这对我很管用…… 创建文件/etc/sudoers.d/90-init-users文件

echo "user ALL=(ALL)       NOPASSWD:ALL" > 90-init-users

其中“user”是您的用户id。

非常简单，只需在变量file中添加:

例子:

$ vim group_vars/all

加上这些:

Ansible_connection: ssh
Ansible_ssh_user: rafael
Ansible_ssh_pass: password123
Ansible_become_pass: password123

如需更新

只要运行你的剧本与旗帜-K，他会问你的sudo密码

g.e ansible-playbook你的playbookfile。yaml - k

来自医生

要为sudo指定密码，请运行ansible-playbook和——ask-be -pass (-K)命令

我在这个问题上撕了我的头发，现在我找到了一个解决方案，这是我想要的:

每台主机1个加密文件，包含sudo密码

/etc/ansible/hosts:

[all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa

[some_service_group]
node-0
node-1

然后为每个主机创建一个加密的var文件，如下所示:

ansible-vault create /etc/ansible/host_vars/node-0

与内容

ansible_sudo_pass: "my_sudo_pass_for_host_node-0"

如何组织保险库密码(通过——ask-vault-pass输入)或CFG由您决定

基于此，我怀疑你可以加密整个hosts文件…

查看代码(runner/__init__.py)，我认为你可以将其设置在你的库存文件中:

[whatever]
some-host ansible_sudo_pass='foobar'

ansible.cfg配置文件中似乎也有一些规定，但现在还没有实现(constants.py)。

只是一个补充，所以没有人会经历我最近遇到的烦恼:

我相信，最好的解决方案是沿着上面的toast38coza的大致路线。如果将密码文件和剧本静态地绑定在一起是有意义的，那么使用vars_files(或include_vars)遵循他的模板。如果你想让它们分开，你可以在命令行上提供仓库内容，如下所示:

ansible-playbook --ask-vault-pass -e@<PATH_TO_VAULT_FILE> <PLAYBOOK_FILE>

回想起来，这是显而易见的，但这里有一些陷阱:

那个该死的@符号。如果省略它，解析将无声地失败，ansible-playbook将继续进行，就好像您从未指定过该文件一样。 您必须显式地导入保险库的内容，可以使用命令行——extra-vars/-e，也可以在YAML代码中导入。——ask-vault-pass标志本身不做任何事情(除了提示您输入一个稍后可能使用或不使用的值)。

愿你把“@”也写进去，节省一个小时。