Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.7. 高级配置选项

高级配置选项(如外部数据库设置和使用自定义 TLS 证书)可用于更复杂的容器化 Ansible Automation Platform 部署。

如果不使用这些高级配置选项,请参阅 安装容器化 Ansible Automation Platform 以继续安装。

当使用 redhat.insights_eda 或类似的插件在 Event-Driven Ansible 控制器中运行规则激活时,您必须将安全插件变量添加到 Ansible Automation Platform 中的目录中。这样可确保 Event-Driven Ansible 控制器和源插件之间的连接,并正确显示端口映射。

流程

  1. 为安全插件变量创建目录: 

    mkdir -p ./group_vars/automationeda
    Copy to Clipboard Toggle word wrap
  2. 在该目录中为您的新设置创建一个文件(例如,touch ./group_vars/automationeda/custom.yml

  3. 使用要启用的插件列表添加变量 eda_safe_plugins。例如: 

    eda_safe_plugins: ['ansible.eda.webhook', 'ansible.eda.alertmanager']
    Copy to Clipboard Toggle word wrap

2.7.2. 添加执行节点
复制链接

容器化 Ansible Automation Platform 可以部署远程执行节点。

您可以在清单文件的 [execution_nodes] 组中定义远程执行节点: 

[execution_nodes]
<fqdn_of_your_execution_host>
Copy to Clipboard Toggle word wrap

默认情况下,执行节点使用以下设置进行配置,可根据需要进行修改: 

receptor_port=27199
receptor_protocol=tcp
receptor_type=execution
Copy to Clipboard Toggle word wrap
  • receptor_port - 接收器侦听来自其他 receptor 节点的传入连接的端口号。
  • receptor_type - 节点的角色。有效选项包括 executionhop
  • receptor_protocol - 用于通信的协议。有效选项包括 tcpudp

默认情况下,[execution_nodes] 组中的所有节点都会添加为控制器节点的对等点。要更改对等配置,请使用 receptor_peers 变量。

注意

receptor_peers 的值必须是以逗号分隔的主机名列表。不要使用清单组名称。

配置示例: 

[execution_nodes]
# Execution nodes
exec1.example.com
exec2.example.com
# Hop node that peers with the two execution nodes above
hop1.example.com receptor_type=hop receptor_peers='["exec1.example.com","exec2.example.com"]'
Copy to Clipboard Toggle word wrap

2.7.3. 为自动化中心配置存储
复制链接

为自动化中心配置存储后端,包括 Amazon S3、Azure Blob Storage 和 Network File System (NFS)存储。

2.7.3.1. 为自动化中心配置 Amazon S3 存储
复制链接

Amazon S3 存储是容器化安装支持的对象存储类型。使用 AWS S3 存储后端时,将 hub_storage_backend 设置为 s3。在运行安装程序前,AWS S3 存储桶需要存在。

流程

  1. 在继续安装前,请确保您的 AWS S3 存储桶存在。

  2. [all:vars] 组下的 inventory 文件中添加以下变量来配置 S3 存储:

    • hub_s3_access_key
    • hub_s3_secret_key
    • hub_s3_bucket_name

    • hub_s3_extra_settings

      您可以通过 Ansible hub_s3_extra_settings 字典传递额外的参数。例如: 

      hub_s3_extra_settings:
  AWS_S3_MAX_MEMORY_SIZE: 4096
  AWS_S3_REGION_NAME: eu-central-1
  AWS_S3_USE_SSL: True
      Copy to Clipboard Toggle word wrap

2.7.3.2. 为自动化中心配置 Azure Blob Storage
复制链接

Azure Blob 存储是容器化安装支持的对象存储类型。使用 Azure blob 存储后端时,将 hub_storage_backend 设置为 azure。在运行安装程序前,Azure 容器需要存在。

流程

  1. 在继续安装前,请确保 Azure 容器存在。

  2. 将以下变量添加到 [all:vars] 组下的清单文件中以配置 Azure Blob 存储:

