Ansible AWX와 함께하는 Machine & Workload Identity

Machine & Workload Identity와 Ansible AWX를 함께 사용하는 방법

작동 방식

사전 조건

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1단계/5단계. Teleport 리소스 설정

2단계/5단계. Kubernetes 리소스 설정

3단계/5단계. 새 컨테이너 그룹 만들기

파드 스펙 변경 요약

AWX 설정

4단계/5단계. 인벤토리 정의

5단계/5단계. Ansible 플레이북에서 자격 증명 사용

문제 해결

Ansible이 "Shared connection to foo.example.teleport.sh closed."와 같은 오류로 Teleport 호스트에 연결하지 못하는 경우

OIDC 조인 수동 설정

다음 단계

Ansible AWX(이전에 Ansible Tower라고 알려진)는 Ansible 위에서 Ansible 워크플로우를 실행하고 조율하는 데 사용할 수 있는 인터페이스입니다. 이 워크플로우는 SSH를 통해 원격 호스트에 연결하며 인증 방식이 필요합니다. Machine & Workload Identity는 AWX를 통해 실행되는 Ansible 작업에 단기 인증서를 제공하여 작업이 Teleport에 등록된 SSH 노드에 안전하고 감사 가능한 방식으로 연결할 수 있게 합니다. 이 가이드는 오픈 소스 Ansible AWX와 오픈 소스 Ansible AWX 엔진 위에 구축된 Red Hat의 상용 Ansible Automation Platform 자동화 컨트롤러 모두에 적용됩니다. 작동 방식 # 이 가이드에서는 Ansible AWX의 컨테이너 그룹이 Machine & Workload Identity 에이전트 tbot 을 사이드카로 실행하도록 설정합니다. 이는 Ansible AWX 작업에 자격 증명과 고성능 멀티플렉싱 프록시를 제공합니다. 그런 다음 Ansible이 이 자격 증명을 사용하여 Teleport Proxy Service를 통해 SSH 노드에 연결하도록 설정합니다. 사전 조건 # A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" Follow the instructions for your platform to install tctl and tsh clients: 접근 가능한 Kubernetes 클러스터에서 실행 중인 Ansible AWX(또는 Ansible Tower, Ansible Automation Platform) 설치본. 로컬 머신에 kubectl 클라이언트가 설치되어 있고 Ansible AWX가 실행 중인 Kubernetes 클러스터에 접근하도록 설정되어 있어야 합니