LEo的网络日志 LEo's blog http://reborncodinglife.com 使用external-secrets访问azure keyvault <h2 id="查看aks是否启用oidc">查看aks是否启用oidc</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az aks show \ -g rg-aap-mgmt \ -n aks-aap-mgmt \ </code></pre></div></div> <p>记录oidc issuer url。</p> <h2 id="创建-user-assigned-managed-identity">创建 user assigned managed identity</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az identity create \ -g rg-aap-mgmt \ -n id-obs-aap-mgmt-dev </code></pre></div></div> <p>记录输出中的clientId和principalId。</p> <h2 id="给-managed-identity-授权-key-vault">给 managed identity 授权 key vault</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az role assignment create \ --assignee-object-id &lt;principalId&gt; \ --assignee-principal-type ServicePrincipal \ --role "Key Vault Secrets User" \ --scope /subscriptions/&lt;SUB_ID&gt;/resourceGroups/&lt;KV_RG&gt;/providers/Microsoft.KeyVault/vaults/&lt;KV_NAME&gt; or az keyvault set-policy \ --name kv-aap-vault-dev \ --object-id xxx \ --secret-permissions get list </code></pre></div></div> <h2 id="创建-federated-identity-credential">创建 federated identity credential</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az identity federated-credential create \ --name eso-federation \ --identity-name eso-identity \ --resource-group &lt;AKS_RG&gt; \ --issuer &lt;OIDC_ISSUER_URL&gt; \ --subject system:serviceaccount:external-secrets:external-secrets \ --audience api://AzureADTokenExchange </code></pre></div></div> <h2 id="给external-secrets的sa添加一下annotation">给external-secrets的sa添加一下annotation</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>azure.workload.identity/client-id: xxx azure.workload.identity/tenant-id: xxx </code></pre></div></div> <h2 id="创建-clustersecretstore">创建 clustersecretstore</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>apiVersion: external-secrets.io/v1beta1 kind: ClusterSecretStore metadata: name: cluster-cross-account-secret-store namespace: external-secrets spec: provider: azurekv: authType: WorkloadIdentity vaultUrl: https://kv-aap-vault-dev.vault.azure.net serviceAccountRef: name: cluster-external-secrets namespace: external-secrets </code></pre></div></div> <h2 id="创建clusterexternalsecret">创建clusterexternalsecret</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>apiVersion: external-secrets.io/v1beta1 kind: ClusterExternalSecret metadata: name: grafana-admin-credentials namespace: external-secrets spec: externalSecretName: "grafana-admin-credentials" namespaceSelector: matchLabels: kubernetes.io/metadata.name: xxx refreshTime: 1m externalSecretSpec: refreshInterval: 1m secretStoreRef: name: cluster-secret-store kind: ClusterSecretStore target: name: grafana-admin-credentials template: type: Opaque data: xxx: "" xxx: admin data: - secretKey: admin_password remoteRef: key: "xxx" </code></pre></div></div> <h2 id="查看生成的secret">查看生成的secret</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>$ k get secret NAME TYPE DATA AGE grafana-admin-credentials Opaque 2 25s </code></pre></div></div> Tue, 