    • hub_azure_account_key
    • hub_azure_account_name
    • hub_azure_container

    • hub_azure_extra_settings

      您可以通过 Ansible hub_azure_extra_settings 字典传递额外的参数。例如: 

      hub_azure_extra_settings:
  AZURE_LOCATION: foo
  AZURE_SSL: True
  AZURE_URL_EXPIRATION_SECS: 60
      Copy to Clipboard Toggle word wrap

NFS 是容器化安装支持的共享存储类型。当使用 文件 存储后端安装多个自动化中心实例时,需要共享存储。安装单一自动化中心实例时,共享存储是可选的。

流程

  1. 要为自动化中心配置共享存储,请在清单文件中设置 hub_shared_data_path 变量: 

    hub_shared_data_path=<path_to_nfs_share>
    Copy to Clipboard Toggle word wrap

    该值必须与格式 host:dir 匹配,如 nfs-server.example.com:/exports/hub

  2. (可选)要更改 NFS 共享的挂载选项,请使用 hub_shared_data_mount_opts 变量。默认值为 rw,sync,hard

2.7.4. 配置 HAProxy 负载均衡器
复制链接

要在平台网关前面使用自定义 CA 证书配置 HAProxy 负载均衡器,请在 [all:vars] 组下设置以下清单文件变量: 

custom_ca_cert=<path_to_cert_crt>
gateway_main_url=<https://load_balancer_url>
Copy to Clipboard Toggle word wrap
注意

平台网关不支持 HAProxy SSL passthrough 模式。

2.7.5. 启用自动化内容集合和容器签名
复制链接

默认禁用自动化内容签名。要启用它,清单文件需要以下安装变量: 

# Collection signing
hub_collection_signing=true
hub_collection_signing_key=<full_path_to_collection_gpg_key>

# Container signing
hub_container_signing=true
hub_container_signing_key=<full_path_to_container_gpg_key>
Copy to Clipboard Toggle word wrap

如果密钥受密码短语保护,则需要以下变量: 

# Collection signing
hub_collection_signing_pass=<gpg_key_passphrase>

# Container signing
hub_container_signing_pass=<gpg_key_passphrase>
Copy to Clipboard Toggle word wrap

hub_collection_signing_keyhub_container_signing_key 变量需要在运行安装前设置密钥。

自动化内容签名目前只支持基于 GnuPG (GPG)的签名密钥。有关 GPG 的更多信息,请参阅 GnuPG 手册页

注意

使用的算法和密码由客户负责。

流程

  1. 在 RHEL9 服务器上运行以下命令为集合签名创建新密钥对: 

    gpg --gen-key
    Copy to Clipboard Toggle word wrap

  2. 为 "Real name" 和 "Email address" 输入您的信息:

    输出示例: 

    gpg --gen-key
gpg (GnuPG) 2.3.3; Copyright (C) 2021 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Note: Use "gpg --full-generate-key" for a full featured key generation dialog.

GnuPG needs to construct a user ID to identify your key.

Real name: Joe Bloggs
Email address: jbloggs@example.com
You selected this USER-ID:
    "Joe Bloggs <jbloggs@example.com>"

Change (N)ame, (E)mail, or (O)kay/(Q)uit? O
    Copy to Clipboard Toggle word wrap

    如果此操作失败,则您的环境没有为 GPG 安装必要的先决条件软件包。安装所需的软件包以继续。

  3. 这时将出现一个对话框并要求您输入密码短语。这是可选的,但推荐使用。

  4. 然后生成密钥,并生成类似如下的输出: 

    We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: key 022E4FBFB650F1C4 marked as ultimately trusted
gpg: revocation certificate stored as '/home/aapuser/.gnupg/openpgp-revocs.d/F001B037976969DD3E17A829022E4FBFB650F1C4.rev'
public and secret key created and signed.

pub   rsa3072 2024-10-25 [SC] [expires: 2026-10-25]
      F001B037976969DD3E17A829022E4FBFB650F1C4
uid                      Joe Bloggs <jbloggs@example.com>
sub   rsa3072 2024-10-25 [E] [expires: 2026-10-25]
    Copy to Clipboard Toggle word wrap

