Ansible Automation Platform on Microsoft Azure ガイド

Red Hat Ansible Automation Platform 2.1

Ansible Automation Platform on Microsoft Azure のインストールおよび設定

Red Hat Customer Content Services

概要

フィードバックの提供:
このドキュメントを改善するための提案がある場合、またはエラーを見つけた場合は、テクニカルサポート (https://access.redhat.com) に連絡し、Docs コンポーネントを使用して Ansible Automation Platform Jira プロジェクトで issue を作成してください。

はじめに

Red Hat Ansible Automation Platform に興味をお持ちいただきありがとうございます。Ansible Automation Platform は、Ansible を装備した環境に、制御、ナレッジ、委譲の機能を追加して、チームが複雑かつ複数層のデプロイメントを管理できるように支援する商用サービスです。

このガイドは、Microsoft Azure での Ansible Automation Platform のインストールと使用法を理解するのに役立ちます。本書が更新され、Ansible Automation Platform on Microsoft Azure の最新リリースの情報が追加されました。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Ansible Automation Platform on Microsoft Azure の概要

1.1. Ansible Automation Platform on Microsoft Azure について

Ansible Automation Platform on Microsoft Azure は、Azure Marketplace ポータルから Azure テナントのリソースグループにデプロイできる管理対象アプリケーションです。Ansible Automation Platform on Microsoft Azure では、Ansible コンテンツコレクションのライブラリーにアクセスできるようになり、主な Azure サービスと統合されるため、インフラストラクチャーおよびアプリケーションのデプロイ、設定、管理を迅速に行うことができます。

次の Red Hat Platform コンポーネントは、Red Hat Ansible Automation Platform on Microsoft Azure で使用できます。

  • Automation Controller
  • Automation Hub
  • Private Automation Hub
  • Automation Service Catalog
  • Ansible Content Collections(Azure の Microsoft コレクションなど)
  • 自動化実行環境
  • Ansible コンテンツツール (Red Hat Ansible Automation Platform 用の Red Hat Insights へのアクセスなど)
注記

自動化メッシュは、Ansible Automation Platform on Microsoft Azure では使用できません。

1.2. アプリケーションのアーキテクチャー

Red Hat Ansible Automation Platform on Microsoft Azure は、管理対象アプリケーションとしてインストールされます。Red Hat は、基盤となる Azure リソースとその上で実行されているソフトウェアの両方を管理し、そのインフラストラクチャーは Azure テナントで実行されます。

管理対象のアプリケーションリソースグループは、テナント内の他のリソースグループから完全に分離されています。Red Hat は、他のテナントリソースを表示せずに、管理対象のアプリケーションリソースグループにのみアクセスできます。

これがどのように機能するか、およびリソースとアクセスが他の Azure リソースからどのように分離されるかについては、Microsoft の Azure マネージドアプリケーションの概要 を参照してください。Azure managed applications ガイド。

Ansible Automation Platform on Microsoft Azure は以下のリソースグループを使用します。

  • テナント内の新規または既存のリソースグループ (RG)。このリソースグループには、Ansible Automation Platform on Microsoft Azure 管理対象のアプリケーションデプロイメントを参照する単一リソースが含まれます。Red Hat は、サポート、メンテナンス、アップグレードを実行するために管理対象アプリケーションにアクセスできますが、リソースグループは Red Hat の管理外です。
  • Microsoft Azure で Ansible Automation Platform を操作するために必要なほとんどのインフラストラクチャーが含まれるマルチテナント管理リソースグループ (MRG)。このマルチテナントリソースグループは、Red Hat テナントとお使いのテナント間で共有されます。Red Hat に完全な管理者権限があり、ユーザーにはリソースグループへの読み取り専用のアクセス権限があります。
  • AKS ノードプールリソースグループ (NPRG)。Microsoft では、AKS デプロイメントには NPRG が必要です。これには、AKS が機能するために使用するリソースが含まれます。これはデプロイメントで作成され、Red Hat の管理範囲外です。NPRG の詳細は、Microsoft の AKS のドキュメント を参照してください。
注記

Red Hat Ansible Automation Platform on Microsoft Azure SRE チームからの明示的な指示がない限り、ノードプールリソースグループ (NPRG) のリソースを操作しないでください。NPRG 内のリソースへの変更は、Red Hat では保護できず、アプリケーションに回復不能な損傷を与える可能性があります。

Red Hat は、NPRG のリソースを変更または削除する機能を制限することはできません。

Ansible Automation Platform on Microsoft Azure をインストールする場合、デプロイメントをパブリックにするかプライベートにするかを選択します。これは、ユーザーが Ansible Automation Platform のユーザーインターフェイスにアクセスする方法に影響します。

パブリックデプロイメントとプライベートデプロイメントのどちらを選択するかに関係なく、Ansible Automation Platform から自動化するリソースを含むプライベートネットワークへのアウトバウンド通信用にネットワークピアリングを設定する必要があります。Ansible Automation Platform on Microsoft Azure から、プライベート Azure VNet、および Azure を使用したトランジットルーティングが存在するオンプレミスまたはマルチクラウドネットワークへのネットワークピアリングを設定できます。

1.2.1. パブリックデプロイメント

パブリックデプロイメントでは、パブリックインターネット経由で Ansible Automation Platform on Microsoft Azure のユーザーインターフェイスにアクセスすることができます。デプロイメント時に、ドメイン名が Ansible Automation Platform on Microsoft Azure のインスタンスに発行されます。Ansible Automation Platform にアクセスするための設定は必要ありません。ユーザーは、パブリックインターネットからドメインに移動し、ユーザーインターフェイスにログインできます。

以下の図は、Ansible Automation Platform on Microsoft Azure を Azure サブスクリプションにパブリックデプロイメントするときに、管理対象のアプリケーションリソースグループにデプロイされるアプリケーションリソースおよびアーキテクチャーの概要を説明します。IP 範囲は、デプロイメントに設定したネットワークアドレス範囲に基づいて変わります。

aap on azure public deployment

1.2.2. プライベートデプロイメント

Ansible Automation Platform のプライベートデプロイメントは、外部ソースからのアクセスがない分離された Azure VNet に存在します。つまり、パブリックインターネットや他の AzureVNet およびサブネットとの間のトラフィックはブロックされます。

Ansible Automation Platform ユーザーインターフェイスの URL にアクセスするには、ネットワークピアリングを設定する必要があります。

ピアリングとルーティングが設定されると、ユーザーは接続された Azure サブネット上の VM を介して、または組織で Azure とローカルネットワーク間にトランジットルーティングが設定されている場合は直接、Ansible Automation Platform にアクセスできます。

