6.3. SSL による内部通信の保護

GCP Marketplace で入手可能な Ansible Automation Platform は、ハブインスタンスとコントローラーインスタンスの前に 1 つずつ、2 つの 内部 アプリケーションロードバランサーと共にデプロイされます。これらの内部ロードバランサーは、デプロイメントの完了後に SSL 証明書を使用して設定する必要があります。

注記

これらの内部ロードバランサーを介してトラフィックを保護することは、前の手順で外部ロードバランサーを介してトラフィックを保護することとは異なります。このプロセスにより、トラフィックがプライベート GCP VPC にローカライズされている場合でも、HTTP トラフィックが確実に暗号化されます。Automation Controller と Automation Hub のロードバランサーのいずれの場合も、同じ手順を実行してください。

名前形式が <DEPLOYMENT_NAME>-aap-<cntrlr/hub>-int-lb である、Automation Controller と Automation Hub ロードバランサーの両方を変更します。

手順

  1. 次のコマンドを使用して、Automation Controller または Automation Hub 証明書を生成します。

    $ openssl req -x509 -nodes -newkey rsa:2048 -keyout key.pem -out cert.pem -sha256 -days 365
  2. GCP コンソールで、Load Balancing ページに移動します。
  3. 検索バーにデプロイメントの名前を入力して、ロードバランサーをフィルタリングします。
  4. <DEPLOYMENT_NAME>-aap-<cntrlr/hub>-int-lb をクリックします。
  5. Edit をクリックします。
  6. Frontend configuration をクリックします。
  7. ADD FRONTEND IP AND PORT をクリックします。次の値を使用します。

    1. Protocol: HTTPS (HTTP/2 を含む)。
    2. Subnetwork: 利用可能な aap-subnet を選択します。
    3. Port: 443
    4. IP Address: <DEPLOYMENT_NAME>-aap<cntrlr/hub>-intl-lb-ip
  8. 証明書をすでに追加している場合は、それを選択します。

    1. 証明書を追加していない場合は、CREATE A NEW CERTIFICATE をクリックします。
    2. 証明書の名前を指定します。
    3. 以前に生成した証明書を使用して、cert.pem の内容をコピーし、Certificate の下に貼り付けます。
    4. 以前に生成した証明書キーを使用して、key.pem の内容をコピーし、Private Key の下に貼り付けます。
    5. Create をクリックします。
  9. Done をクリックします。
  10. オプション: HTTP フロントエンド設定を削除するには、以下を実行します。

    1. ロードバランサーインスタンスを開きます。
    2. Frontend Configuration をクリックします。UI の左側に設定が表示されます。
    3. 削除する設定までスクロールします。
    4. ごみ箱アイコンをクリックして、設定を削除します。
  11. Update をクリックして、更新を確認します。