20 Jan 2026 00:12:05 +0000 http://reborncodinglife.com/2026/01/20/use-external-secrets-to-get-secrets-from-azurekv/ http://reborncodinglife.com/2026/01/20/use-external-secrets-to-get-secrets-from-azurekv/ 使用external-secrets访问aws secrets manager <h2 id="遇到的错误">遇到的错误</h2> <p>在安装 external-secrets 并创建 clustersecretstore 后,状态一直不是 ready,日志中出现了以下的错误:</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>accessdenied: not authorized to perform sts:assumerolewithwebidentity </code></pre></div></div> <p>这意味着 external-secrets 试图通过 serviceaccount 向 aws sts 请求权限,但 aws 并没有授予这个 serviceaccount 相应的 iam role 权限。</p> <h2 id="解决步骤">解决步骤</h2> <h3 id="1-确认使用的-serviceaccount">1. 确认使用的 serviceaccount</h3> <p>external-secrets 的 pod 使用哪个 serviceaccount,需要确认清楚。</p> <h3 id="2-检查-rosaeks-的-oidc-provider">2. 检查 rosa/eks 的 oidc provider</h3> <p>集群是否已经启用 oidc,并在 aws iam 中注册,确保 aws 可以验证 pod 身份。</p> <h3 id="3-在-aws-上创建-iam-role">3. 在 aws 上创建 iam role</h3> <p>为 external-secrets 的 serviceaccount 创建一个 iam role,并配置允许通过 oidc token assume 这个 role。</p> <h3 id="4-设置-role-的信任关系">4. 设置 role 的信任关系</h3> <p>trust policy 指定只有对应的 serviceaccount 可以 assume 这个 role。</p> <h3 id="5-为-role-授权访问-secrets-manager">5. 为 role 授权访问 secrets manager</h3> <p>给 role 添加最小权限策略,使其可以读取需要的 secret。</p> <h3 id="6-把-role-绑定到-serviceaccount">6. 把 role 绑定到 serviceaccount</h3> <p>在 serviceaccount 上添加 annotation,指向刚创建的 iam role。</p> <h3 id="7-重启-external-secrets-pod">7. 重启 external-secrets pod</h3> <p>让 pod 获取新的 oidc token 并通过 sts 拿到临时凭证。</p> <h3 id="8-验证-clustersecretstore-状态">8. 验证 clustersecretstore 状态</h3> <p>确认状态变成 ready,external-secrets 能正常读取 secrets manager。</p> Thu, 15 Jan 2026 00:12:05 +0000 http://reborncodinglife.com/2026/01/15/use-external-secrets-to-get-secrets-from-aws-secret-mgr/ http://reborncodinglife.com/2026/01/15/use-external-secrets-to-get-secrets-from-aws-secret-mgr/ macos双开微信 <p>运行命令即可。</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>sudo cp -R /Applications/WeChat.app /Applications/WeChat1.app sudo /usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier com.tencent.xinWeChat1" /Applications/WeChat1.app/Contents/Info.plist sudo codesign --force --deep --sign - /Applications/WeChat1.app </code></pre></div></div> Thu, 15 Jan 2026 00:12:05 +0000 http://reborncodinglife.com/2026/01/15/run-2-wechat-on-macos/ http://reborncodinglife.com/2026/01/15/run-2-wechat-on-macos/ 使用fluent-bit将k8s日志转发到splunk <h2 id="安装fluent-bit">安装fluent-bit</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>helm repo add fluent https://fluent.github.io/helm-charts helm install my-fluent-bit fluent/fluent-bit --version 0.49.0 </code></pre></div></div> <h2 id="配置values">配置values</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>config: inputs: | [INPUT] Name tail Path /var/log/containers/*.log multiline.parser docker, cri Tag kube.* Mem_Buf_Limit 5MB Skip_Long_Lines On filters: | [FILTER] Name kubernetes Match kube.* Merge_Log On Keep_Log Off K8S-Logging.Parser On K8S-Logging.Exclude On [FILTER] Name grep Match kube.