注記

2 つの Azure ネットワーク設定が同じではありません。ユーザーが Ansible Automation Platform の URL にアクセスできるようにするには、組織は Azure 管理者と協力してプライベートアクセスデプロイメントに接続する必要があります。

以下の図は、Ansible Automation Platform on Microsoft Azure を Azure サブスクリプションにプライベートデプロイメントするときに、管理対象のアプリケーションリソースグループにデプロイされるアプリケーションリソースおよびアーキテクチャーの概要を説明します。IP 範囲は、デプロイメントに設定したネットワークアドレス範囲に基づいて変わります。

aap on azure private deployment

1.3. Network

Microsoft Azure アプリケーション上の Ansible Automation Platform が使用する VNet のネットワークアドレス範囲 (CIDR ブロック) を設定できます。Microsoft Azure に Ansible Automation Platform をデプロイする際に、ネットワーク設定フォームでアプリケーションの CIDR ブロックを設定します。デプロイメント後に変更できないため、Microsoft Azure アプリケーションに Ansible Automation Platform をデプロイする前にネットワーク設定を計画してください。

ネットワーク設定を計画する際には、以下の点に留意してください。

  • 管理対象アプリケーションには、少なくとも 4 つのサブネットに分割される /24 Vnet が必要です。サブネットには、最低限のアドレス間隔があります。

    ネットワークエンティティー最小 CIDR ブロック

    VNet

    /24

    クラスターサブネット

    /26

    ゲートウェイサブネット

    /28

    データベースサブネット

    /28

    プライベートリンクサブネット

    /28

  • 設定する VNet 範囲が AKS クラスターのデフォルトの CIDR ブロック (10.0.0.0/16) で交差していないことを確認します。Azure ユーザーインターフェイスはこの範囲の入力を防ぐことはできませんが、VNet にデフォルトの AKS CIDR ブロックを使用すると、ネットワークの問題が発生します。
  • Ansible Automation Platform on Microsoft Azure と既存のネットワーク間の通信を正常に実行するには、エンタープライズネットワーク範囲が VNet ネットワーク範囲と重複しないようにする必要があります。
  • 既存の Azure VNet がない場合、Azure ユーザーインターフェイスは VNet のデフォルトの CIDR ブロックおよび範囲を提案します。これらのデフォルト値を受け入れないでください。その代わりに、計画しているネットワーク設定を使用してください。

ネットワークアドレス範囲のプランニングおよびデプロイメント時のネットワーク設定フォームの入力に関する情報は、Red Hat Ansible Automation Platform on Microsoft Azure VNet Preparation を参照してください。

1.4. Ansible Automation Platform on Microsoft Azure のインフラストラクチャーの使用

Ansible Automation Platform on Microsoft Azure にインストールする場合には、以下のインフラストラクチャーが Azure サブスクリプションにデプロイされます。

Azure Kubernetes Service (AKS)

Ansible Automation Platform アプリケーションとサービスのデプロイに使用される Kubernetes クラスター。

Service Shape:

  • コンピュートノード: Standard_D4s_v3 (4 vCPU x 16 GiB)
  • 自動スケーリングの最小ノード数: 2
  • 自動スケーリングの最大ノード数: 20
管理された ID
Ansible Automation Platform コンポーネントがデータベース、DNS、ストレージ、その他のサービスなどの他の Azure サービスと通信できるようにする Azure サービス。
キーコンテナー (key vault)
Ansible Automation Platform のデプロイに固有のシークレットを格納するために使用される安全なキーボールト。
ログ分析ワークスペース
Red Hat サイトの信頼性エンジニアが Ansible Automation Platform on Microsoft Azure の操作を検査できるようにする Azure サービス。
プライベート DNS ゾーン
Ansible Automation Platform on Microsoft Azure で使用されるサービスのローカル DNS 要求を管理します。
Azure Database for PostgreSQL

Ansible Automation Platform の PostgreSQL データベースに使用される Azure データベースサービス。

Service Shape: 1 TB

ストレージアカウント

Azure サービスは、プロジェクトやコンテナーなどのローカルストレージのファイルおよびブロックストレージに使用されます。

Service Shape: StorageV2 - Standard_LRS

仮想ネットワーク

Azure サービスは、Azure Application Gateway などのすべての内部ネットワークおよび依存サービスを管理するために使用されます。

Service Shape: アプリケーションゲートウェイ: WAF_v2

正確なインフラストラクチャーの使用状況は、管理対象アプリケーションがテナンシーにデプロイされる時間の長さと、Kubernetes クラスターが自動スケーリングしてワークロードの要件を満たすための自動化要件により異なります。

Microsoft は、Azure 製品およびサービスのコストを見積もるための 価格計算ツール を提供しています。Red Hat は、価格計算ツールでシナリオの例を設定しました: Red Hat Ansible Automation Platform on Azure Infrastructure Estimate を使用して、組織のワークロードに基づいて Kubernetes の想定された自動スケーリング変数をチューニングしています。

1.5. ライフサイクル管理

Red Hat Ansible は、基礎となるサービスおよび Ansible Automation Platform on Microsoft Azure コアシステムの監視、ヘルスチェック、メンテナンス、および Ansible Automation Platform on Microsoft Azure の操作を行います。これには、コンポーネントのライフサイクル管理が含まれます。

1.6. Ansible Automation Platform on Microsoft Azure のスケーリング

Microsoft Azure cluster autoscaler の Ansible Automation Platform on Microsoft Azure のデフォルト設定では、以下のノード数制限の設定で自動スケーリングします。

  • 最小ノード: 1
  • 最大ノード数: 20

1.7. 移行

Red Hat は、既存のデプロイメントを Ansible Automation Platform on Microsoft Azure に移行するソリューションを提供していません。

第2章 Red Hat Ansible Automation Platform on Microsoft Azure のインストール

2.1. 前提条件

Azure requirements

  • Microsoft Azure のサブスクリプション。
  • Azure サブスクリプションへのコントリビューターまたは管理者アクセス。
  • Azure CLI へのアクセス。

Ansible Automation Platform の要件

  • Red Hat カスタマーポータルのアカウント (access.redhat.com)。
  • Red Hat Ansible Automation Platform の特定のサブスクリプションエンタイトルメント。

2.1.1. Azure リソースクォータおよびインフラストラクチャーの制限

Microsoft は、各 Azure リージョン内にリソース制限を課します。CPU の制限は、Red Hat Ansible Automation Platform on Microsoft Azure に影響を与える可能性が最も高いです。

Azure 用に Ansible Automation Platform on Microsoft Azure をインストールする前に、目的のリージョンに管理対象アプリケーションをデプロイする容量があることを確認してください。インフラストラクチャーの要件は、Azure インフラストラクチャーの使用 を参照してください。

