推出用于 ServiceNow ITSM 的 Ansible API

在 Ansible 自动化中心 中，对于 Ansible Automation Platform 订阅者来说，最受欢迎的平台集成之一是用于 ServiceNow ITSM 的 Red Hat Ansible 认证内容集合。此集合可帮助您基于 ServiceNow ITSM 更快地创建新的自动化工作流，同时在 ServiceNow 配置管理数据库 (CMDB) 中建立单一的事实来源。您可以帮助团队免于数小时的手动工作，并在 ServiceNow ITSM 实例中获得更高的数据完整性。

对于 ServiceNow 用户，我们推出了一款新的原生 ServiceNow 应用程序，即用于 Red Hat Ansible Automation Platform 认证内容集合的 API，仅通过 ServiceNow 商店 提供，以增强和支持这两个平台之间的集成。

什么是用于 ServiceNow ITSM 的 Ansible API？

用于 Red Hat Ansible Automation Platform 认证内容集合的 API 将 Ansible 的认证内容与您的 ServiceNow 实例集成。在 ServiceNow Rome API 发布之前，Ansible 用户可以从 Ansible 自动化中心下载用于 ServiceNow ITSM 的 Red Hat Ansible 认证内容集合，并使用其 REST API 直接管理 ServiceNow 资源。

随着 Rome 的发布，REST API 不再提供使用 Ansible 自动化 ServiceNow 所需的所有支持。为了解决此问题，Red Hat 和我们的合作伙伴 XLAB 开发了这个新的 API 来增强和恢复该功能。

虽然开发用于 ServiceNow ITSM 的 Ansible API 的需求是由于 Rome 的发布造成的，但它也与 ServiceNow ITSM San Diego 和 Tokyo 兼容。

您可以在 ServiceNow ITSM 中自动化什么？

使用 API 和用于 ServiceNow ITSM 的认证内容集合，您可以

• 自动化变更请求。使用 Ansible Playbook 自动化 ServiceNow ITSM 服务请求，包括报告变更结果以及与这些变更相关的所有信息。您的服务代表只需启动一个 Ansible Playbook 即可解决常见请求，并减少重复性任务。
• 自动化事件响应。ServiceNow 认证集合中的资产支持自动更新事件工单，以提供一致的审计跟踪。您的团队还可以简化问题修复所需的步骤，并在更大范围内应用这些步骤。
• 启用完整的“闭环”自动化。简化 IT 服务管理工作流项目的打开、推进和解决，同时确保相关且准确的信息在不同的用户、团队和资产之间流入 CMDB。确保基础设施信息始终是最新的、可操作的和可审计的，同时跨域团队（可能无法访问 ServiceNow）完成工作。

开始使用用于 ServiceNow ITSM 的 Ansible API

要开始使用

• 从 ServiceNow 商店 免费安装用于 Red Hat Ansible 认证内容集合的 API，并查阅“应用程序安装和配置指南”以获取其他说明。
• 从 Red Hat Hybrid Cloud 控制台 上的 Ansible 自动化中心下载用于 ServiceNow ITSM 的 Ansible 内容集合。

其他资源

• AnsibleFest 会议：观看虚拟会议，将自动化集成到您的 ServiceNow ITSM 中，与 Red Hat 客户和长期 ServiceNow ITSM 用户 北卡罗来纳州蓝十字蓝盾 交流。
• 简报：仔细了解 Ansible 可以自动化 ServiceNow ITSM 中的哪些内容
• 自定进度的实验：动手使用 ServiceNow 内容集合

让 Ansible 监控您的 AWS 环境

在云模型中，环境的安全性和合规性成为最终用户和云提供商的共同责任。这就是我们所说的共享责任模型，其中云的每个部分，包括硬件、数据、配置、访问权限和操作系统，都受到保护。根据当地法律法规以及处理的数据来源（例如 HIPAA、欧洲的 GDPR 或加州的 CCPA 等法律），您可能需要对您的环境实施严格的规则并记录事件以进行审计。AWS CloudTrail 将帮助您实现此目标。该服务可以收集和记录来自您环境的任何类型的信息，并将事件存储或发送到目标位置以进行审计。除了安全性和合规性之外，此服务还有助于跟踪资源消耗。

Ansible 的 CloudTrail 模块用于利用 CloudTrail 服务的各种功能来监控和审计 AWS 环境中的用户活动和 API 调用。跟踪是一种配置，它允许我们描述事件过滤器并决定将匹配的条目发送到哪里。Amazon.aws 集合的最新 5.0.0 版本附带了一个新的 Cloudtrail 模块。此模块有助于创建、配置和删除跟踪。跟踪的最终目标可以是 S3 存储桶或 CloudWatch 日志。我们还将 cloudtrail 模块与 cloudtrail_info 模块配对，这有助于收集所有或特定跟踪的信息。

在本博文中，我们将介绍一些配置用例，并展示如何使用 Ansible 的 CloudTrail 模块来自动化这些用例。

要下载 amazon.aws 集合，您可以从以下位置下载

• Ansible Galaxy - 社区
• Ansible 自动化中心 - 完全支持并使用您的 Red Hat 订阅签名

用例 1 - 获得最大可见性

除非跟踪用于特定区域中的特定活动，否则最佳实践是在所有区域启用 CloudTrail。通过这样做，我们最大限度地提高了 AWS 环境的可见性，因此没有攻击者可以利用的弱点（未监控的区域）。这还将确保我们收到 AWS 未来在任何新区域启动的事件历史记录。

- name: create multi-region trail
  amazon.aws.cloudtrail:
    state: present
    name: myCloudTrail
    s3_bucket_name: mylogbucket
    region: us-east-1
    is_multi_region_trail: true
    tags:
      environment: dev

cloudtrail_info 模块可用于获取有关特定跟踪或所有现有跟踪的所有信息。如果未将跟踪名称作为输入提供给此模块，则此模块默认情况下将获取所有跟踪（包括影子跟踪）的信息。可以通过将 [include_shadow_trails] 设置为 [False] 来跳过影子跟踪。

# Gather information about the multi-region trail
- amazon.aws.cloudtrail_info:
    trail_names:
      - arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail
    include_shadow_trails: False
      register: trail_info

trail_info :
"trail_list": [
            {
                "has_custom_event_selectors": false,
                "has_insight_selectors": false,
                "home_region": "us-east-1",
                "include_global_service_events": true,
                "is_logging": true,
                "is_multi_region_trail": true,
                "is_organization_trail": false,
                "latest_delivery_attempt_succeeded": "",
                "latest_delivery_attempt_time": "",
                "latest_notification_attempt_succeeded": "",
                "latest_notification_attempt_time": "",
                "log_file_validation_enabled": false,
                "name": "myCloudTrail",
                "resource_id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail",
                "s3_bucket_name": "mylogbucket",
                "start_logging_time": "2022-09-29T11:41:41.752000-04:00",
                "tags": {"environment": "dev"},
                "time_logging_started": "2022-09-29T15:41:41Z",
                "time_logging_stopped": "",
                "trail_arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail"
            }
        ]

用例 2 - 管理对 S3 存储桶的访问

对于此用例，我们将管理授予存储跟踪日志的 S3 存储桶的访问权限。如前所述，共享责任包括共享资源的安全责任。S3 存储桶容易出现错误配置，并且是数据泄露的主要来源。配置了公共访问权限的 S3 存储桶允许互联网上的任何人访问数据。Ansible 的 s3_bucket 模块可用于设置 CloudTrail 的 S3 存储桶权限和策略。此 S3 存储桶可以传递给 CloudTrail 模块，该模块将用作跟踪生成的日志的目标位置。

- amazon.aws.s3_bucket:
   name: mys3bucket
   state: present
   public_access:
       block_public_acls: true
       ignore_public_acls: true
       block_public_policy: false
       restrict_public_buckets: false

- name: Create trail with secured s3 bucket
  amazon.aws.cloudtrail:
    state: present
    name: myCloudTrail
    s3_bucket_name: mys3bucket
    region: us-east-1
    tags:
      environment: dev

用例 3 - 保持 CloudTrail 日志完整性

收集 CloudTrail 日志以验证 AWS 环境的合规性和安全性。攻击者始终有可能获取访问权限并篡改这些日志以掩盖其存在。通过启用日志文件验证，将生成日志文件的数字签名，该签名用于检查日志文件是否有效且未被篡改。

- name: create a trail with log file validation
  amazon.aws.cloudtrail:
    state: present
    name: myCloudTrail
    s3_bucket_name: mylogbucket
    region: us-east-1
    log_file_validation_enabled: true
    tags:
      environment: dev

# Gather information about the trail
- amazon.aws.cloudtrail_info:
    trail_names:
      - arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail
    include_shadow_trails: False
      register: trail_info

trail_info :
"trail_list": [
            {
                "has_custom_event_selectors": false,
                "has_insight_selectors": false,
                "home_region": "us-east-1",
                "include_global_service_events": true,
                "is_logging": true,
                "is_multi_region_trail": fail,
                "is_organization_trail": false,
                "latest_delivery_attempt_succeeded": "",
                "latest_delivery_attempt_time": "",
                "latest_notification_attempt_succeeded": "",
                "latest_notification_attempt_time": "",
                "log_file_validation_enabled": true,
                "name": "myCloudTrail",
                "resource_id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail",
                "s3_bucket_name": "mylogbucket",
                "start_logging_time": "2022-09-29T11:41:41.752000-04:00",
                "tags": {"environment": "dev"},
                "time_logging_started": "2022-09-29T15:41:41Z",
                "time_logging_stopped": "",
                "trail_arn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myCloudTrail"
            }
        ]

用例 4 - 对日志进行加密

默认情况下，S3 存储桶受 A[mazon 服务器端加密方法和 Amazon S3 托管加密密钥的保护。要添加额外的安全层，您可以使用 AWS Key Management Service。这可以直接管理，并有助于保护日志文件免受任何攻击者的环境调查。

- name: Create an LMS key using lookup for policy JSON
  amazon.aws.kms_key:
    alias: my-kms-key
    policy: "{{ lookup('template', 'kms_iam_policy_template.json.j2') }}"
    state: present
  register: kms_key_for_logs

- name: Create a CloudTrail with kms_key for encryption
  amazon.aws.cloudtrail:
     state: present
     name: myCloudTrail
     s3_bucket_name: mylogbucket
     kms_key_id: "{{ kms_key_for_logs.key_id }}"

与上述用例类似，许多参数允许 CloudTrail 日志安全、合规且可管理。要获取有关如何配置 CloudTrail 以及获取现有跟踪的配置信息的更多信息，请参阅 amazon.aws.cloudtrail 和 amazon.aws.cloudtrail_info。

现在，您可以看到 Red Hat Ansible Automation Platform 和 CloudTrail 的四个很棒的用例，以及它们如何轻松无缝地协同工作以完成云自动化任务。如果您想了解有关 Ansible 和 AWS 的更多博客，请告诉我们！

2022 年最佳盛会

在 2022 年 AnsibleFest 上，自动化的强大功能得到了充分展示。通过会议、研讨会、实验等，我们探讨了如何通过自动化来改变企业和行业。两天内发布了许多令人兴奋的 公告，如果您错过了，我们将深入探讨新内容！

Ansible 和 AWS

我们很高兴地宣布在 AWS Marketplace 推出一款新的产品：Red Hat Ansible Automation Platform。通过将 Ansible Automation Platform 作为一种预集成的服务提供，用户可以从云市场快速部署，我们能够满足客户的需求，同时为他们提供灵活性，以便在任何地方交付任何应用程序，而无需额外的开销或复杂性。无论您是在自动化您的混合云还是多云环境，Ansible Automation Platform 都可以作为一个单一平台。此平台提供一致性、可见性和控制力，以帮助您大规模管理这些环境。Ansible 是将您的云、网络、裸机和云原生基础设施整合在一起的 IT 自动化“粘合剂”。这提供了以简单高效的方式协调和管理混合云环境的功能。有兴趣了解更多信息？请查看新闻稿。