* Regex kubernetes['namespace_name'] ^(kube-system|operators|ansible-automation-platform)$ outputs: | [OUTPUT] name splunk match kube.* host port 443 splunk_token TLS On TLS.Debug Off TLS.Verify On event_key $log event_source $log_path event_index ssli_test event_host ssli_test </code></pre></div></div> Wed, 21 May 2025 00:12:05 +0000 http://reborncodinglife.com/2025/05/21/use-fluent-bit-to-forward-k8s-log-to-splunk/ http://reborncodinglife.com/2025/05/21/use-fluent-bit-to-forward-k8s-log-to-splunk/ 在ansible on clouds部署mesh <h2 id="在azure创建aap-24">在azure创建aap 2.4</h2> <ul> <li>选择public模式,方便访问aap</li> </ul> <h2 id="在azure创建hop和exec-node">在azure创建hop和exec node</h2> <ul> <li>2个node使用的rhel9.5</li> <li>创建exec node时选择不同的vnet,确保2个node之间的子网不重叠,以免ip冲突,hop无法连接exec</li> <li>配置hop node和exec node <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>sudo subscription-manager register --auto-attach # aap 2.4 sudo subscription-manager repos --enable ansible-automation-platform-2.4-for-rhel-9-x86_64-rpms # aap 2.5 sudo subscription-manager repos --enable ansible-automation-platform-2.5-for-rhel-9-x86_64-rpms sudo dnf install -y ansible-core ansible-galaxy collection install ansible.receptor sudo firewall-cmd --permanent --zone=public --add-port=27199/tcp </code></pre></div> </div> </li> <li>配置hop node ssh免登录到exec node <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>ssh-keygen -t rsa -b 4096 ssh-copy-id -i ~/.ssh/id_rsa.pub ssli@exec_node ssh-copy-id -i ~/.ssh/id_rsa.pub ssli@hop_node # 在exec node执行 ssh-keygen -t rsa -b 4096 ssh-copy-id -i ~/.ssh/id_rsa.pub ssli@exec_node </code></pre></div> </div> </li> </ul> <h2 id="配置automation-controller">配置automation controller</h2> <p>参考这个文章配置automation controller:https://www.redhat.com/en/blog/deploying-automation-mesh-ansible-clouds</p> <h2 id="配置hop和exec-node">配置hop和exec node</h2> <p>参考这个文档配置hop和exec node:https://www.redhat.com/en/blog/deploying-automation-mesh-ansible-clouds</p> <h2 id="网络配置">网络配置</h2> <ul> <li>aap到hop node的双向peering</li> <li>hop node到exec node的双向peering</li> <li>hop node到exec node的网络安全组中打开相应的端口22和27199</li> </ul> <h2 id="故障排查">故障排查</h2> <ul> <li>重启hop node和exec node</li> <li>重启controller pod</li> <li>在credentials添加exec node的登录用户和密码用于执行作业</li> <li>增加磁盘空间</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>Error: copying system image from manifest list: writing blob: adding layer with blob "sha256:d865617f929d019bc8240e48ac30981f27cf3f56ab30b05c99164d4d7b904438"/""/"sha256:f06049f87c01a63cd0d784d9fef445e7381cceccaa7c5a05ab9306fbe6939e5a": unpacking failed (error: exit status 1; output: open /usr/local/lib/python3.9/site-packages/azure/mgmt/network/v2019_06_01/aio/operations/__pycache__/_network_security_groups_operations.cpython-39.pyc: no space left on device) WARN[0035] Failed to add pause process to systemd sandbox cgroup: dbus: couldn't determine address of session bus </code></pre></div></div> <p>增加磁盘空间:</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>[ssli@ssli-mesh-exec ~]$ podman info |egrep 