口部署到其中。

     这必须与网格连接的自动化控制器位于同一个命名空间中。

   • DEPLOYMENT_ NAME：此网格入口附加到的自动化控制器实例。提供自动化控制器实例的名称。

2. 使用以下命令应用此 YAML 文件：

   oc apply -f oc_meshingress.yml

   运行此 playbook 以创建 AutomationControllerMeshIngress 资源。Operator 使用您提供的名称在自动化控制器中创建一个跃点节点。

3. 创建 MeshIngress 实例后，它会出现在 Instances 页面中。

   重要

   在此流程后，需要以"pull"模式作为远程执行节点运行的任何实例，且必须配置如下：

   instance type: Execution
   listener port: keep empty
   options:
       Enable instance: checked
       Managed by Policy: as needed
       Peers from control nodes: unchecked (this one is important)

4. 将此新实例与您使用这个段落中的步骤创建的跃点节点关联

5. 下载 tarball。

   注意

   在创建 tarball 之前，必须先与跃点节点关联。

流程

1. 使用以下命令创建 secret：

   oc create secret generic ee-pull-secret \
        --from-literal=username=<username> \
        --from-literal=password=<password> \
        --from-literal=url=registry.redhat.io

2. 通过编辑部署规格将 ee_pull_credentials_secret 和 ee-pull-secret 添加到规格中：

   oc edit automationcontrollers aap-controller-o yaml

   并添加以下内容：

   spec
     ee_pull_credentials_secret=ee-pull-secret

3. 要从自动化控制器 UI 管理实例，必须具有 System Administrator 或 System Auditor 权限。

流程

1. 检查当前的 receptor 版本：

   receptor --version

2. 更新 receptor：

   sudo dnf update ansible-runner receptor -y

   注意

   要升级所有软件包（不仅仅是 receptor），请使用 dnf update，然后重启。

3. 验证安装。更新完成后，再次检查 receptor 版本以验证更新：

   receptor --version

4. 重启 receptor 服务：

   sudo systemctl restart receptor

5. 确保 receptor 正常工作，并正确连接到系统中的控制器或其他节点。