Điều kiện tiên quyết
- Một instance AWX tự lưu trữ hoặc Ansible Automation Platform (Controller/Tower) có thể truy cập từ CloudThinker qua HTTPS.
- Một người dùng AWX có quyền truy cập vào các tổ chức và inventory mà CloudThinker cần đến.
Thiết lập
Đăng nhập vào AWX
Đăng nhập vào giao diện web AWX của bạn. Sử dụng người dùng chuyên dụng chỉ được giới hạn phạm vi đến các tổ chức và inventory mà CloudThinker cần.
Tạo access token
Vào Access → Users, mở người dùng của bạn, chọn tab Tokens và nhấp Add:
- Application: để trống
- Scope: Write cho toàn bộ thao tác, hoặc Read chỉ để giám sát
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| TOWER_HOST | URL cơ sở của instance AWX | https://awx.your-domain.com |
| TOWER_OAUTH_TOKEN | AWX user access token | — |
Quyền hạn cần thiết
Những gì agent có thể làm phụ thuộc vào phạm vi của token.- Read — liệt kê job, kiểm tra inventory, xem trạng thái project, xem lịch và xem cấu hình.
- Write — tất cả thao tác đọc cộng thêm khởi chạy job, chạy lệnh ad-hoc, kiểm soát job đang chạy, đồng bộ project và quản lý host, nhóm và lịch.
Khả năng của agent
Những gì agent có thể làm phụ thuộc vào phạm vi của token. Read — giám sát & kiểm tra:| Khả năng | Mô tả |
|---|---|
| Giám sát job | Liệt kê job và workflow run, kiểm tra trạng thái và đọc output |
| Kiểm tra inventory | Xem inventory, host và nhóm; phát hiện host không thể truy cập hoặc bị tắt |
| Kiểm tra trạng thái project | Xem lại trạng thái đồng bộ và trạng thái source control |
| Xem lịch | Liệt kê lịch và các lần chạy sắp tới |
| Kiểm tra cấu hình | Xem job template, workflow template, inventory source và credential type |
| Khả năng | Mô tả |
|---|---|
| Khởi chạy job | Chạy job template với các biến bổ sung và giám sát đến khi hoàn thành |
| Chạy lệnh ad-hoc | Thực thi lệnh một lần đối với host mà không cần template |
| Kiểm soát job đang chạy | Hủy job đang thực thi và khởi chạy lại các job thất bại |
| Đồng bộ project & inventory | Kéo cập nhật project từ source control và làm mới dynamic inventory |
| Quản lý host, nhóm & lịch | Thêm, cập nhật hoặc xóa chúng và bật/tắt host |
| Điều phối workflow | Khởi chạy workflow job template và phê duyệt hoặc từ chối các approval node |
Xác minh kết nối
Các lệnh mẫu
Xử lý sự cố
Kết nối hoặc xác thực thất bại
Kết nối hoặc xác thực thất bại
Xác minh URL AWX có thể truy cập từ CloudThinker qua HTTPS. Kiểm tra token chưa hết hạn hoặc bị thu hồi — tạo token mới nếu cần và kết nối lại.
Quyền truy cập bị từ chối
Quyền truy cập bị từ chối
Phạm vi của token không cho phép hành động được yêu cầu. Sử dụng token phạm vi Write cho các thao tác khởi chạy, đồng bộ hoặc quản lý, và xác nhận người dùng có quyền truy cập tổ chức hoặc inventory mục tiêu.
Kết quả trả về trống
Kết quả trả về trống
Người dùng của token không có quyền xem các tài nguyên được yêu cầu. Cấp quyền truy cập vào các tổ chức và inventory liên quan trong AWX, sau đó thử lại.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Chỉ dùng phạm vi Write khi cần — sử dụng token phạm vi Read để giám sát; chỉ bật phạm vi Write khi agent cần khởi chạy hoặc sửa đổi tài nguyên.
- Chỉ dùng HTTPS — luôn sử dụng URL AWX dạng HTTPS; kết nối plaintext làm lộ access token.
Liên quan
Kết nối ArgoCD
Thao tác GitOps và quản lý ứng dụng
Kết nối Jenkins
Giám sát pipeline CI/CD và thao tác job