'graphRoot|overlay' graphDriverName: overlay graphRoot: /home/ssli/.local/share/containers/storage graphRootAllocated: 1006632960 graphRootUsed: 380014592 [ssli@ssli-mesh-exec ~]$ df -hP /home/ssli/ Filesystem Size Used Avail Use% Mounted on /dev/mapper/rootvg-homelv 960M 363M 598M 38% /home [ssli@ssli-mesh-exec ~]$ sudo lvextend -L +4G /dev/mapper/rootvg-homelv Size of logical volume rootvg/homelv changed from 1.00 GiB (256 extents) to 5.00 GiB (1280 extents). Logical volume rootvg/homelv successfully resized. [ssli@ssli-mesh-exec ~]$ sudo xfs_growfs /home meta-data=/dev/mapper/rootvg-homelv isize=512 agcount=4, agsize=65536 blks = sectsz=4096 attr=2, projid32bit=1 = crc=1 finobt=1, sparse=1, rmapbt=0 = reflink=1 bigtime=1 inobtcount=1 nrext64=0 data = bsize=4096 blocks=262144, imaxpct=25 = sunit=0 swidth=0 blks naming =version 2 bsize=4096 ascii-ci=0, ftype=1 log =internal log bsize=4096 blocks=16384, version=2 = sectsz=4096 sunit=1 blks, lazy-count=1 realtime =none extsz=4096 blocks=0, rtextents=0 data blocks changed from 262144 to 1310720 [ssli@ssli-mesh-exec ~]$ df -hP /home/ssli/ Filesystem Size Used Avail Use% Mounted on /dev/mapper/rootvg-homelv 5.0G 393M 4.6G 8% /home </code></pre></div></div> <h2 id="确认automation-mesh">确认automation mesh</h2> <p>在controller的instances页面,hop node和exec node状态都是ready。</p> <h2 id="参考">参考</h2> <ul> <li>https://www.redhat.com/en/blog/deploying-automation-mesh-ansible-clouds</li> <li>https://docs.redhat.com/en/documentation/red_hat_ansible_automation_platform/2.4/html/red_hat_ansible_automation_platform_automation_mesh_for_operator-based_installations/assembly-automation-mesh-operator-aap#proc-define-mesh-node-types</li> </ul> Thu, 09 Jan 2025 00:12:05 +0000 http://reborncodinglife.com/2025/01/09/deploying-automation-mesh-ansible-clouds/ http://reborncodinglife.com/2025/01/09/deploying-automation-mesh-ansible-clouds/ terraform tips <h3 id="terraform-plan">terraform plan</h3> <p>这个命令会生成并显示一个执行计划,帮助你预览terraform将对你的基础设施做出的变更,而不会真正执行这些变更。它的主要作用是安全地审查更改内容,确保变更符合预期</p> <h3 id="terraform-apply">terraform apply</h3> <p>这个命令会真正执行terraform的变更,将你的基础设施状态调整为与代码定义的状态一致。它会创建、更新或销毁资源,使实际环境符合配置文件的描述。</p> <h3 id="variablestf">variables.tf</h3> <p>可以清晰地定义变量的类型、描述和默认值。</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>variable "cluster_name" { description = "The name of the Kubernetes cluster" type = string default = "default-cluster" } </code></pre></div></div> <h3 id="providerstf">providers.tf</h3> <p>用于配置和定义所需的提供者。</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>terraform { required_providers { dynatrace = { source = "dynatrace-oss/dynatrace" version = "&gt;= 1.57.3" } } } </code></pre></div></div> Wed, 08 Jan 2025 00:12:05 +0000 http://reborncodinglife.com/2025/01/08/terraform-tips/ http://reborncodinglife.com/2025/01/08/terraform-tips/ aoc sre tips <h2 id="saas-login">saas login</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>python3 -m venv .venv source .venv/bin/activate lkinit python3 aws-saml.py aws --profile saml sts get-caller-identity