边缘自动化

Ansible Automation Platform 提供了一个框架，用于构建和运营大规模的 IT 自动化。对于边缘来说，这与数据中心类似，这意味着整个组织的用户都可以创建、共享和管理自动化。他们可以为各个小组使用自动化制定和应用指南。他们可以编写利用现有知识的任务，以便非 IT 员工可以利用这些任务，从而实现端到端自动化的部署。Ansible Automation Platform 使用容器化来打包、分发和安全地跨环境执行自动化，方法是通过自动化执行环境。这使组织能够快速一致地将 IT 服务扩展到边缘，同时保持对安全的关注。这有助于组织简化容量扩展、提高弹性和改善一致性。了解有关边缘自动化的更多信息，请点击此处。

事件驱动的 Ansible

事件驱动的 Ansible 是一项新的功能，我们正在开发人员预览版中将其提供给整个 Ansible 开源社区。使用事件驱动的 Ansible，您可以消除日常工作中的低级任务，以便您有更多时间专注于创新。这意味着一个更快乐、更高效、更积极的团队。它快速、准确，并将解放您（和您的团队），让您专注于您*想要*做的事情，而不会被您*必须*做的事情所拖累。事件驱动的 Ansible 将支持一系列用例，以下是一些入门的好用例：

• 自动化常见问题的修复，例如重置出现故障的网络路由器。
• 收集信息以更快地解决问题，例如有关服务器配置或缓冲池大小的信息，以便在您收到服务工单时，所需信息已准备就绪。
• 管理用户请求……例如“我无法登录”或“我无法访问应用程序”。

我们对自动化的未来以及事件驱动的 Ansible 的可能性感到兴奋。

Project Wisdom

Project Wisdom 是 Red Hat 发起的一项计划，与 IBM Research 密切合作开发，旨在赋予 Ansible 人工智能的能力。第一个目标是将自动化新手和 Ansible 专家聚集在一起，同时使新的自动化人员能够大幅降低学习和掌握 Ansible 的难度。我们使用 AI 的第一个功能是内容生成。我们在 Project Wisdom 下使用的 AI 模型能够生成语法正确且功能正常的 Ansible Playbook 或角色。您还可以访问 redhat.com/wisdom，了解更多有关如何参与的信息。

Ansible Automation Platform 2

Ansible Automation Platform 2 旨在支持可信的自动化供应链。在即将推出的 Ansible Automation Platform 2.3 版本中，将支持对容器、Playbook 和集合进行数字签名。我们还很高兴推出 Ansible 验证内容，它补充了现有的 Red Hat Ansible 认证内容集合生态系统。Ansible 验证内容通过遵循可信的、专家领导的、有见地的路径来执行 Red Hat 和第三方平台上的操作和任务，帮助您的团队更快地开始自动化。最初，Ansible 验证内容将预加载到私有自动化中心。

社区

我们非常幸运地成为世界上最大、最活跃的开源项目社区之一。因此，尽管周围的环境可能正在发生变化，但 Ansible 仍在不断向前发展并与时俱进。Ansible 今年迎来了 10 周年纪念！在广阔的社区中，新的工作组专注于通过 Ansible 内容集合的开发来扩展 Ansible 生态系统。Matrix 由我们团队去年首次启动，它极大地提高了我们与 Ansible 社区联系和互动的能力。到目前为止，我们已经创建了 32 个独特的聊天室，拥有 4200 多名成员，并在过去 6 个月中发送了近 8 万条消息。Matrix 与 IRC 的互连能力为我们奠定了坚实的基础。加入工作组并参与对话：https://matrix.to/#/#social:ansible.com