2.1.1.1. vCPU のリージョン制限

管理対象アプリケーションのデプロイメント時に使用される Azure リソースは、Azure インフラストラクチャーの使用状況 のリソース要件を一時的に超過します。管理対象のアプリケーションのデプロイ時に、Total Regional vCPUs クォータが一時的に消費されます。

すべての Azure リージョンには、別個の Total Regional vCPU クォータがあります。インストールに失敗しないように、管理対象のアプリケーションをデプロイする Azure リージョンに 80 以上の DS2_V3 vCPU が利用可能であることを確認してください。

以下の手順では、Azure コンソールでサブスクリプションのリソースクォータを表示する方法を説明します。

  1. Azure コンソールで、 を検索します。Quotas で、 を開きます。My Quotas ページ。
  2. 管理対象アプリケーションをデプロイするリージョンを選択して、そのリージョンの割り当ておよび使用状況のメトリクスを表示します。単一のリージョンが選択されていることを確認します。すべてのリージョンを一度に表示しても、単一の Azure リージョンの制限は表示されません。

2.1.1.2. StandardCore のリージョン制限

StandardCore 制限は、管理対象のアプリケーションのデプロイ時に一時的に消費されるリソースのコンピュートメトリックです。

Ansible Automation Platform on Microsoft Azure は、StandardCore の制限に達することなくデプロイできる可能性があります。消費リソースが StandardCore の制限に達したことが原因でデプロイメントが失敗する場合には、container group quota 'StandardCores' exceeded と内容のエラーメッセージが表示されます。 

code: DeploymentFailed
message:
  At least one resource deployment operation failed. Please list deployment operations for details.
  Please see https://aka.ms/DeployOperations for usage details.
details:
  - code: DeploymentScriptContainerGroupInvalidSettings
    message:
      Resource type 'Microsoft.ContainerInstance/containerGroups'
      container group quota 'StandardCores' exceeded in region 'eastus'.
      Limit: '10', Usage: '10' Requested: '1'.

StandardCore 制限引き上げの要求

StandardCore メトリックは、 に表示されません。My Quotas Azure コンソールのページリージョン制限の値を要求するには、Microsoft に直接ご連絡ください。

消費リソースがこの制限に達することが原因でデプロイメントが失敗する場合は、StandardCore から Microsoft へのリソース増加の要求を送信する必要があります。この問題が原因でデプロイメントが失敗した場合にのみ、クォータの増加要求を送信します。

以下の情報を使用して、Microsoft サポートからの質問に答えてください。

コンテナーグループは Linux または Windows のどちらで実行される予定ですか。
Linux
コンテナーグループインスタンス内のコアとメモリーの容量はどれくらいですか ?
Red Hat は 20 コア、16 GB を推奨しています。
コンテナーグループインスタンスをすべて作成するのはいつですか ?
Red Hat Ansible Automation Platform on Microsoft Azure の管理対象アプリケーションのデプロイメント中
コンテナーグループをどのような頻度で作成/削除しますか ?
Red Hat Ansible Automation Platform on Microsoft Azure の管理対象アプリケーションのデプロイメント中のみ

2.2. サービスプリンシパルの作成

Ansible Automation Platform アプリケーションが Azure リソースにアクセスして管理できるようにするには、デプロイ後に認証資格情報を提供する必要があります。Microsoft Azure コレクションはサービスプリンシパル認証をサポートします。

サービスプリンシパルを作成するには、Azure テナントでテナンス全体のパーミッショがある管理者権限が必要です。Ansible Automation Platform on Microsoft Azure デプロイメントは、この手順で作成したサービスプリンシパルと同じサブスクリプション ID でプロビジョニングされます。

  1. Azure ポータルに移動し、Cloud Shell アイコンをクリックしてブラウザーで bash Cloud Shell を開きます。

  2. Azure サービスの自動化に使用するサブスクリプションを使用するように Azure CLI を設定します。シェルから次のコマンドを実行します。 

    az account set --subscription <your_subscription_id>

  3. Azure CLI を使用して以下のコマンドを実行し、Azure AD で特権付きサービスプリンシパルを作成します。 

    az ad sp create-for-rbac --name ansible --role Contributor

    出力には、 が表示されます。appID および tenant サービスプリンシパルのキー: 

    {
  "appId": "xxxxxxx-xxx-xxxx",
  "displayName": "ansible",
  "name": "xxxxxxx-xxx-xxxx",
  "password": "xxxxxxx-xxx-xxxx",
  "tenant": "xxxxxxx-xxx-xxxx"
}
  4. シークレットの作成時にのみ表示されるので、サービスプリンシパルの詳細を安全に保存します。Automation Controller のデプロイ時にこの情報が必要になります。

2.2.1. サービスプリンシパルの管理

サービスプリンシパルの認証情報には有効期限があり、Azure AD 設定に指定される期間に限定されます。Azure に対して長期間自動化する予定の場合には、サービスプリンシパルのライフサイクルスパンを追跡します。必要に応じて、新しいものを作成できます。

更新済みまたは削除されたサービスのプリンシパルのレコードを表示するには、以下の Azure CLI コマンドを実行します。 

az ad sp list -o table | grep ansible

このコマンドでは、サービスプリンシパルのシークレットは表示されません。サービスプリンシパルを削除し、シークレットが失われた場合に新規のプリンシパルを作成します。

新しいサービスプリンシパルを作成して期限切れまたは削除されたサービスプリンシパルを置き換える場合は、置き換えるサービスプリンシパルを使用する認証情報を更新する必要があります。認証情報を更新しないと、その認証情報を使用する自動化に失敗します。

2.3. Azure Marketplace からの Ansible Automation Platform のデプロイ

2.3.1. Azure Marketplace での Ansible Automation Platform の検索

  1. ブラウザーで Azure Marketplace に移動します。
  2. ナビゲーションパネルで、画面左側のメニューから Private Products を選択します。
  3. Red Hat Ansible Automation Platform を検索します。
  4. 検索で返されるカードをクリックします。Red Hat から公式のオファリングを選択してください。
  5. Get it NowContinueCreate の順にクリックして、デプロイメントプロセスを開始します。

2.3.2. Red Hat Ansible Automation Platform on Microsoft Azure のプロビジョニング

Azure マーケットプレイスから Red Hat Ansible Automation Platform マネージドアプリケーションのデプロイを開始すると、フォームが に表示されます。Create Red Hat Ansible Automation Platform on Microsoft Azure ウィンドウ。

フォームに入力する前に、Ansible Automation Platform on Microsoft Azure のパブリックデプロイメントとプライベートデプロイメントのどちらを作成するかを決定します。

  • パブリックデプロイメントでは、パブリックインターネットを介した Ansible Automation Platform on Microsoft Azure ユーザーインターフェイスへのアクセスが可能です。アプリケーションの URL にアクセスするための設定は必要ありません。
  • プライベートデプロイメントは、パブリックインターネットからのアクセスをブロックする分離された Azure VNet で作成されます。Ansible Automation Platform on Microsoft Azure ユーザーインターフェイスにアクセスするには、ネットワークピアリングとルーティングを設定する必要があります。

デプロイメントの開始時に、Ansible Automation Platform on Microsoft Azure VNet のネットワーク設定を作成します。管理アプリケーションをデプロイする前に、ネットワーク設定プランを参照してください。ネットワーク設定の計画については、ネットワーク設定 を参照してください。

フォームに入力して、Red Hat Ansible Automation Platform インフラストラクチャーおよびリソースを Azure テナントにプロビジョニングします。

  1. フォームの以下のフィールドに、デプロイメントの値を入力します。

    • Subscription: を選択します。Ansible on Clouds をクリックします。
    • Resource Group: マネージドアプリケーションをデプロイするリソースグループを作成または選択します。
    • Region: アプリケーションがデプロイされる Azure リージョン。
    • Application Name: マネージドアプリケーションの一意の名前。

    • Administrator Password: デプロイメント用の管理者パスワードを作成します。

      Administrator Password は、8 文字以上で、大文字、小文字、および数字を含める必要があります。

    • Confirm Administrator Password: を確認します。Administrator Password をクリックします。
    • Access: デプロイメントをパブリックにするかプライベートにするかを選択します。

    • Managed Resource Group: マネージドアプリケーションインフラストラクチャーのリソースグループ。

      このリソースグループを他のリソースグループから分離しておきます。Resource Group マネージドアプリケーションをデプロイする場所。

  2. フォームで入力した情報を安全な場所に保存します。提供する必要があります。Administrator password Automation Controller とプライベート自動化ハブにアクセスします。
  3. Next をクリックします。
  4. Red Hat Ansible Automation Platform on Microsoft Azure VNet Preparation の手順に従って、ネットワークを設定します。
  5. Review + Create をクリックします。
  6. フォームに入力した情報が有効な場合、ウィンドウが表示されます。Validation Passed をクリックします。
  7. を選択します。I agree 共同管理者アクセス権限の利用規約に同意します。
  8. Create をクリックして、アプリケーションのプロビジョニングプロセスを開始します。

アプリケーションがプロビジョニングを開始します。

インフラストラクチャーおよびソフトウェアが完全にプロビジョニングされるまで 30 分以上かかる場合があります。

プロビジョニングが完了したら、新しい Ansible Automation Platform インスタンスにアクセスしてログインし、自動化コントローラーと自動化ハブを起動できます。

2.4. Red Hat Ansible Automation Platform on Microsoft Azure へのアクセス

Azure マーケットプレイスから Red Hat Ansible Automation Platform マネージドアプリケーションのデプロイを開始すると、フォームが に表示されます。Create Red Hat Ansible Automation Platform on Microsoft Azure ウィンドウ。フォームに入力して、Ansible Automation Platform インフラストラクチャーおよびリソースを Azure テナントにプロビジョニングします。

  1. Web ブラウザーで、 に移動します。Managed Applications Azure コンソールで。
  2. デプロイした Red Hat Ansible Automation Platform on Microsoft Azure のインスタンスを選択します。
  3. を選択します。Parameters and OutputsSettings 左側のナビゲーションメニューのセクション。
  4. Automation Controller および Automation Hub の URL リンクをコピーし、保存します。リンクの名前は次のとおりです。automationControllerUrl および automationHubUrl をクリックします。

  5. ブラウザーで Automation Controller URL に移動し、以下の認証情報を使用してログインします。

    • Username: admin
    • Password: を使用します。Administrator password Ansible Automation Platform アプリケーションをデプロイしたときに提供。

Ansible Automation Platform on Microsoft Azure に初めてログインするときは、サブスクリプションを設定し、利用規約に同意する必要があります。

2.4.1. ライセンスの関連付け

Red Hat では、Red Hat Ansible Automation Platform on Microsoft Azure にサブスクライブしている場合には、特定のサブスクリプションエンタイトルメントマニフェストが提供されていました。

ライセンスに関する情報を送信するように求められたら、access.redhat.com から取得したライセンスマニフェストファイルを選択します。

2.4.2. Azure Active Directory (Azure AD) SSO 設定

以下の手順に従って、Azure Active Directory (Azure AD) で SSO を設定します。組織がアプリケーションの認証に Azure AD を使用しない場合は、Ansible Automation Platform のユーザー管理システムでユーザーを作成できます。

Ansible Automation Platform デプロイメントのベース URL の設定

  1. ブラウザーで Automation Controller URL に移動し、以下の認証情報を使用してログインします。

    • Username: admin
    • パスワード: を使用します。Administrator password Ansible Automation Platform アプリケーションをデプロイしたときに提供。
  2. Automation Controller コンソールで、Settings をクリックします。
  3. の下の Miscellaneous System settings をクリックします。System 設定。
  4. Edit をクリックします。サービスフィールドの Base URl に Automation Controller URL を入力します。
  5. Save をクリックします。

Ansible Automation Platform の認証の設定

Microsoft Azure Active Directory (Azure AD) のエンタープライズ認証を設定するには、Azure で Ansible Automation Platform デプロイメントを登録して OAuth2 キーおよびシークレットを取得する必要があります。

Automation Controller インスタンスを Azure に登録するには、指定する必要があります。Azure AD OAuth2 Callback URL Automation Controller の設定から。

Azure AD OAuth2 コールバック URL の取得

  1. Web ブラウザーで、自動化コントローラーコンソールを開きます。
  2. メニューの Settings をクリックして、メイン設定ページを開きます。
  3. Azure AD settings をクリックします。Authentication カテゴリーで を開きます。Details ページ。
  4. の値をコピーします。Azure AD OAuth2 Callback URL をクリックします。デプロイされたアプリケーションを Azure AD に登録する時に、この値が必要になります。

Azure AD での登録済みアプリケーションの作成

  1. Web ブラウザーで Azure ポータルを開きます。
  2. Ansible Automation Platform をデプロイしたテナントを使用するようにしてください。
  3. 検索バーに Azure Active Directory と入力します。
  4. を選択します。Azure Active Directory 検索結果から。
  5. メニューオプションから、ManageApp registrations を選択します。
  6. App registrations ページで、+ New registration をクリックします。

  7. 以下のように新規登録を設定します。

    • Name フィールドに、デプロイされたアプリケーションに使用したのと同じ名前を入力します。
    • のデフォルト値を選択します。Supported account types をクリックします。
    • を選択します。WebRedirect URI (optional) をクリックします。
    • Redirect URI (optional) フィールドに を入力します。Azure AD OAuth2 Callback URL Automation Controller から取得した値。
  8. Register をクリックして、登録を作成します。

登録が完了すると、Automation Controller アプリケーションの登録ページが表示されます。

通信用のシークレットの生成

  1. Automation controller application registration page Azure で、 の値をコピーして保存します。Application (client) ID をクリックします。

    にこの値を使用します。Azure AD OAuth2 Key Ansible Automation Platform 設定で。

  2. ManageCertificates & secrets を選択します。
  3. Client secrets をクリックしてから New client secret をクリックします。

  4. 新規シークレットの説明を入力します。

    証明書の自動更新や、有効期限が切れるタイミングの識別はできません。

    説明に日付を含めると便利です。たとえば、次のようになります。AAP Client Secret <Today’s Date in YYYY-MM-DD format> をクリックします。

  5. 新規シークレットの有効期限を指定します。

    証明書の最大有効期間は 2 年間です。長期証明書の作成を妨げる特定のセキュリティーニーズがないかぎり、次の有効期限を選択します。24 months をクリックします。

  6. シークレットを保存します。Value ローカルマシン上の場所に。このページから移動すると、値は表示されなくなり、取得できなくなります。

Ansible Automation Platform 設定へのシークレットの追加

キーを追加します。(Application (client) ID) と値 (Value) を (Azure で生成したシークレット) を Ansible Automation Platform インスタンスに追加します。

  1. Web ブラウザーで Automation Controller コンソールを開きます。
  2. SettingsAzure AD settings をクリックします。
  3. Edit をクリックします。
  4. Azure AD で生成したシークレットの情報を入力します。
  5. Azure AD OAuth2 Key を貼り付けます。Application (client) ID をクリックします。
  6. Azure AD OAuth2 Secret でシークレット を貼り付けます。Value をクリックします。
  7. Save をクリックします。

Automation Controller への Azure 認証情報の追加

  1. Web ブラウザーで Automation Controller を開きます。
  2. ResourcesCredentials を選択し、Add をクリックして、 を開きます。Create New Credentials ページ。
  3. 新しい認証情報の名前を入力し、 を選択します。Azure Resource Manager認証情報タイプの

  4. サービスプリンシパルの詳細を使用して、フォームの値を入力します。

    • Name: 認証情報のわかりやすい名前を選択します。たとえば、*Azure Infrastructure* をクリックします。
    • Subscription ID: Azure で作成されたリソースを関連付けるサブスクリプション ID を入力します。これは、お使いのテナントに固有のものです。組織には複数のサブスクリプション ID がある場合があります。使用すべきサブスクリプション ID については、Azure 管理者にお問い合わせください。
    • Client ID: サービスプリンシパルの作成からの appId 値を入力します。
    • Client Secret: サービスプリンシパルの作成からのパスワードを入力します。
    • Tenant ID: サービスプリンシパルの作成からテナントを入力します。
  5. Save をクリックして認証情報を保存します。

第3章 プライベートネットワークピアリング

Ansible Automation Platform on Microsoft Azure は、独自の Azure 仮想ネットワーク (VNet) を使用して独立した管理リソースグループにデプロイされます。

初回のデプロイ時に、Ansible Automation Platform Ansible Automation Platform on Microsoft Azure の VNet はパブリックインターネット経由でのみ外部ネットワークに要求を送信できます。

Ansible Automation Platform on Microsoft Azure がインターネットギャップされたデプロイメントでリソースにアクセスできるようにするには、リソースへのアクセスがプライベートネットワーク上で行われる必要がある場合、プライベート仮想ネットワークと Red Hat Ansible Automation Platform on Microsoft Azure の管理アプリケーション VNet の間に Azure ネットワークピアリングを設定する必要があります。

Azure VNet は、複数の Azure VNet 間のプライベート通信、および Azure VNet と外部 VPN ルーティング間のプライベート転送ルーティングを有効化するように設定できます。これらの VPN ネットワークはオンプレミスまたは他のクラウドに指定できます。

2 つの Azure ネットワーク設定が同じではありません。Ansible Automation Platform on Microsoft Azure へのユーザーアクセスを有効にするには、Azure 管理者と協力して、デプロイメントを VNet および外部 VPN ルーテッドネットワークに接続します。

注記

ネットワークピアリングは、Azure ネットワークに精通している組織内の Azure 管理者が設定する必要があります。Azure アカウントにネットワークの変更を設定すると、停止やその他の中断が発生する可能性があります。

プロセスとサービスは Microsoft Azure によって制御および管理されているため、このドキュメントで説明されているネットワークピアリング手順は Red Hat ではサポートされていません。Azure ネットワークのピアリングについては、Microsoft にお問い合わせください。

この内容が Microsoft のドキュメントと一致するように努力はしていますが、時間が経過すると内容にずれが生じる場合があります。Azure のネットワークトピックについては、Microsoft ドキュメント が最も信頼のおける情報源です。

Azure は、プライベートネットワークをピア接続するさまざまな方法を提供します。通常、これらは以下の 2 つのカテゴリーに分類されます。

  • Hub-and-spoke peering: このトポロジーには、他の仮想ネットワークがピアリングする一元化されたハブ VNet があります。このハブネットワークには、転送ルーティングを介してトラフィックをルーティングするメカニズムがあります。オンプレミスおよび他のクラウドネットワークとの VPN/Express Connect 接続を含むクラウドネットワークは、ハブ VNet 経由で通信できます。
  • Azure Virtual WAN (VWAN): Azure Virtual WAN は、Azure、オンプレミス、およびその他の VPN/Direct Connect ネットワーク全体で簡素化されたハブアンドスポークネットワークモデリングを提供するネットワークサービスです。VWAN の詳細は、Microsoft の Virtual WAN のドキュメント を参照してください。
  • Direct peering: プライベートネットワークは、ルーティングホップなしで個別に相互に接続されます。これは簡単にピアリングモデルで、一部のネットワークのみを接続する場合に便利です。

Microsoft の 仮想ネットワークピアリングと VPN ゲートウェイの選択 を参照してください。Application architecture fundamentals guide 組織に適したピアリングアプローチを決定します。

3.1. ハブアンドスポークピアリング

注記

ルートテーブルを誤って更新すると、ネットワークが機能しなくなる可能性があります。ネットワークで想定外の動作が発生しても元に戻せる確信がある場合のみ、以下の手順を実行してください。