INSTANCE_NAME=cus-25ssli AWS_REGION=us-east-1 make login-to-instance </code></pre></div></div> <h2 id="订阅组件的release信息">订阅组件的release信息</h2> <ul> <li>https://github.com/nginxinc/nginx-ingress-helm-operator/releases</li> <li>https://github.com/Dynatrace/dynatrace-operator/releases/tag/v1.4.0</li> <li>https://releases.aks.azure.com/#tabus</li> </ul> <h2 id="检查aap-job-status">检查aap job status</h2> <ul> <li>https://access.redhat.com/solutions/5532181</li> </ul> <h2 id="解决aks-failed状态问题">解决aks failed状态问题</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az resource update --ids &lt;aks-resource-id&gt; </code></pre></div></div> <h2 id="修改aap-gw-admin-password">修改aap gw admin password</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>aap-gateway-manage update_password --username=admin --password=changeme </code></pre></div></div> <h2 id="aap无法登录">aap无法登录</h2> <p>密码正确时候,检查CSRF配置。</p> <h2 id="从pfx中提取所有证书">从pfx中提取所有证书</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>openssl pkcs12 -in ssli.pfx -nokeys -out allcerts.crt -legacy </code></pre></div></div> <h2 id="查看证书包含的域名">查看证书包含的域名</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>openssl x509 -in cert.pem -text -noout | grep DNS </code></pre></div></div> <h2 id="进入aap-db">进入aap db</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>awx-manage dbshell </code></pre></div></div> <h2 id="debug-rds-connection-issue">debug rds connection issue</h2> <p>https://repost.aws/knowledge-center/rds-mysql-max-connections</p> <h2 id="获取aks-kubeconfig失败">获取aks kubeconfig失败</h2> <p>如果报错如下:</p> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>An exception occurred during task execution. To see the full traceback, use -vvv. The error was: ValueError: API version 2024-08-01 does not have operation group 'managed_clusters' </code></pre></div></div> <p>降级azure-mgmt-containerservice模块到33.0.0。</p> <h2 id="az查询appgw信息">az查询appgw信息</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>az network application-gateway show --name applicationgateway --resource-group MC_rg_name_aks_name_location </code></pre></div></div> <h2 id="查询证书是否过期">查询证书是否过期</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>openssl x509 -in cert.crt -noout -enddate </code></pre></div></div> <h2 id="aap-gw修改密码">aap gw修改密码</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>aap-gateway-manage update_password --username=admin --password=password </code></pre></div></div> <ul> <li>创建的aap managed applicaition会被自动清除,请在managed app上添加以下tag以防被自动删除</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>expire_on : 20230101 </code></pre></div></div> <ul> <li> <p>创建的aap managed applicaition的ui url可以在applicationsAAPDeploy deployments中的outputs页面查到</p> </li> <li> <p>创建的aap managed applicaition的访问模式(public/private)可以在applicationsAAPDeploy deployments中的inputs页面查到</p> </li> <li> <p>创建的aap managed applicaition,如果要访问其中的aks,需要创建相应的jump vm,然后才能访问,具体参考该工具:https://github.com/ansible/aap-azurerm/tree/main/tools/utils</p> </li> <li> <p>创建jump vm访问aap</p> </li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>$ az login -t your.onmicrosoft.com $ pwd /Users/ssli/share/git/aap-azurerm/tools/utils $ ./create_jump_vm.py </code></pre></div></div> <ul> <li>nc连接postgres</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>/ # nc -vz ssli-postgres.postgres.database.azure.com 5432 ssli-postgres.postgres.database.azure.com (10.226.0.4:5432) open </code></pre></div></div> <ul> <li>nc验证dns服务</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>nc -vz 1.2.3.4 53 -v:显示更多信息 -z:只扫描主机和端口,无需建立连接,53端口一般用于dns服务 </code></pre></div></div> <ul> <li>创建postgres client测试db</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>$ kubectl run pg-client --image postgres:latest --command -- sleep 3600 $ k exec -it pg-client -- /bin/sh # psql -h ssli-postgres.postgres.database.azure.com -U ssli -d postgres Password for user ssli: psql (15.3 (Debian 15.3-1.pgdg120+1), server 13.10) SSL connection (protocol: TLSv1.3, cipher: TLS_AES_256_GCM_SHA384, compression: off) Type "help" for help. postgres=&gt; </code></pre></div></div> <ul> <li>验证dns server</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>kubectl run -i --tty --rm debug --image=quay.io/aoc/netshoot:latest --restart=Never -- sh host test.com </code></pre></div></div> <ul> <li>adastra tips</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>source venv/bin/activate adastra config set --env production adastra customer list adastra access request cus-xxx adastra access status adastra access login cus-xxx </code></pre></div></div> <ul> <li>验证receptor</li> </ul> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>receptorctl --socket /var/run/receptor/receptor.sock ping 10.65.55.57 </code></pre></div></div> Thu, 12 Dec 2024 00:12:05 +0000 http://reborncodinglife.com/2024/12/12/aoc-sre-tips/ http://reborncodinglife.com/2024/12/12/aoc-sre-tips/ kubernetes tools <h2 id="kubie">kubie</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>kubie ctx kubie ns </code></pre></div></div> <h2 id="k9s">k9s</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>curl -sS https://webinstall.dev/k9s | bash </code></pre></div></div> <h2 id="minikube">minikube</h2> <div class="language-plaintext highlighter-rouge"><div class="highlight"><pre class="highlight"><code>minikube start --kubernetes-version=v1.23.0 --driver=docker </code></pre></div></div> Sat, 07 Dec 2024 00:12:05 +0000 http://reborncodinglife.com/2024/12/07/kubernetes-tools/ http://reborncodinglife.com/2024/12/07/kubernetes-tools/ ansbile和awx和rhaap <p>随着自动化技术在 IT 运维中的普及,Ansible 及其相关项目和产品成为许多组织的首选工具。本文将深入介绍 Ansible、AWX、Tower 和 Red Hat Ansible Automation Platform (RH AAP) 的基本概念、功能及其区别。</p> <hr /> <h2 id="什么是-ansible">什么是 Ansible?</h2> <p><strong>Ansible</strong> 是一个开源的 IT 自动化工具,主要用于配置管理、应用部署和任务编排。它的设计原则是简单、强大且无代理(agentless)。Ansible 的主要特点包括:</p> <ul> <li><strong>YAML 编写的 Playbook</strong>:易于阅读和维护。</li> <li><strong>无代理架构</strong>:通过 SSH 或 WinRM 与目标节点交互。</li> <li><strong>模块化设计</strong>:提供上千个模块以支持不同的功能和平台。</li> <li><strong>强大的社区支持</strong>:拥有丰富的生态系统和插件。