3.5. 添加 Ansible 源和凭证
要在 Ansible 部署上运行扫描,您必须添加一个标识要扫描的 Ansible Automation Platform 的源。然后,您必须添加一个包含访问该集群的验证数据的凭证。
了解更多
添加 Ansible 源和凭证,以提供扫描 Ansible Automation Platform 部署所需的信息。如需更多信息,请参阅以下信息:
- 要添加 Ansible 源,请参阅 添加 Ansible 源。
- 要添加 Ansible 凭据,请参阅 添加 Ansible 凭据。
要了解更多有关源和凭证以及如何使用它们的信息,请参阅以下信息:
要了解更多有关发现如何通过 Ansible 部署进行身份验证的信息,请参阅以下信息:此信息包括有关在 Ansible 凭证配置过程中可能需要进行的证书验证和 SSL 通信选项的指导信息:
3.5.1. 添加 Red Hat Ansible Automation Platform 源
您可以从初始 Welcome 页面或 Sources 视图中添加源。
流程
点击选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 从 Sources 视图,单击 Add Source。
此时会打开 Add Source 向导。
- 在 Type 页面中,选择 Ansible Controller 作为源类型,然后点 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
- 在 IP Address 或 Hostname 字段中输入此源的 Ansible 主机 IP 地址。您可以通过查看门户中的控制器概述详情来查找主机 IP 地址。
- 在 Credentials 列表中,选择访问此源集群所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 在 Connection 列表中,选择要在扫描此源期间用于安全连接的 SSL 协议。选择 Disable SSL 在扫描此源期间禁用安全通信。
- 如果您需要升级集群的 SSL 验证,以便从证书颁发机构检查验证的 SSL 证书,请选择 Verify SSL Certificate 复选框。
- 点 Save 保存源,然后点 Close 关闭 Add Source 向导。
3.5.2. 添加 Red Hat Ansible Automation Platform 凭证
您可以在创建源的过程中从 Credentials 视图或 Add Source 向导添加凭证。
流程
点击选项根据您的位置添加新凭证:
-
从 Credentials 视图,单击
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
从 Credentials 视图,单击
- 在 Credential Name 字段中输入描述性名称。
- 在 User Name 字段中输入 Ansible Controller 实例的用户名。
- 在 Password 字段中,输入 Ansible Controller 实例的密码。
- 点 Save 保存凭证。Add credential 向导关闭。
3.5.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据: sources 和 credentials。在扫描期间要检查的源类型决定了源和凭证配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理机器、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift 源
- 管理所有或部分 Red Hat OpenShift Container Platform 集群的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定您应该在单个源中拥有多少个资产。目前,您只能为网络源添加多个资产。以下列表包含您在添加源时应考虑的一些其他因素:
- 无论资产是开发、测试还是生产环境的一部分,以及计算能力和类似问题的需求都是这些资产的考虑因素。
- 因为内部业务实践(如频繁更改安装的软件),还是要更频繁地扫描特定的实体或一组实体。
凭证 包含的数据,如具有足够颁发机构的用户的用户名和密码或 SSH 密钥,以便在该源中包含的资产的所有或部分运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,网络源可能需要多个网络凭证,因为预期许多凭证需要访问广泛 IP 范围内的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前现有凭证。在源创建过程中,您要直接将凭证与源关联。由于源和凭证必须具有匹配的类型,所以您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表仅包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭证可供选择。
3.5.4. Ansible 身份验证
对于 Ansible 扫描,对 Ansible 主机 IP 地址的连接和访问利用主机 IP 地址以及通过 HTTPS 加密的密码生成对 Ansible 主机 IP 地址的连接和访问。默认情况下,Ansible 扫描通过 SSL (安全套接字层)协议运行并带有证书验证和安全通信。在源创建过程中,您可以从多个不同的 SSL 和 TLS (传输层安全)协议中选择,以用于证书验证和安全通信。
您可能需要调整证书验证级别,以便在扫描过程中正确连接到 Ansible 主机 IP 地址。例如,您的 Ansible 主机 Ip 地址可能会使用来自证书颁发机构的验证 SSL 证书。在源创建过程中,您可以在扫描该源过程中升级 SSL 证书验证来检查该证书。相反,您的主机 IP 地址可能会使用自签名证书。在源创建过程中,您可以默认保留 SSL 验证,以便扫描该源不会检查证书。选择保留自签名证书的默认值,可能会避免扫描错误。
如果没有将 Ansible 主机 IP 地址配置为使用 Web 应用的 SSL 通信,则您可能还需要禁用 SSL 作为扫描期间的安全通信方法。例如,您的 Ansible 主机 IP 地址可能会配置为使用 HTTP 和端口 80 与 Web 应用通信。如果是这样,则在源创建过程中,您可以禁用对该源的 SSL 通信扫描。