3.1.1. ハブアンドスポークピアリングプロセスの概要

前提条件

  • Ansible Automation Platform on Microsoft Azure をデプロイしている。
  • Azure テナントで Azure VNet のハブアンドスポーク実装を設定し、テストしている。この前提条件では、仮想ネットワークゲートウェイを含む多くの Azure リソースを設定する必要があります。
  • VPN を含むスポークネットワーク間の転送ルーティングを設定している。手順は、Microsoft Azure ドキュメントの Configure VPN gateway transit for virtual network peering を参照してください。

  • 以下を確認している。

    • Ansible Automation Platform on Microsoft Azure UI へのアクセスを必要とする既存の VNet(VPN および直接接続を含む) の CIDR ブロック。
    • Ansible 自動化のホストまたはエンドポイントが含まれる既存の VNet(VPN および直接接続を含む) の CIDR ブロック。
    • アプリケーションの管理対象リソースグループからの Ansible Automation Platform on Microsoft Azure の CIDR ブロック。手順は、管理対象リソースグループの CIDR ブロックの検索 を参照してください。

ネットワークをピアリングする前に、プライベート VNets と Ansible Automation Platform on Microsoft Azure ネットワークの間にネットワークアドレス空間の重複がないことを確認します。

手順

  1. Ansible Automation Platform on Microsoft Azure 管理対象の Kubernetes クラスター の CIDR ブロックを検索します。Finding the CIDR Block of the managed application Kubernetes cluster を参照してください。
  2. Ansible Automation Platform サブネットを使用したネットワークピアリングの設定Ansible Automation Platform サブネットを使用したネットワークピアリングの設定 を参照してください。

  3. ルートテーブルを更新します。

    1. 既存のネットワークからルートテーブルを設定し、トラフィックを管理対象アプリケーション CIDR に送信します。Ansible Automation Platform のユーザーインターフェイスを要求するすべてのネットワークと、そのリソースに対して自動化が実行されるすべてのネットワークのルーティングテーブルにルートを追加する必要があります。Microsoft Azure での Ansible Automation Platform へのルーティング を参照してください。
    2. 自動化またはユーザーインターフェイスへのアクセスに、Ansible Automation Platform が通信する各スポークネットワークの VNet へのルーティングを設定します。VNets へのルーティング を参照してください。

3.1.1.1. 管理対象リソースグループの CIDR ブロックを見つける

  1. に移動します。Resource Groups Azure ポータルのページ
  2. Red Hat Ansible Automation Platform on Microsoft Azure の管理対象リソースグループをクリックします。リソースグループ名の前には -mrg が付いています。

  3. リソースグループ内の VNet を選択して、 でその設定を表示します。Overview ページ。

    クラスターの CIDR ブロックが に表示されます。Address Space をクリックします。

詳細については、Microsoft Azure での 仮想ネットワークと設定の表示 を参照してください。Virtual network ガイド。

3.1.1.2. Ansible Automation Platform サブネットを使用したネットワークピアリングの設定

Azure コンソール内では、Azure 仮想ネットワーク (VNet) は として知られています。this virtual network ピアリングする VNet は として知られています。remote virtual network をクリックします。

Virtual Networks Azure ポータルのページで、以下の設定を使用して、Ansible Automation Platform on Microsoft Azure アプリケーションでピアリングする Azure VNet と VNet の間のピアリングを設定します。

  • の下でThis virtual network で、Microsoft Azure 仮想ネットワーク上の Ansible Automation Platform の設定を選択します。

    • Peering link name: <hub_to_aap_peering_link_name>
    • Traffic to remote virtual network: Allow
    • Traffic forwarded from remove virtual network: Allow
    • Virtual network gateway or Route Server: Use this network’s gateway or Route server

  • の下でRemote virtual network で、Azure とピアリングする仮想ネットワークの設定を選択します。

    • Peering link name: <aap_to_hub_peering_link_name>
    • Traffic to remote virtual network: Allow
    • Traffic forwarded from remote virtual network: Allow
    • Virtual network gateway or Route Server: Use the remote virtual network’s gateway or Route server

ピアリングの設定の詳細については、Microsoft Azure で ピアリングを作成する を参照してください。Virtual network ガイド。

3.1.1.3. ルートテーブルの更新

ルートテーブルを更新する前に、ハブアンドスポークのピアリングプロセスの 前提条件 を満たしていることを確認します。

Microsoft Azure での Ansible Automation Platform へのルーティング

  1. Azure ポータルで Route Tables に移動します。
  2. ハブアンドスポーク設定の一部として、1 つ以上のルートテーブルを作成してネットワーク間のルートを定義しました。これらのルートテーブルの 1 つをクリックします。
  3. ルートテーブルのメニューバーから、RoutesAdd に移動します。
  4. ルートテーブルのメニューバーから、RoutesAdd を選択します。

  5. 既存のネットワークからルートを設定し、トラフィックを Ansible Automation Platform に送信します。Ansible Automation Platform ユーザーインターフェイスを要求するネットワークおよびリソースに対して自動化を実行するネットワークにルートを設定する必要があります。追加するルートごとに、以下の情報を入力します。

    • Route name: Ansible Automation Platform マネージドアプリケーションネットワークのルート名を入力します。
    • Address Prefix: マネージドアプリケーション kubernetes クラスターの CIDR ブロック
    • Next Hop Type: Virtual network gateway
  6. OK をクリックして、新しいルートをルートリストに保存します。

トラフィックを Ansible Automation Platform にルーティングする他のすべてのルートテーブルに対して、この手順を繰り返します。

VNet へのルーティング

自動化またはユーザーインターフェイスにアクセスするために、Ansible Automation Platform が通信するスポークネットワークごとにルートを追加します。

  1. Azure ポータルで Route Tables に移動します。

  2. ルートテーブルの一覧で、 Ansible Automation Platform on Microsoft Azure 管理アプリケーションのルートテーブルを選択します。

    Ansible Automation Platform ルートテーブルの名前は、以下の表記法を使用します。 

    aks-agentpool-<numbers>-routetable
  3. ルートテーブルのメニューバーから、RoutesAdd に移動します。
  4. 自動化またはユーザーインターフェイス両方へのアクセスに、Ansible Automation Platform が通信する各スポークネットワークの VNet へのルーティングを設定します。

  5. 追加するルートごとに、以下の情報を入力します。

    • Route name: Ansible Automation Platform がルーティングするスポークネットワークのルート名を入力します。
    • Address Prefix: スポークネットワークの CIDR ブロック
    • Next Hop Type: Virtual network gateway
  6. OK をクリックして、新しいルートをルートリストに保存します。

