Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.4. 第二天操作

第 2 天运维包括集群健康和扩展检查,包括主机、项目和环境级别 Sustainment。您必须持续分析配置和安全偏移。

2.4.1. RBAC 注意事项
复制链接

作为管理员,您可以使用平台网关中内置的 基于角色的访问控制 (RBAC)来委派对服务器清单、机构等的访问权限。管理员也可以集中管理各种凭据,使最终用户能够在不向最终用户公开该机密的情况下使用所需的 secret。RBAC 控制允许 Ansible Automation Platform 帮助您提高安全性并简化管理。

RBAC 是向用户或团队授予角色的方法。RBAC 最容易考虑角色,它们精确定义了谁或什么可以看到、更改或删除要为其设置特定功能的"对象"。

您应该熟悉 Ansible Automation Platform 的 RBAC 设计的一些主要概念,包括角色、资源和用户。用户可以是一个角色的成员,授予他们对与该角色关联的任何资源或与"子代"角色关联的任何资源的访问权限。

角色基本上是一个能力的集合。用户通过为其分配的角色或通过从角色层次结构继承的角色获得对这些权限和自动化控制器资源的访问权限。

角色将一组能力与一组用户相关联。所有功能都源自角色内的成员资格。用户仅通过为其分配的角色或通过角色层次结构继承的角色获得权限。角色的所有成员都有授予该角色的所有权限。在一个机构中,角色相对稳定,而用户和能力则有很多,可能会快速变化。用户可以有多个角色。

有关角色层次结构、访问继承、角色构建、权限、用户角色、角色创建等详细信息,请参阅 使用基于角色的访问控制管理访问权限

以下是具有角色和资源权限的机构示例:

图 2.2. 自动化控制器中的 RBAC 角色范围

参考架构,这是具有角色和资源权限的机构示例。
View larger image
参考架构,这是具有角色和资源权限的机构示例。

用户访问权限基于管理系统对象(用户、组、命名空间)的权限,而不是单独为特定用户分配权限。您可以为您创建的组分配权限。然后,您可以为这些组分配用户。这意味着,组中的每个用户都有分配给该组的权限。

在 Automation Hub 中创建的团队可以包括系统管理员,包括负责管理内部集合、配置用户访问和存储库管理到组,具有组织并上传内部开发的内容到自动化中心。

可以对只有查看的访问启用,以进一步锁定私有自动化中心。通过启用只查看访问权限,您可以授予用户查看私有自动化 hub 上的集合或命名空间的访问权限,而无需进行登录。View-only 访问权限允许您与未授权用户共享内容,同时限制他们只能查看或下载源代码的权限,而无需编辑私有自动化中心上的任何内容。编辑 Red Hat Ansible Automation Platform 安装程序中的清单文件,为您的私有自动化中心启用只查看访问。

2.4.2. 更新和升级
复制链接

所有升级的系统版本不能比当前要升级到的版本低两个主要版本。例如,要升级到自动化控制器 4.3,您必须首先使用版本 4.1.x,因为没有从 3.8.x 或更早版本直接升级路径。如需更多信息,请参阅 升级到 Ansible Automation Platform。要运行自动化控制器 4.3,还必须有 Ansible 2.12 或更高版本。

2.4.2.1. 灾难恢复和连续性操作
复制链接

对 Ansible Automation Platform 进行常规备份是灾难恢复计划的关键部分。备份和恢复都是使用安装程序执行的,因此这些操作应该从本文档前面描述的专用安装主机执行。有关如何执行这些操作的详情,请参阅自动化控制器文档中的 备份和恢复 部分。

备份的一个重要方面是,它们包含数据库的副本以及用于解密数据库中存储的凭证的 secret 密钥,因此备份文件应存储在安全加密位置。这意味着,对端点凭证的访问会被正确保护。对备份的访问应限制为具有对自动化控制器和专用安装主机的 root shell 访问权限的 Ansible Automation Platform 管理员。

Ansible Automation Platform 管理员需要备份其 Ansible Automation Platform 环境的主要原因如下:

  • 要从 Ansible Automation Platform 环境中保存数据副本,您可以在需要时恢复它。
  • 如果您要创建新的 Ansible Automation Platform 集群或准备升级,使用备份将环境恢复到不同的服务器集合。

在所有情况下,推荐和安全的过程总是使用相同的 PostgreSQL 和 Ansible Automation Platform 版本来备份和恢复环境。

强烈建议在系统中使用一些冗余功能。如果 secret 系统停机,自动化控制器无法获取信息,并可能会因为恢复服务后可以恢复的方式失败。如果您认为为您生成的 SECRET_KEY 自动化控制器已被被破坏,且必须重新生成,您可以从安装程序运行一个工具,它的行为与自动化控制器备份和恢复工具非常相似。

要生成新的 secret 密钥,请执行以下步骤:

  1. 在执行任何其他操作前备份 Ansible Automation Platform 数据库!按照 备份和恢复 Controller 部分中描述的步骤操作。
  2. 使用您安装中的清单(与您运行备份/恢复的清单相同),运行 setup.sh -k

以上密钥的备份副本保存在 /etc/tower/ 中。

2.4.3. 使用 HashiCorp vault 进行外部 secret 管理
复制链接

您可以将 HashiCorp Vault 与 Ansible Automation Platform 集成,以管理和检索敏感数据。

在企业环境中,拥有外部管理的 secret 是在多个服务间管理敏感数据的便捷方式。HashiCorp vault 的最常见和推荐的身份验证方法之一就是,在签发令牌前,使用带有策略和登录要求的 AppRoles。要将 Ansible Automation Platform 配置为使用 HashiCorp vault 中存储的 secret,请使用 HashiCorp Vault Secret Lookup 类型设置新凭证。有关如何执行此操作的详情,请参考 Hashicorp vault secret 查找

输入相关信息,如可识别的凭证名称、机构以及 vault 服务器的 URL,例如 https://vault.domain.com:8200

使用 Token、AppRole role_id 和 AppRole secret_id 等信息填充必要的字段,然后为 API 版本选择 v2。

要测试凭证以测试功能和操作,请使用以下流程:

流程

  1. 在单击创建凭据 之前, 请单击 Test

  2. 在弹出窗口中,输入 Secret 的路径Key Name

    注意

    如果存储一个键值对,则 Secret 的路径将以 kv 前缀,例如 kv/key_name

  3. Run
  4. 测试成功后,单击 Create Credential
  5. 完成后,Ansible Automation Platform 会被正确配置为使用 HashiCorp Vault 作为外部 secret 源。

要在 Ansible Automation Platform 中使用 HashiCorp vault 凭证,请使用类型 Machine Credential 创建新凭据。输入相关信息,如可识别的凭证名称和机构。

要配置 HashiCorp Vault 凭证的使用,请使用以下流程:

流程

  1. 要配置 用户名,点 Key 图标。
  2. 选择在第 1 步中创建的 HashiCorp Vault 凭证。
  3. 填充 Secret 的路径密钥名称
  4. (可选)单击 Test。否则,请单击 Finish

2.4.3.3. 配置机器凭证的 SSH 私钥
复制链接

使用以下步骤:

流程

  1. 要配置 用户名,点 Key 图标。
  2. 选择您创建的 HashiCorp Vault 凭证。
  3. 填充 Secret 的路径密钥名称
  4. 选择私钥的名称,作为 密钥名称
  5. (可选)单击 Test。否则,请单击 Finish
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat