我如何指定一个sudo密码Ansible在非交互的方式?
我是这样运行Ansible剧本的:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username --ask-sudo-pass
但我想这样运行它:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username` **--sudo-pass=12345**
有办法吗?我希望尽可能地自动化我的项目部署。
当前回答
sudo密码存储为名为ansible_sudo_pass的变量。 你可以通过以下几种方式设置这个变量:
对于每个主机,在您的目录hosts文件(inventory/<inventoryname>/hosts)中
[server]
10.0.0.0 ansible_sudo_pass=foobar
每个组,在您的库存组文件(inventory/<inventoryname>/groups)
[server:vars]
ansible_sudo_pass=foobar
每个组,在组vars中(group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
每个组,加密(ansible-vault create group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
其他回答
sudo密码存储为名为ansible_sudo_pass的变量。 你可以通过以下几种方式设置这个变量:
对于每个主机,在您的目录hosts文件(inventory/<inventoryname>/hosts)中
[server]
10.0.0.0 ansible_sudo_pass=foobar
每个组,在您的库存组文件(inventory/<inventoryname>/groups)
[server:vars]
ansible_sudo_pass=foobar
每个组,在组vars中(group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
每个组,加密(ansible-vault create group_vars/<groupname>/ansible.yml)
ansible_sudo_pass: "foobar"
你可以在剧本执行时传递它。语法是-
ansible-playbook -i inventory my.yml \
--extra-vars 'ansible_become_pass=YOUR-PASSWORD-HERE'
但出于安全考虑,这并不是一个好主意。最好使用可靠的拱顶
首先更新你的库存文件如下:
[cluster:vars]
k_ver="linux-image-4.13.0-26-generic"
ansible_user=vivek # ssh login user
ansible_become=yes # use sudo
ansible_become_method=sudo
ansible_become_pass='{{ my_cluser_sudo_pass }}'
[cluster]
www1
www2
www3
db1
db2
cache1
cache2
接下来,创建一个名为password的新加密数据文件。Yml,执行如下命令:
$ ansible-vault create passwd.yml
设置保险箱密码。在提供密码后,该工具将启动您用$ editor定义的任何编辑器。附加以下内容 my_cluser_sudo_pass: your_sudo_password_for_remote_servers 在vi/vim中保存并关闭文件。最后运行playbook如下:
$ ansible-playbook -i inventory --ask-vault-pass --extra-vars '@passwd.yml' my.yml
如何重新编辑我的加密文件
ansible-vault edit passwd.yml
如何更改加密文件的密码
ansible-vault rekey passwd.yml
如需更新
只要运行你的剧本与旗帜-K,他会问你的sudo密码
g.e ansible-playbook你的playbookfile。yaml - k
来自医生
要为sudo指定密码,请运行ansible-playbook和——ask-be -pass (-K)命令
我在这个问题上撕了我的头发,现在我找到了一个解决方案,这是我想要的:
每台主机1个加密文件,包含sudo密码
/etc/ansible/hosts:
[all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa
[some_service_group]
node-0
node-1
然后为每个主机创建一个加密的var文件,如下所示:
ansible-vault create /etc/ansible/host_vars/node-0
与内容
ansible_sudo_pass: "my_sudo_pass_for_host_node-0"
如何组织保险库密码(通过——ask-vault-pass输入)或CFG由您决定
基于此,我怀疑你可以加密整个hosts文件…
五年过去了,我可以看出这仍然是一个非常相关的主题。有点像leucos的答案,我发现在我的情况下,只使用ansible工具(没有任何集中的身份验证,令牌或其他东西)。这假设您在所有服务器上都有相同的用户名和相同的公钥。如果你不这样做,当然你需要更具体,并在主机旁边添加相应的变量:
[all:vars]
ansible_ssh_user=ansible
ansible_ssh_private_key_file=home/user/.ssh/mykey
[group]
192.168.0.50 ansible_sudo_pass='{{ myserver_sudo }}'
ansible-vault create mypasswd.yml
ansible-vault edit mypasswd.yml
Add:
myserver_sudo: mysecretpassword
然后:
ansible-playbook -i inv.ini my_role.yml --ask-vault --extra-vars '@passwd.yml'
至少这样你就不用写更多指向密码的变量了。