ルーティングルールを設定すると、ハブネットワークを介して Azure 上の Ansible Automation Platform との間でトラフィックがルーティングされます。

仮想アプライアンスを介したアウトバウンドルーティング

組織が仮想アプライアンス接続を介して Azure ファイアウォールサービスまたはサードパーティーのファイアウォールアプライアンスを使用している場合、管理対象アプリケーションからの送信接続を設定して、Red Hat がアプリケーションを維持し、外部リソースに対する自動化を有効にできるようにする必要があります。

これを実装する最も簡単な方法は、ポート 443 からのすべての送信トラフィックを許可するファイアウォールルールを作成することです。

ポート 443 からのすべてのアウトバウンドトラフィックを許可しないことを選択した場合は、ルートを設定する必要があります。

  • Red Hat が Ansible Automation Platform on Microsoft Azure を管理およびアップグレードし、セキュリティーパッチを適用するには、Azure Kubernetes Service (AKS) クラスター内のすべてのマシンが、Ansible Automation Platform で使用されるコンテナーの更新をプルする要求を送信できる必要があります。Ansible Automation Platform ルートテーブルに、Ansible Automation Platform on Microsoft Azure 管理対象アプリケーションの完全な CIDR 範囲から次のドメインへのアウトバウンドトラフィック用のルートを追加します。

    • registry.redhat.io
    • quay.io
  • また、ファイアウォールから、Ansible Automation Platform が自動化ジョブを実行する他の外部ドメインまたは IP アドレスへのトラフィックを許可する必要があります。そうしないと、ファイアウォールが Ansible Automation Platform と自動化の宛先の間の接続をブロックします。
3.1.1.3.1. 関連情報

Azure のルートテーブルにルートを追加する方法の詳細については、Microsoft Azure で ルートを作成する を参照してください。Virtual network ガイド。

3.2. Azure Virtual WAN (VWAN)

3.2.1. VWAN ハブの Ansible Automation Platform on Microsoft Azure ネットワークへのピアリング

ピアリングする前に、Microsoft Azure 上の Ansible Automation Platform を接続する予定の Azure VWAN のハブネットワークに、ハブネットワークと少なくとも 1 つのスポークネットワークを接続する必要があります。

前提条件

  • 事前設定された Azure VWAN。

  • VWAN への次の接続の 1 つ以上:

    • ユーザーがリモートでログインして Microsoft Azure 上の Ansible Automation Platform にアクセスできる Azure 仮想マシンを含む DMZ ネットワーク。
    • ローカルマシンが SSH トンネリングで接続して Microsoft Azure 上の Ansible Automation Platform にアクセスできる Azure 仮想マシンを含む DMZ ネットワーク。
    • ローカルマシンから Microsoft Azure 上の Ansible Automation Platform にトラフィックをルーティングするローカルネットワークへの VPN または Direct Connect サービス。

手順

  1. に移動します。Virtual Network Connections Ansible Automation Platform インスタンスとピアリングする VWAN のページ。

  2. VWAN ハブと Ansible Automation Platform インスタンス間の接続を作成するには、次の設定を使用します。

    • Connection Name: <Ansible_Automation_Platform_connection_name>
    • Hubs: マネージドアプリケーション VNet がピアリングする 1 つ以上の VWAN ハブネットワークを選択します。
    • Subscription: Ansible Automation Platform on Microsoft Azure がデプロイされているサブスクリプションを選択します。
    • Resource group: マネージドアプリケーションのマネージドリソースグループ。通常、mrg- という接頭辞が付きます。
    • Virtual network: マネージドアプリケーションの VNet。管理されたリソースグループには 1 つの VNet のみがあります。
    • Propagate to none: No
    • Associate Route Table: デフォルトのルートテーブル、または組織が VWAN 用に設定した適切なルートテーブルを選択します。
    • Propagate to Route Tables: 1 つ以上の既定のルートテーブル、または組織が VWAN 用に設定した適切なルートテーブルを選択します。
    • Propagate to labels: 組織でラベルを使用している場合は、ラベルを選択します。
    • Static routes: このフィールドは入力しないでください。

ネットワークピアリングが完了すると、トラフィックは VWAN ハブネットワークを介して Ansible Automation Platform on Microsoft Azure との間でルーティングされます。

関連情報

3.3. ダイレクトピアリング

ダイレクトピアリングを使用して、仮想ネットワークを直接接続できます。2 つのネットワークがピアリングされると、Azure はそれらの間のルートを更新し、トラフィックがそのルート間で自動的に流れるようにします。

ダイレクトピアリング方式は、ハブアンドスポークモデルよりも設定が簡単です。ただし、ダイレクトネットワークピアリングの数には限りがあります。新規ネットワークにはそれぞれ、他のすべてのネットワークへのピアリングが必要になるため、仮想ネットワークの数が増えると、ダイレクトピアリングの管理が難しくなります。

3.3.1. ダイレクトネットワークピアリングの設定

で、Azure ネットワークと VNet の間にネットワークピアリングを設定できます。Virtual Networks Azure ポータルのページ。

Azure コンソール内では、Azure 仮想ネットワークは として知られています。this virtual network ピアリングする VNet は として知られています。remote virtual network をクリックします。

Virtual Networks Azure ポータルのページで、以下の設定を使用して、Ansible Automation Platform on Microsoft Azure アプリケーションでピアリングする Azure ネットワークと VNet を設定します。

  • の下でThis virtual network で、Microsoft Azure 仮想ネットワーク上の Ansible Automation Platform の設定を選択します。

    • Peering link name: <hub_to_aap_peering_link_name>
    • Traffic リモート仮想ネットワークへ: Allow
    • Traffic リモート仮想ネットワークから転送: Allow
    • Virtual network gateway or Route Server: Use this network’s gateway or Route server

  • の下でRemote virtual network で、Azure とピアリングする仮想ネットワークの設定を選択します。

    • Peering link name: <aap_to_hub_peering_link_name>
    • Subscription: Ansible Automation Platform on Microsoft Azure がデプロイされているサブスクリプションを選択します。
    • Virtual network: Microsoft Azure 仮想ネットワーク vnet-<aap_identifier>-<region> で Ansible Automation Platform を選択します。
    • Traffic to remote virtual network: Allow
    • Traffic forwarded from remote virtual network: Allow
    • Virtual network gateway or Route Server: Use the remote virtual network’s gateway or Route server

ダイレクトネットワークピアリングの設定が済むと、Ansible Automation Platform on Microsoft Azure と Vnet 上のプライベートホストおよび IP との間でトラフィックがルーティングされます。

