2.2. 安装

Ansible Automation Platform 安装程序可以从其中一个基础架构服务器（如自动化控制器）运行，或者从可通过 SSH 访问 Ansible Automation Platform 基础架构服务器的外部系统运行。Ansible Automation Platform 安装程序还仅用于安装，而是用于后续的第二天操作，如备份和恢复，以及升级。本指南建议从专用外部服务器执行安装和第二天操作，此处后称为安装主机。这样做无需登录其中一个基础架构服务器来运行这些功能。安装主机必须仅用于管理 Ansible Automation Platform，且不得运行任何其他服务或软件。

安装主机必须是已安装和配置的 Red Hat Enterprise Linux 服务器，它根据 Red Hat Enterprise Linux 的安全强化 以及与您的机构相关的任何安全配置集要求(CIS、STIG 等)。获取 Ansible Automation Platform 安装程序，如 规划安装 中所述，并创建安装程序清单文件，如 编辑 Red Hat Ansible Automation Platform 安装程序清单文件 中所述。此清单文件用于升级、添加基础架构组件和第二天操作，因此请在安装后保留 文件，供以后使用。

对安装主机的访问必须仅限于负责管理 Ansible Automation Platform 基础架构的人员。随着时间的推移，它将包含敏感信息，如安装程序清单（包含 Ansible Automation Platform 的初始登录凭据）、用户提供的 PKI 密钥和证书的副本、备份文件等。安装主机还必须用于在基础架构管理和维护需要时通过 SSH 登录到 Ansible Automation Platform 基础架构服务器。

默认情况下，Ansible Automation Platform 为平台 的基础架构组件创建自签名公钥基础架构 (PKI)证书。如果现有的 PKI 基础架构可用，必须为自动化控制器、私有自动化中心、EventDriven Ansible 控制器和 postgres 数据库服务器生成证书。将证书文件及其相关密钥文件复制到安装程序目录中，以及用于验证证书的 CA 证书。

使用以下清单变量使用新证书配置基础架构组件。

当使用负载均衡器部署多个平台网关时，gateway_tls_cert 和 gateway_tls_key 都由每个平台网关共享。要防止主机名不匹配，证书 的通用名称 (CN)必须与负载均衡器使用的 DNS FQDN 匹配。如果您的机构策略需要每个服务的唯一证书，每个证书都需要一个与用于负载均衡服务的 DNS FQDN 匹配的 主题 Alt Name (SAN)。要在每个平台网关上安装唯一证书和密钥，安装清单文件中的证书和密钥变量必须定义为每个主机变量，而不是在 [all:vars] 部分中。例如：

[automationgateway]
gateway0.example.com gateway_tls_cert=/path/to/cert0 gateway_tls_key=/path/to/key0
gateway1.example.com gateway_tls_cert=/path/to/cert1 gateway_tls_key=/path/to/key1

[automationcontroller]
controller0.example.com web_server_ssl_cert=/path/to/cert0 web_server_ssl_key=/path/to/key0
controller1.example.com web_server_ssl_cert=/path/to/cert1 web_server_ssl_key=/path/to/key1
controller2.example.com web_server_ssl_cert=/path/to/cert2 web_server_ssl_key=/path/to/key2

[automationhub]
hub0.example.com automationhub_ssl_cert=/path/to/cert0 automationhub_ssl_key=/path/to/key0
hub1.example.com automationhub_ssl_cert=/path/to/cert1 automationhub_ssl_key=/path/to/key1
hub2.example.com automationhub_ssl_cert=/path/to/cert2 automationhub_ssl_key=/path/to/key2

安装清单文件包含多个敏感变量，主要是用来设置 Ansible Automation Platform 使用的初始密码，这些变量通常保留在清单文件中。为了防止未授权查看这些变量，您可以将这些变量保留在加密的 Ansible vault 中。要做到这一点，进入安装程序目录并创建 vault 文件：

系统将提示您输入新的 Ansible 库的密码。不要丢失 vault 密码，因为每次需要访问 vault 文件时需要它，包括在第二天操作并执行备份过程中。您可以将 vault 密码存储在加密的密码管理器中，或根据机构策略安全地存储密码来保护 vault 密码。

在密码库中添加敏感变量，例如：

admin_password/controller_admin_password: <secure_controller_password>
pg_password/controller_pg_password: <secure_db_password>
automationhub_admin_password/hub_admin_password: <secure_hub_password>
automationhub_pg_password/hub_pg_password: <secure_hub_db_password>
automationedacontroller_admin_password/eda_admin_password: <secure_eda_password>
automationedacontroller_pg_password/eda_pg_password: <secure_eda_db_password>
-/gateway_admin_password: <secure_gateway_password>
-/gateway_pg_password:<secure_gateway_db_password>

确保安装清单文件中也不存在这些变量。要将新的 Ansible vault 与安装程序搭配使用，请使用命令 ./setup.sh -e @vault.yml swig-wagon--ask-vault-pass 来运行。

在许多环境中，Ansible Automation Platform 可能需要安装在 Red Hat Enterprise Linux 系统上，其中使用安全控制来满足合规性配置文件的要求，如 CIS Critical 安全控制、支付卡行业/数据 安全标准(PCI/DSS)、DISA STIG 或类似的配置集。在这些环境中，可能需要修改一组特定的安全控制来让 Ansible Automation Platform 正确运行。将任何合规配置集控制应用到在安装前用于 Ansible Automation Platform 的 Red Hat Enterprise Linux 服务器，然后根据需要修改以下安全控制。

在需要这些控制的环境中，讨论使用安全审核员关闭控制。