我如何指定一个sudo密码Ansible在非交互的方式?
我是这样运行Ansible剧本的:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username --ask-sudo-pass
但我想这样运行它:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username` **--sudo-pass=12345**
有办法吗?我希望尽可能地自动化我的项目部署。
当前回答
你可以在命令行通过——extra-vars "name=value"传递变量。Sudo密码变量为ansible_sudo_pass。所以你的命令看起来像这样:
ansible-playbook playbook.yml -i inventory.ini --user=username \
--extra-vars "ansible_sudo_pass=yourPassword"
2017年更新:Ansible 2.2.1.0现在使用var ansible_become_pass。两种方法似乎都有效。
2021年更新:ansible_become_pass仍然有效,但现在,我们应该使用-e而不是——extra-vars
其他回答
sudo密码存储为名为ansible_sudo_pass的变量。 你可以通过以下几种方式设置这个变量:
对于每个主机,在您的目录hosts文件(inventory/<inventoryname>/hosts)中
[server]
10.0.0.0 ansible_sudo_pass=foobar
每个组,在您的库存组文件(inventory/<inventoryname>/groups)
[server:vars]
ansible_sudo_pass=foobar
每个组,在组vars中(group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
每个组,加密(ansible-vault create group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
如果你愿意将密码保存在纯文本文件中,另一种选择是使用带有——extra-vars参数的JSON文件(确保将该文件排除在源代码控制之外):
ansible-playbook --extra-vars "@private_vars.json" playbook.yml
Ansible从1.3开始就支持这个选项。
一个更聪明的方法是将sudo密码存储在LastPass或KeePass等安全库中,然后使用-e@将其传递给ansible-playbook,但不是在实际文件中硬编码内容,您可以使用构造-e@<(…)在子shell中运行命令,并将其输出(STDOUT)重定向到匿名文件描述符,有效地将密码提供给-e@<(..)。
例子
$ ansible-playbook -i /tmp/hosts pb.yml \
-e@<(echo "ansible_sudo_pass: $(lpass show folder1/item1 --password)")
以上是做几件事,让我们分解一下。
Ansible-playbook -i /tmp/hosts pb. exeYml -显然运行一个剧本通过ansible-playbook $(lpass show folder1/item1——password)"-执行LastPass CLI的lpass命令,获取要使用的密码 Echo "ansible_sudo_pass:…password…"-获取字符串'ansible_sudo_pass: '并将其与lpass提供的密码结合 -e@<(..) -将上述内容放在一起,并将<(…)的子shell连接为ansible-playbook使用的文件描述符。
进一步的改善
如果你不想每次都输入,你可以这样简单地输入。首先在你的.bashrc中创建一个别名,如下所示:
$ cat ~/.bashrc
alias asp='echo "ansible_sudo_pass: $(lpass show folder1/item1 --password)"'
现在你可以像这样运行你的剧本:
$ ansible-playbook -i /tmp/hosts pb.yml -e@<(asp)
参考文献
https://docs.ansible.com/ansible/2.4/ansible-playbook.html#cmdoption-ansible-playbook-e
只要提示其他解决方案。 你可以设置你的ansible用户在没有密码的情况下运行sudo(这是GCP虚拟机的默认设置)
sudo visudo
添加行(tom是用户):
tom ALL=(ALL) NOPASSWD:ALL
我在这个问题上撕了我的头发,现在我找到了一个解决方案,这是我想要的:
每台主机1个加密文件,包含sudo密码
/etc/ansible/hosts:
[all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa
[some_service_group]
node-0
node-1
然后为每个主机创建一个加密的var文件,如下所示:
ansible-vault create /etc/ansible/host_vars/node-0
与内容
ansible_sudo_pass: "my_sudo_pass_for_host_node-0"
如何组织保险库密码(通过——ask-vault-pass输入)或CFG由您决定
基于此,我怀疑你可以加密整个hosts文件…
