6.4. 保护自动化中心和自动化控制器之间的连接

以下流程描述了如何保护自动化中心负载均衡器

先决条件

  • 确保您使用 openssl v3 或更高版本。

流程

  1. 使用以下命令生成自动化中心证书:

    $ openssl req -x509 -nodes -newkey rsa:4096 -keyout hub_key.pem -out hub_cert.pem -sha256 -days 365 -addext "subjectAltName = DNS:<HUB_DNS_NAME>"

    其中 HUB_DNS_NAME 是 hub loadbalancer 的 DNS 名称。也可以请求证书或导入到 AWS 中。

  2. 在 Amazon Web Services UI 中,进入到 Amazon Certificate Manager。确保您位于正确的区域。
  3. Import 开始导入生成的证书。
  4. hub_cert.pem 的内容粘贴到 Certificate body 字段中。
  5. hub_key.pem 的内容粘贴到 Certificate private key 字段中。
  6. Next
  7. 可选:添加您需要的任何额外标签。
  8. 点击 Next
  9. Import

更新自动化中心内部负载均衡器监听器

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 Load Balancers。确保您位于正确的区域。
  2. 为自动化中心选择内部负载均衡器。
  3. Listeners 选项卡。
  4. 单击 Add listener
  5. 为协议选择 HTTPS,并确保端口为 443
  6. 为默认操作选择 Forward,并确保目标组是 自动化中心实例 组。
  7. 选择 Secure listener settings > Default SSL/TLS certificate,并确保选择了 From ACM
  8. 选择导入的 ACM 证书。
  9. 点击 Add

更新负载均衡器安全组

流程

  1. 在 Amazon Web Services UI 中,进入到 EC2 安全组。确保您位于正确的区域。
  2. 选择自动化中心 ALB 安全组
  3. 选择 Inbound rules 选项卡,然后点 Edit inbound rules
  4. 添加规则类型:HTTPS,其中 Source 为:Anywhere-IPv4
  5. 删除旧的 HTTP 规则,然后点 Save rules