    请注意,您可以根据公司标准和需求设置的到期日期。

  5. 您可以运行以下命令来查看所有 GPG 密钥: 

    gpg --list-secret-keys --keyid-format=long
    Copy to Clipboard Toggle word wrap

  6. 要导出公钥,请运行以下命令: 

    gpg --export -a --output collection-signing-key.pub <email_address_used_to_generate_key>
    Copy to Clipboard Toggle word wrap

  7. 要导出私钥,请运行以下命令: 

    gpg -a --export-secret-keys <email_address_used_to_generate_key> > collection-signing-key.priv
    Copy to Clipboard Toggle word wrap
  8. 如果检测到密码短语,系统将提示您输入密码短语。

  9. 要查看私钥文件内容,请运行以下命令: 

    cat collection-signing-key.priv
    Copy to Clipboard Toggle word wrap

    输出示例: 

    -----BEGIN PGP PRIVATE KEY BLOCK-----

lQWFBGcbN14BDADTg5BsZGbSGMHypUJMuzmIffzzz4LULrZA8L/I616lzpBHJvEs
sSN6KuKY1TcIwIDCCa/U5Obm46kurpP2Y+vNA1YSEtMJoSeHeamWMDd99f49ItBp

<snippet>

j920hRy/3wJGRDBMFa4mlQg=
=uYEF
-----END PGP PRIVATE KEY BLOCK-----
    Copy to Clipboard Toggle word wrap
  10. 重复步骤 1 到 9,以创建用于容器签名的密钥对。

  11. 在清单文件中添加以下变量并运行安装来创建签名服务: 

    # Collection signing
hub_collection_signing=true
hub_collection_signing_key=/home/aapuser/aap/ansible-automation-platform-containerized-setup-<version_number>/collection-signing-key.priv
# This variable is required if the key is protected by a passphrase
hub_collection_signing_pass=<password>

# Container signing
hub_container_signing=true
hub_container_signing_key=/home/aapuser/aap/ansible-automation-platform-containerized-setup-<version_number>/container-signing-key.priv
# This variable is required if the key is protected by a passphrase
hub_container_signing_pass=<password>
    Copy to Clipboard Toggle word wrap

2.7.6. 设置客户提供的数据库
复制链接

设置外部数据库时有两种场景:

  1. 具有 PostgreSQL 管理员凭证的外部数据库
  2. 没有 PostgreSQL 管理员凭证的外部数据库
重要
  • 在 Ansible Automation Platform 中使用外部数据库时,您必须创建和维护该数据库。在卸载 Ansible Automation Platform 时,请确保清除外部数据库。
  • Red Hat Ansible Automation Platform 要求客户提供(外部)数据库才能获得 ICU 支持。
  • 在配置外部数据库期间,您必须检查外部数据库覆盖。如需更多信息,请参阅 Red Hat Ansible Automation Platform 数据库的支持覆盖范围

如果您有 PostgreSQL admin 凭证,您可以在清单文件中提供它们,安装程序会为您创建 PostgreSQL 用户和数据库。PostgreSQL admin 帐户必须具有 SUPERUSER 特权。

流程

  • 要配置 PostgreSQL admin 凭证,请在 [all:vars] 组下的清单文件中添加以下变量: 

    postgresql_admin_username=<set your own>
postgresql_admin_password=<set your own>
    Copy to Clipboard Toggle word wrap

如果您没有 PostgreSQL admin 凭证,则需要在运行安装程序前为每个组件(平台网关、自动化控制器、自动化中心和 Ansible)创建 PostgreSQL 用户和密码。

流程

  1. 使用具有 SUPERUSER 特权的用户连接到兼容 PostgreSQL 的数据库服务器。 

    # psql -h <hostname> -U <username> -p <port_number>
    Copy to Clipboard Toggle word wrap

    例如: 

    # psql -h db.example.com -U superuser -p 5432
    Copy to Clipboard Toggle word wrap

  2. 使用密码创建用户,并确保将 CREATEDB 角色分配给该用户。如需更多信息,请参阅 数据库角色

    CREATE USER <username> WITH PASSWORD <password> CREATEDB;
    Copy to Clipboard Toggle word wrap

  3. 创建数据库并添加您创建的用户作为所有者。 

    CREATE DATABASE <database_name> OWNER <username>;
    Copy to Clipboard Toggle word wrap

  4. 为各个组件创建 PostgreSQL 用户和数据库后,您可以在 [all:vars] 组下的清单文件中提供它们。 

    # Platform gateway
gateway_pg_host=aap.example.org
gateway_pg_database=<set your own>
gateway_pg_username=<set your own>
gateway_pg_password=<set your own>

# Automation controller
controller_pg_host=aap.example.org
controller_pg_database=<set your own>
controller_pg_username=<set your own>
controller_pg_password=<set your own>

# Automation hub
hub_pg_host=aap.example.org
hub_pg_database=<set your own>
hub_pg_username=<set your own>
hub_pg_password=<set your own>

# Event-Driven Ansible
eda_pg_host=aap.example.org
eda_pg_database=<set your own>
eda_pg_username=<set your own>
eda_pg_password=<set your own>
    Copy to Clipboard Toggle word wrap

数据库迁移脚本使用 hstore 字段来存储信息,因此在自动化中心 PostgreSQL 数据库中必须启用 hstore 扩展。

使用 Ansible Automation Platform 安装程序和受管 PostgreSQL 服务器时,此过程是自动的。

如果 PostgreSQL 数据库是外部的,则必须在安装前在自动化中心 PostgreSQL 数据库中手动启用 hstore 扩展。

如果在安装过程中没有启用 hstore 扩展,在数据库迁移过程中会出现一个失败。

流程

  1. 检查 PostgreSQL 服务器上是否有扩展(自动化 hub 数据库)。 

    $ psql -d <automation hub database> -c "SELECT * FROM pg_available_extensions WHERE name='hstore'"
    Copy to Clipboard Toggle word wrap

  2. 其中 <automation hub database> 的默认值为 automationhub

    带有 hstore 可用的输出示例

    name  | default_version | installed_version |comment
------+-----------------+-------------------+---------------------------------------------------
 hstore | 1.7           |                   | data type for storing sets of (key, value) pairs
(1 row)
    Copy to Clipboard Toggle word wrap

    带有 hstore 不可用的输出示例

     name | default_version | installed_version | comment
------+-----------------+-------------------+---------
(0 rows)
    Copy to Clipboard Toggle word wrap

  3. 在基于 RHEL 的服务器上,hstore 扩展包含在 postgresql-contrib RPM 软件包中,该软件包在安装 PostgreSQL 服务器 RPM 软件包时不会自动安装。

    要安装 RPM 软件包,请使用以下命令: 

    dnf install postgresql-contrib
    Copy to Clipboard Toggle word wrap

  4. 使用以下命令将 hstore PostgreSQL 扩展加载到自动化中心数据库中: 

    $ psql -d <automation hub database> -c "CREATE EXTENSION hstore;"
    Copy to Clipboard Toggle word wrap

    在以下输出中,installed_version 字段列出了使用的 hstore 扩展,表示启用了 hstore

    name | default_version | installed_version | comment
-----+-----------------+-------------------+------------------------------------------------------
hstore  |     1.7      |       1.7         | data type for storing sets of (key, value) pairs
(1 row)
    Copy to Clipboard Toggle word wrap

默认禁用 mTLS 身份验证。要使用 mTLS 身份验证配置每个组件的数据库,请将以下变量添加到 [all:vars] 组下,并确保每个组件都有不同的 TLS 证书和密钥:

流程

  • 将以下变量添加到清单文件中的 [all:vars] 组: 