</li> </ul> <p>Ansible 适合于开发者、运维人员和系统管理员在小型或中型规模环境中使用。</p> <hr /> <h2 id="什么是-awx">什么是 AWX?</h2> <p><strong>AWX</strong> 是 Ansible 项目的一个开源社区版本,它为 Ansible 提供了一个 Web 界面和 API 服务。主要功能包括:</p> <ul> <li><strong>任务可视化</strong>:通过图形化界面创建、运行和监控 Playbook。</li> <li><strong>角色分离</strong>:允许多个用户和团队协作。</li> <li><strong>作业调度</strong>:支持定时运行任务。</li> <li><strong>RESTful API</strong>:便于与其他系统集成。</li> </ul> <h3 id="优势">优势:</h3> <ul> <li>适合对 Ansible 有基本了解的用户,想要通过 Web 界面更直观地管理任务。</li> <li>作为免费的社区版本,可以满足多数非企业级场景。</li> </ul> <hr /> <h2 id="什么是-ansible-tower">什么是 Ansible Tower?</h2> <p><strong>Ansible Tower</strong> 是 AWX 的商业版本,由 Red Hat 提供。它建立在 AWX 的基础之上,增加了一些企业级功能,如:</p> <ul> <li><strong>RBAC(基于角色的访问控制)</strong>:精细化的权限管理。</li> <li><strong>审计和日志记录</strong>:符合企业合规要求。</li> <li><strong>支持和维护</strong>:由 Red Hat 提供的官方支持。</li> <li><strong>高级功能</strong>: <ul> <li>集成 LDAP/AD。</li> <li>提供更好的可扩展性和高可用性。</li> <li>提供更安全的密钥和凭证管理。</li> </ul> </li> </ul> <h3 id="优势-1">优势:</h3> <p>适合需要企业级支持和增强功能的大型组织。</p> <hr /> <h2 id="什么是-red-hat-ansible-automation-platform-rh-aap">什么是 Red Hat Ansible Automation Platform (RH AAP)?</h2> <p><strong>RH AAP</strong> 是 Red Hat 提供的全面自动化解决方案,它包含了 Ansible、Ansible Tower(作为其控制层)以及额外的内容和功能。RH AAP 的主要特性包括:</p> <ul> <li><strong>内容集合(Content Collections)</strong>:为特定平台和功能提供预定义的模块和角色。</li> <li><strong>自动化运行环境(Automation Execution Environment, AEE)</strong>:标准化、容器化的执行环境,便于跨团队协作和部署。</li> <li><strong>自动化控制层</strong>:包括 Ansible Tower(管理界面)和自动化分析功能。</li> <li><strong>认证的内容和支持</strong>:由 Red Hat 提供经过认证的模块和持续的技术支持。</li> </ul> <h3 id="优势-2">优势:</h3> <p>适合需要全面自动化管理和扩展的企业级用户。</p> <hr /> <h2 id="ansibleawxtower-和-rh-aap-对比">Ansible、AWX、Tower 和 RH AAP 对比</h2> <table> <thead> <tr> <th>功能</th> <th>Ansible</th> <th>AWX</th> <th>Tower</th> <th>RH AAP</th> </tr> </thead> <tbody> <tr> <td><strong>性质</strong></td> <td>开源工具</td> <td>开源项目</td> <td>商业产品</td> <td>企业级平台</td> </tr> <tr> <td><strong>核心功能</strong></td> <td>配置管理、部署</td> <td>Web 界面 + API</td> <td>企业增强版 + 支持</td> <td>自动化平台 + 企业扩展</td> </tr> <tr> <td><strong>可视化界面</strong></td> <td>不支持</td> <td>支持</td> <td>支持</td> <td>支持</td> </tr> <tr> <td><strong>任务调度</strong></td> <td>不支持</td> <td>支持</td> <td>支持</td> <td>支持</td> </tr> <tr> <td><strong>权限管理</strong></td> <td>基础权限</td> <td>基本功能</td> <td>企业级 RBAC</td> <td>企业级 RBAC</td> </tr> <tr> <td><strong>企业支持</strong></td> <td>无</td> <td>无</td> <td>Red Hat 提供支持</td> <td>Red Hat 提供支持</td> </tr> <tr> <td><strong>额外功能</strong></td> <td>无</td> <td>无</td> <td>日志审计、集成 LDAP</td> <td>内容集合、分析与扩展环境</td> </tr> <tr> <td><strong>适用场景</strong></td> <td>小型或实验环境</td> <td>中小型项目</td> <td>中大型企业</td> <td>大型企业及复杂环境</td> </tr> </tbody> </table> <hr /> <h2 id="如何选择">如何选择?</h2> <ul> <li><strong>个人或小型团队</strong>:推荐直接使用 Ansible,结合命令行和 Playbook 即可满足需求。</li> <li><strong>需要简单的 Web 管理界面</strong>:可以选择开源的 AWX。</li> <li><strong>中大型企业</strong>:若需要企业级功能和支持,可以选择 Ansible Tower。</li> <li><strong>全面的企业级自动化</strong>:如果组织需要完整的自动化生态和支持,RH AAP 是最佳选择。</li> </ul> <hr /> <h2 id="总结">总结</h2> <p>从 Ansible 到 RH AAP,每个工具都基于开源理念,适配了不同规模和需求的用户。通过选择合适的工具或平台,用户可以更高效地构建和管理自动化流程。</p> <p>希望本文能帮助您了解 Ansible 及其相关工具,找到适合自己的自动化解决方案!</p> Sat, 07 Dec 2024 00:12:05 +0000 http://reborncodinglife.com/2024/12/07/ansible-vs-awx-vs-rhaap/ http://reborncodinglife.com/2024/12/07/ansible-vs-awx-vs-rhaap/ ansbile eda <h2 id="什么是事件驱动自动化">什么是事件驱动自动化?</h2> <p>事件驱动自动化是一种新型的自动化方式,其核心是响应特定事件的触发条件并执行预定义的操作。例如,在 IT 运营中,当系统检测到宕机事件时,可以自动生成故障单、收集信息甚至重启设备,从而实现完全自动化的闭环操作。</p> <h3 id="eda-的工作原理">EDA 的工作原理</h3> <ul> <li><strong>事件源</strong>:监听并捕获系统中发生的事件(如警报、状态变化)。</li> <li><strong>规则引擎</strong>:分析事件是否满足触发条件。</li> <li><strong>自动化操作</strong>:执行相应的动作,如运行 Ansible Playbook 或直接触发模块。</li> </ul> <p>EDA 的简便性和灵活性源于其基于 YAML 的规则库(Rulebook),使用 “if-this-then-that” 的逻辑实现高度自定义的自动化。</p> <hr /> <h2 id="eda-的主要组件">EDA 的主要组件</h2> <h3 id="1-事件源sources">1. <strong>事件源(Sources)</strong></h3> <p>事件源是 EDA 的起点,用于监听和捕获事件。RHAAP 提供丰富的事件源插件,包括:</p> <ul> <li><strong>监控工具</strong>:Prometheus Alertmanager。</li> <li><strong>云平台</strong>:AWS SQS、Azure Service Bus。</li> <li><strong>自定义事件</strong>:Webhook、文件系统监控等。</li> </ul> <p>通过事件源,EDA 可以无缝集成到多供应商环境中。</p> <h3 id="2-规则rules">2. <strong>规则(Rules)</strong></h3> <p>规则是 EDA 的核心逻辑,定义了事件触发的条件和对应的响应操作。例如,当网络设备宕机时,可以定义规则触发自动重启。</p> <h3 id="3-操作actions">3. <strong>操作(Actions)</strong></h3> <p>动作是事件满足规则后执行的具体任务,包括:</p> <ul> <li>运行 Ansible Playbook。</li> <li>调用模块或更新系统事实。</li> <li>触发新事件或进行调试。</li> </ul> <hr /> <h2 id="eda-的优势">EDA 的优势</h2> <h3 id="1-提升效率">1. <strong>提升效率</strong></h3> <p>通过自动化高频、重复性任务,EDA 显著减少人工操作,提高团队生产力。</p> <h3 id="2-增强系统可靠性">2. <strong>增强系统可靠性</strong></h3> <p>EDA 能够快速响应事件并执行修复操作,从而提高系统稳定性。</p> <h3 id="3-降低运维复杂性">3. <strong>降低运维复杂性</strong></h3> <p>EDA 支持跨供应商集成,适应复杂的混合云和边缘环境。</p> <h3 id="4-支持快速扩展">4. <strong>支持快速扩展</strong></h3> <p>EDA 提供了灵活的规则和插件机制,企业可以快速适应新需求。</p> <hr /> <h2 id="典型应用场景">典型应用场景</h2> <h3 id="1-自动化故障修复">1. <strong>自动化故障修复</strong></h3> <p>当系统出现异常时,EDA 可自动检测并执行修复操作,如重启服务或调整配置。</p> <h3 id="2-工单丰富化">2. <strong>工单丰富化</strong></h3> <p>EDA 可以与 ITSM 工单系统集成,将事件的详细信息自动填充到工单中,提升问题排查效率。</p> <h3 id="3-提高系统稳定性">3. <strong>提高系统稳定性</strong></h3> <p>通过实时监控和自动响应,EDA 能有效预防潜在风险,减少宕机概率。</p> <h3 id="4-简化边缘设备管理">4. <strong>简化边缘设备管理</strong></h3> <p>EDA 能自动化配置和管理边缘设备,适应大规模部署场景。</p> <hr /> <h2 id="如何开始使用-eda">如何开始使用 EDA?</h2> <p>Red Hat 建议采用 “从小开始,逐步扩展” 的策略:</p> <ol> <li><strong>选择简单的用例</strong>:例如自动化收集系统信息。</li> <li><strong>逐步扩展规则库和事件源</strong>:增加对网络、云和边缘的覆盖。</li> <li><strong>实现复杂自动化</strong>:包括 AIOps、自助服务等。</li> </ol> <p>对于 Ansible Automation Platform 用户,可以直接在规则库中调用现有的 Playbook,无需重复开发。</p> <hr /> <h2 id="总结">总结</h2> <p>事件驱动自动化是 IT 运营现代化的关键。RHAAP 的 EDA 功能通过灵活的规则引擎和丰富的事件源集成,帮助企业实现高效、可靠的自动化运维。</p> <p>如果您希望提升 IT 运营的效率和稳定性,RHAAP 的 EDA 是不可错过的选择。</p> <hr /> <h2 id="相关资源">相关资源</h2> <ul> <li><a href="https://www.redhat.com/en/engage/event-driven-ansible-20220907">Red Hat 官方文档</a></li> <li><a href="https://www.ansible.com/use-cases/event-driven-automation">Ansible 自动化用例</a></li> <li><a href="https://red.ht/ansible_labs">互动和自学实验室</a></li> </ul> Sat, 07 Dec 2024 00:12:05 +0000 http://reborncodinglife.com/2024/12/07/ansible-eda/ http://reborncodinglife.com/2024/12/07/ansible-eda/