ピアリングを設定するための詳細な手順については、Microsoft Azure で ピアリングを作成する を参照してください。Virtual network ガイド。

ダイレクトピアリングの詳細については、Microsoft Azure での 仮想ネットワークピアリング を参照してください。Virtual network ガイド。

第4章 Red Hat Ansible Automation プラットフォームへの接続

ネットワークピアリングが完了し、Azure ルーティング設定が確立されたら、Azure ネットワーク設定を介してチームが Ansible Automation Platform にアクセスする方法を選択できます。

4.1. アクセス詳細

Ansible Automation Platform がパブリックアクセスとプライベートアクセスのどちらでデプロイされたかに関係なく、一連の DNS レコードが作成されます。DNS レコードは、Ansible Automation Platform にデプロイメント用の有効な TLS 証明書を発行し、アプリケーションに簡単にアクセスできるようにするために作成されます。

Ansible Automation Platform アプリケーションの URL のリストを表示するには、 に移動します。Parameters and Outputs デプロイメント用の Azure Marketplace マネージドアプリケーションリストのページ。

4.2. パブリックデプロイメント

Ansible Automation Platform on Microsoft Azure をデプロイしたときにパブリックアクセスを選択した場合は、ブラウザーからパブリックインターネット経由で Ansible Automation Platform アプリケーションの URL にアクセスできます。

4.3. プライベートデプロイメント

Red Hat Ansible Automation Platform on Microsoft Azure のデプロイ時にプライベートアクセスを選択した場合は、Red Hat Ansible Automation Platform on Microsoft Azure アプリケーションに発行された DNS レコードは、管理対象アプリケーションのデプロイ時に選択される CIDR ブロック内のプライベートアドレスを参照します。ネットワークピアリングを作成した後、このアドレスへのアクセスを設定する必要があります。

Ansible Automation Platform on Microsoft Azure に接続するために選択する設定とアクセス方法は、組織が Azure インフラストラクチャーを管理する方法によって異なります。Azure 管理者は、組織に適したモデルを決定して設定構成を行う必要があります。

最も一般的なオプションは次のとおりです。

4.3.1. Azure がホストする仮想マシン

少数のユーザーが Azure ネットワーク上のプライベートネットワークリソースにアクセスするためのアクセスを設定する簡単な方法は、ユーザーがパブリックインターネットからリモートでログインできる境界ネットワーク (DMZ VNet) にジャンプボックス VM を作成することです。ジャンプボックス VM には、GUI やブラウザーなどのワークステーション機能が必要です。

ユーザーは、VNC、RDP、またはその他の画面共有プロトコルを介して、オンプレミスマシンからパブリックアクセス可能な仮想マシンにリモートでログインできます。

Azure プライベートネットワーク上の Ansible Automation Platform Web UI にアクセスするには、ユーザーはジャンプボックス VM のブラウザーを使用して URL に移動します。

DMZ VNet は、ネットワークピアリングを介して他の Azure VNet に接続され、ネットワークトラフィックを Ansible Automation Platform VNet に送信するようにルーティングルールが確立されます。

次の図は、Azure 仮想マシンを介したプライベートネットワークアクセスの設定例のトポロジーを示しています。

aap on azure private nw access vm

4.3.2. VPN

組織で多くのユーザーがプライベート接続を介して Ansible Automation Platform にアクセスする必要がある場合、または組織がすでに Azure で VPN または 直接接続を使用している場合は、このアプローチが適している可能性があります。

この設定では、オンプレミスインフラストラクチャーは、ネットワークアプリケーションを使用して Azure に接続しており、Ansible Automation Platform がローカルネットワークに接続されたコンピューターすべてにアクセスできるようにするルーティングルールを使用します。Virtual Network Gateway に接続されている VNet は、ネットワークトラフィックを Ansible Automation Platform VNet に送信するために確立されたネットワークピアリングによって他の Azure VNet に接続されます。

この設定では、ユーザーは、パブリックアクセスアプローチを使用しているかのように、アプリケーション URL を介して Ansible Automation Platform にアクセスできます。

aap on azure private nw access vpn

4.3.3. SSH トンネル

VPN がオプションではなく、またローカルユーザーに技術的なスキルがある場合は、ユーザーがローカルマシンのブラウザーから Ansible Automation Platform に安全にアクセスできるように、SSH トンネルアプローチを代わりの手段として使用できます。

このアクセスモデルを実装するには、Azure Hosted Virtual Machine の方法と同様に、軽量の Linux ベースの SSH サーバーを DMZ ネットワークに作成します。SSH サーバーは、ユーザーのローカルマシンと Ansible Automation Platform on Microsoft Azure の間のプロキシーとして機能するだけなので、ワークステーション機能は必要ありません。

各ユーザーは、サーバー上で SSH ユーザーとして設定する必要があります。次に、ユーザーはローカルマシンから SSH サーバーへの SSH トンネルを確立して、Ansible Automation Platform on Microsoft Azure のトラフィックをルーティングできます。

このアプローチは、Linux および macOS ホストマシンでの実装が簡単ですが、Windows でも実行できます。

  1. Ansible Automation Platform の URL から、DNS レコードが設定されているプライベート IP ではなくローカルマシンにトラフィックをルーティングするように、ローカルホストファイルを更新します。次の行を hosts ファイルに追加します。 

    127.0.0.1 controller.<your_AAPonAzure_instance>.az.ansiblecloud.com

    次の例は、hosts ファイルの行を示しています。 

    ##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting. Do not change this entry.
#
127.0.0.1       localhost
255.255.255.255 broadcasthost
::1             localhost

127.0.0.1 controller.<your_AAPonAzure_instance>.az.ansiblecloud.com

  2. root 権限を持つユーザーとして、ssh コマンドを実行して SSH トンネルを確立します。

    以下の例では、SSH_server_IP は、DMZ 内の SSH サーバーの IP アドレスを表します。 

    sudo ssh azureuser@<SSH_server_IP> -i ~/.ssh/id_ssh_key -N -f -L 443:controller.<your_AAPonAzure_instance>.az.ansiblecloud.com:443

    -L フラグは、ローカルシステムがポート 443 (HTTPS) を介してAutomation Controller URL のトラフィックをルーティングするようにします。

    注記

    ルーティングパスの両側でポート 443 を使用する必要があります。ローカルマシンで別のポートを使用すると、一部の Ansible Automation Platform 機能が正しく機能しなくなります。

SSH トンネルが確立され、Azure ルーティングが設定されたら、ローカルブラウザーから https://controller で Automation Controller URL にアクセスできます。your_AAPonAzure_instance>.az.ansiblecloud.com.

aap on azure private nw access ssh

 

法律上の通知

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.