    # Platform gateway
gateway_pg_cert_auth=true
gateway_pg_tls_cert=/path/to/gateway.cert
gateway_pg_tls_key=/path/to/gateway.key
gateway_pg_sslmode=verify-full

# Automation controller
controller_pg_cert_auth=true
controller_pg_tls_cert=/path/to/awx.cert
controller_pg_tls_key=/path/to/awx.key
controller_pg_sslmode=verify-full

# Automation hub
hub_pg_cert_auth=true
hub_pg_tls_cert=/path/to/pulp.cert
hub_pg_tls_key=/path/to/pulp.key
hub_pg_sslmode=verify-full

# Event-Driven Ansible
eda_pg_cert_auth=true
eda_pg_tls_cert=/path/to/eda.cert
eda_pg_tls_key=/path/to/eda.key
eda_pg_sslmode=verify-full
    Copy to Clipboard Toggle word wrap

2.7.7. 使用自定义 TLS 证书
复制链接

Red Hat Ansible Automation Platform 使用 X.509 证书和密钥对在 Ansible Automation Platform 组件和外部内部保护流量,以进行公共 UI 和 API 连接。

管理 Ansible Automation Platform 部署的 TLS 证书主要有两种方法:

  1. Ansible Automation Platform 生成的证书(这是默认设置)
  2. 用户提供的证书

2.7.7.1. Ansible Automation Platform 生成的证书
复制链接

默认情况下,安装程序会创建一个自签名证书颁发机构(CA),并使用它来为所有 Ansible Automation Platform 服务生成自签名 TLS 证书。自签名 CA 证书和密钥在 ~/aap/tls/ 目录下的一个节点上生成,并复制到所有其他节点上的相同位置。此 CA 在初始创建日期后的 10 年内有效。

自签名证书不是任何公共信任链的一部分。安装程序会创建一个证书信任存储,其中包含 ~/aap/tls/extracted/ 下的自签名 CA 证书,并将该目录绑定到 /etc/pki/ca-trust/extracted/ 下的每个 Ansible Automation Platform 服务容器。这允许每个 Ansible Automation Platform 组件验证其他 Ansible Automation Platform 服务的自签名证书。CA 证书也可以根据需要添加到其他系统或浏览器的信任存储中。

2.7.7.2. 用户提供的证书
复制链接

要使用您自己的 TLS 证书和密钥替换在安装过程中生成的部分或所有自签名证书,您可以在清单文件中设置特定的变量。这些证书和密钥必须提前由公共或机构 CA 生成,以便在安装过程中可用。

2.7.7.2.1. 使用自定义 CA 生成所有 TLS 证书
复制链接

当您希望 Ansible Automation Platform 生成所有证书时,使用此方法,但您希望由自定义 CA 签名,而不是默认的自签名证书。

流程

  • 要使用自定义证书颁发机构(CA)为所有 Ansible Automation Platform 服务生成 TLS 证书,请在清单文件中设置以下变量: 

    ca_tls_cert=<path_to_ca_tls_certificate>
ca_tls_key=<path_to_ca_tls_key>
    Copy to Clipboard Toggle word wrap
2.7.7.2.2. 为每个服务提供自定义 TLS 证书
复制链接

如果您的机构在 Ansible Automation Platform 之外管理 TLS 证书,且需要手动置备,则使用此方法。

流程

  • 要手动为每个单个服务提供 TLS 证书(如自动化控制器、自动化中心和 Event-Driven Ansible),请在清单文件中设置以下变量: 

    # Platform gateway
gateway_tls_cert=<path_to_tls_certificate>
gateway_tls_key=<path_to_tls_key>
gateway_pg_tls_cert=<path_to_tls_certificate>
gateway_pg_tls_key=<path_to_tls_key>
gateway_redis_tls_cert=<path_to_tls_certificate>
gateway_redis_tls_key=<path_to_tls_key>

# Automation controller
controller_tls_cert=<path_to_tls_certificate>
controller_tls_key=<path_to_tls_key>
controller_pg_tls_cert=<path_to_tls_certificate>
controller_pg_tls_key=<path_to_tls_key>

# Automation hub
hub_tls_cert=<path_to_tls_certificate>
hub_tls_key=<path_to_tls_key>
hub_pg_tls_cert=<path_to_tls_certificate>
hub_pg_tls_key=<path_to_tls_key>

# Event-Driven Ansible
eda_tls_cert=<path_to_tls_certificate>
eda_tls_key=<path_to_tls_key>
eda_pg_tls_cert=<path_to_tls_certificate>
eda_pg_tls_key=<path_to_tls_key>
eda_redis_tls_cert=<path_to_tls_certificate>
eda_redis_tls_key=<path_to_tls_key>

# PostgreSQL
postgresql_tls_cert=<path_to_tls_certificate>
postgresql_tls_key=<path_to_tls_key>

# Receptor
receptor_tls_cert=<path_to_tls_certificate>
receptor_tls_key=<path_to_tls_key>

# Redis
redis_tls_cert=<path_to_tls_certificate>
redis_tls_key=<path_to_tls_key>
    Copy to Clipboard Toggle word wrap
2.7.7.2.3. 每个服务提供的证书的注意事项
复制链接

在为每个服务提供自定义 TLS 证书时,请考虑以下几点:

  • 每个主机可以提供唯一的证书。这需要在您的清单文件中定义特定的 _tls_cert_tls_key 变量,如前面的清单文件示例所示。
  • 对于在多个节点间部署的服务(例如,遵循企业拓扑时),该服务提供的证书必须在 Subject Alternative Name (SAN)字段中包括所有关联节点的 FQDN。
  • 如果在执行 SSL/TLS 卸载的负载均衡器后面部署了面向外部的服务(如自动化控制器或平台网关),则服务的证书必须在 SAN 字段中包含负载均衡器的 FQDN,除了单个服务节点的 FQDN 外。
2.7.7.2.4. 提供自定义 CA 证书
复制链接

手动提供 TLS 证书时,这些证书可能由自定义 CA 签名。提供自定义 CA 证书,以确保环境中正确验证和安全通信。如果您有多个自定义 CA 证书,则必须将它们合并到一个文件中。

流程

  • 如果您手动提供的 TLS 证书由自定义 CA 签名,则必须使用清单文件中的以下变量指定 CA 证书: 

    custom_ca_cert=<path_to_custom_ca_certificate>
    Copy to Clipboard Toggle word wrap

    如果您有多个 CA 证书,请将它们组合到一个文件中,并使用 custom_ca_cert 变量引用组合证书。

2.7.7.3. receptor 证书注意事项
复制链接

当将自定义证书用于 Receptor 节点时,证书需要在证书的 Subject Alternative Name (SAN)中指定的 otherName 字段,其值为 1.3.6.1.4.1.2312.19.1。如需更多信息,请参阅 获取网格 TLS

receptor 不支持使用通配符证书。另外,每个 Receptor 证书都必须在其 SAN 中指定主机 FQDN,才能正确执行 TLS 主机名验证。

2.7.7.4. Redis 证书注意事项
复制链接

当为 Redis 相关的服务使用自定义 TLS 证书时,如果指定扩展密钥 Usage (EKU),请考虑以下用于 mutual TLS (mTLS)通信:

  • Redis 服务器证书(redis_tls_cert)应包含 serverAuth (Web 服务器身份验证)和 clientAuth (客户端身份验证) EKU。
  • Redis 客户端证书(gateway_redis_tls_cert,eda_redis_tls_cert)应包含 clientAuth (客户端身份验证) EKU。

2.7.8. 使用自定义 Receptor 签名密钥
复制链接

receptor 签名会被默认启用,除非设置了 receptor_disable_signing=true,且安装程序生成 RSA 密钥对(public 和 private)。但是,您可以使用以下变量设置自定义 RSA 公钥和私钥: 

receptor_signing_private_key=<full_path_to_private_key>
receptor_signing_public_key=<full_path_to_public_key>
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat