6.3. SSL による内部通信の保護
GCP Marketplace で入手可能な Ansible Automation Platform は、ハブインスタンスとコントローラーインスタンスの前に 1 つずつ、2 つの 内部 アプリケーションロードバランサーと共にデプロイされます。これらの内部ロードバランサーは、デプロイメントの完了後に SSL 証明書を使用して設定する必要があります。
これらの内部ロードバランサーを介してトラフィックを保護することは、前の手順で外部ロードバランサーを介してトラフィックを保護することとは異なります。このプロセスにより、トラフィックがプライベート GCP VPC にローカライズされている場合でも、HTTP トラフィックが確実に暗号化されます。Automation Controller と Automation Hub のロードバランサーのいずれの場合も、同じ手順を実行してください。
名前形式が <DEPLOYMENT_NAME>-aap-<cntrlr/hub>-int-lb である、Automation Controller と Automation Hub ロードバランサーの両方を変更します。
手順
次のコマンドを使用して、Automation Controller または Automation Hub 証明書を生成します。
$ openssl req -x509 -nodes -newkey rsa:2048 -keyout key.pem -out cert.pem -sha256 -days 365
- GCP コンソールで、Load Balancing ページに移動します。
- 検索バーにデプロイメントの名前を入力して、ロードバランサーをフィルタリングします。
-
<DEPLOYMENT_NAME>-aap-<cntrlr/hub>-int-lbをクリックします。 - Edit をクリックします。
- Frontend configuration をクリックします。
ADD FRONTEND IP AND PORT をクリックします。次の値を使用します。
- Protocol: HTTPS (HTTP/2 を含む)。
- Subnetwork: 利用可能な aap-subnet を選択します。
- Port: 443
-
IP Address:
<DEPLOYMENT_NAME>-aap<cntrlr/hub>-intl-lb-ip
証明書をすでに追加している場合は、それを選択します。
- 証明書を追加していない場合は、CREATE A NEW CERTIFICATE をクリックします。
- 証明書の名前を指定します。
-
以前に生成した証明書を使用して、
cert.pemの内容をコピーし、Certificate の下に貼り付けます。 -
以前に生成した証明書キーを使用して、
key.pemの内容をコピーし、Private Key の下に貼り付けます。 - Create をクリックします。
- Done をクリックします。
オプション: HTTP フロントエンド設定を削除するには、以下を実行します。
- ロードバランサーインスタンスを開きます。
- Frontend Configuration をクリックします。UI の左側に設定が表示されます。
- 削除する設定までスクロールします。
- ごみ箱アイコンをクリックして、設定を削除します。
- Update をクリックして、更新を確認します。