红帽全球峰会3.5. 添加 Ansible 源和凭证
要在 Ansible 部署中运行扫描,您必须添加一个用于标识 Ansible Automation Platform 扫描的源。然后,您必须添加一个包含身份验证数据以访问该集群的凭证。
了解更多
添加 Ansible 源和目标凭据,以提供扫描 Ansible Automation Platform 部署所需的信息。如需更多信息,请参阅以下信息:
- 要添加 Ansible 源,请参阅 添加 Ansible 源。
- 要添加 Ansible 凭据,请参阅 添加 Ansible 凭据。
要了解更多有关源和凭证以及发现如何使用它们的信息,请参阅以下信息:
要了解更多有关发现如何通过 Ansible 部署进行身份验证的信息,请参阅以下信息。此信息包括有关在 Ansible 凭证配置过程中可能需要进行的证书验证和 SSL 通信选项的指导:
3.5.1. 添加 Red Hat Ansible Automation Platform 源
您可以从初始 Welcome 页面或 Sources 视图中添加源。
步骤
点击选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 从 Sources 视图中,单击 Add Source。
此时会打开 Add Source 向导。
- 在 Type 页面中,选择 Ansible Controller 作为源类型,然后单击 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
- 在 IP Address 或 Hostname 字段中输入此源的 Ansible 主机 IP 地址。您可以通过在门户中查看控制器的概述详情来查找主机 IP 地址。
- 在 Credentials 列表中,选择访问此源的集群所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 在 Connection 列表中,选择在扫描此源期间用于安全连接的 SSL 协议。选择 Disable SSL 以禁用此源扫描期间的安全通信。
- 如果您需要升级集群的 SSL 验证功能,以便从证书颁发机构检查验证的 SSL 证书,请选中 Verify SSL Certificate 复选框。
- 单击 Save 以保存源,然后单击 Close 以关闭 Add Source 向导。
3.5.2. 添加 Red Hat Ansible Automation Platform 凭证
您可以从 Credentials 视图或在创建源过程中从 Add Source 向导添加凭证。
步骤
点击选项根据您的位置添加新凭证:
-
从 Credentials 视图中,单击
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
从 Credentials 视图中,单击
- 在 Credential Name 字段中输入描述性名称。
- 在 User Name 字段中输入 Ansible Controller 实例的用户名。
- 在 Password 字段中,输入 Ansible Controller 实例的密码。
- 点 Save 保存凭证。Add credential 向导关闭。
3.5.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据:源和凭证。在扫描期间要检查的源类型决定了源和目标配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理计算机、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift source
- 管理 Red Hat OpenShift Container Platform 节点和工作负载的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定应该在单个源中分组的单独资产数量。目前,您只能为网络源添加多个资产。以下列表包含添加源时应考虑的一些其他因素:
- 资产是开发、测试或生产环境的一部分,如果对计算能力和类似问题的需求则需要考虑这些资产。
- 无论您是因为内部业务实践(如对已安装软件经常更改)而经常扫描特定的实体或实体组。
凭证 包含有足够权限的用户的用户名和密码或 SSH 密钥等数据,可在该源中包含的所有或部分资产上运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,一个网络源可能需要多个网络凭证,因为预计需要很多凭证来访问 IP 范围中的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前存在的凭证。在源创建过程中,凭证直接与源关联。因为源和凭证必须具有匹配的类型,因此您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表只包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭据可供选择。
3.5.4. Ansible 身份验证
对于 Ansible 扫描,对 Ansible 主机 IP 地址的连接和访问通过主机 IP 地址从基本身份验证生成,以及通过 HTTPS 加密的密码。默认情况下,Ansible 扫描使用证书验证运行,并通过 SSL (安全套接字层)协议进行安全通信。在源创建过程中,您可以从几个不同的 SSL 和 TLS (传输层安全)协议中选择,用于证书验证和安全通信。
您可能需要调整证书验证级别,以便在扫描期间正确连接到 Ansible 主机 IP 地址。例如,您的 Ansible 主机 Ip 地址可能会使用来自证书颁发机构验证的 SSL 证书。在源创建过程中,您可以升级 SSL 证书验证,以便在扫描该源的过程中检查该证书。相反,您的主机 IP 地址可能会使用自签名证书。在源创建过程中,您可以将 SSL 验证保留为默认值,以便该源的扫描不会检查证书。选择此选项时,要将选项保留为自签名证书的默认值,可能会避免扫描错误。
如果 Ansible 主机 IP 地址未配置为使用 SSL,则您可能还需要禁用 SSL 作为扫描期间安全通信的方法。例如,您的 Ansible 主机 IP 地址可能被配置为通过使用 HTTP 端口 80 与 Web 应用进行通信。如果是这样,在源创建过程中,您可以禁用 SSL 通信来扫描该源。
