我如何指定一个sudo密码Ansible在非交互的方式?
我是这样运行Ansible剧本的:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username --ask-sudo-pass
但我想这样运行它:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username` **--sudo-pass=12345**
有办法吗?我希望尽可能地自动化我的项目部署。
当前回答
可能做到这一点的最好方法——假设你不能使用scottod提供的NOPASSWD解决方案——是将Mircea Vutcovici的解决方案与Ansible vault Archived结合使用。
例如,你可能有这样的剧本:
- hosts: all
vars_files:
- secret
tasks:
- name: Do something as sudo
service: name=nginx state=restarted
sudo: yes
在这里,我们将包含一个名为secret的文件,其中将包含我们的sudo密码。
我们将使用ansible-vault来创建这个文件的加密版本:
ansible-vault create secret
这将要求您输入密码,然后打开默认编辑器来编辑该文件。你可以把ansible_sudo_pass放在这里。
例如:秘密:
ansible_sudo_pass: mysudopassword
保存并退出,现在你有一个加密的秘密文件,Ansible是能够解密时,你运行你的剧本。注意:您可以使用ansible-vault edit secret编辑文件(并输入创建文件时使用的密码)
谜题的最后一部分是为Ansible提供一个——vault-password-file,它将使用它来解密你的秘密文件。
创建一个名为vault.txt的文件,并在其中放入创建秘密文件时使用的密码。密码应该是存储在文件中的单行字符串。
来自Ansible Docs:
. .确保文件上的权限是这样的,没有其他人可以访问您的密钥,并且没有将您的密钥添加到源代码控制中
最后:您现在可以使用以下内容运行您的剧本
ansible-playbook playbook.yml -u someuser -i hosts --sudo --vault-password-file=vault.txt
上面假设的目录布局如下:
.
|_ playbook.yml
|_ secret
|_ hosts
|_ vault.txt
你可以在这里阅读更多关于Ansible Vault: https://docs.ansible.com/playbooks_vault.html存档
https://docs.ansible.com/ansible/latest/user_guide/vault.html
其他回答
我在这个问题上撕了我的头发,现在我找到了一个解决方案,这是我想要的:
每台主机1个加密文件,包含sudo密码
/etc/ansible/hosts:
[all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa
[some_service_group]
node-0
node-1
然后为每个主机创建一个加密的var文件,如下所示:
ansible-vault create /etc/ansible/host_vars/node-0
与内容
ansible_sudo_pass: "my_sudo_pass_for_host_node-0"
如何组织保险库密码(通过——ask-vault-pass输入)或CFG由您决定
基于此,我怀疑你可以加密整个hosts文件…
你可以使用ansible vault,它会把你的密码编码成加密的vault。之后,你可以使用变量从金库在剧本。
ansible vault的一些文档: http://docs.ansible.com/playbooks_vault.html
我们使用它作为每个环境的保险库。要编辑vault,我们有如下命令: Ansible-vault编辑库存/生产/group_vars/all/vault
如果你想调用保险库变量,你必须使用ansible-playbook的参数如下: Ansible-playbook -s——vault-password-file=~/.ansible_vault.password
是的,我们存储仓库密码在本地目录明文,但这不是更危险的存储根密码为每个系统。根密码在保险库文件中,或者您可以将它像sudoers文件一样用于您的用户/组。 我建议在服务器上使用sudoers文件。下面是组管理的示例: %admin所有=(所有)NOPASSWD:所有
用——extra-vars "become_pass=Password"调用你的剧本
become_pass =(“ansible_become_password”、“ansible_become_pass”)
可能做到这一点的最好方法——假设你不能使用scottod提供的NOPASSWD解决方案——是将Mircea Vutcovici的解决方案与Ansible vault Archived结合使用。
例如,你可能有这样的剧本:
- hosts: all
vars_files:
- secret
tasks:
- name: Do something as sudo
service: name=nginx state=restarted
sudo: yes
在这里,我们将包含一个名为secret的文件,其中将包含我们的sudo密码。
我们将使用ansible-vault来创建这个文件的加密版本:
ansible-vault create secret
这将要求您输入密码,然后打开默认编辑器来编辑该文件。你可以把ansible_sudo_pass放在这里。
例如:秘密:
ansible_sudo_pass: mysudopassword
保存并退出,现在你有一个加密的秘密文件,Ansible是能够解密时,你运行你的剧本。注意:您可以使用ansible-vault edit secret编辑文件(并输入创建文件时使用的密码)
谜题的最后一部分是为Ansible提供一个——vault-password-file,它将使用它来解密你的秘密文件。
创建一个名为vault.txt的文件,并在其中放入创建秘密文件时使用的密码。密码应该是存储在文件中的单行字符串。
来自Ansible Docs:
. .确保文件上的权限是这样的,没有其他人可以访问您的密钥,并且没有将您的密钥添加到源代码控制中
最后:您现在可以使用以下内容运行您的剧本
ansible-playbook playbook.yml -u someuser -i hosts --sudo --vault-password-file=vault.txt
上面假设的目录布局如下:
.
|_ playbook.yml
|_ secret
|_ hosts
|_ vault.txt
你可以在这里阅读更多关于Ansible Vault: https://docs.ansible.com/playbooks_vault.html存档
https://docs.ansible.com/ansible/latest/user_guide/vault.html
sudo密码存储为名为ansible_sudo_pass的变量。 你可以通过以下几种方式设置这个变量:
对于每个主机,在您的目录hosts文件(inventory/<inventoryname>/hosts)中
[server]
10.0.0.0 ansible_sudo_pass=foobar
每个组,在您的库存组文件(inventory/<inventoryname>/groups)
[server:vars]
ansible_sudo_pass=foobar
每个组,在组vars中(group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
每个组,加密(ansible-vault create group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
