Menu Close
Settings Close

Language and Page Formatting Options

1.4. 管理対象ノードの準備

Ansible は、管理対象ホストでエージェントを使用しません。唯一の要件は、RHEL にデフォルトでインストールされる Python と、管理対象ホストへの SSH アクセスです。

ただし、root ユーザーとして SSH に直接アクセスすると、セキュリティー上のリスクが生じる可能性があります。したがって、管理対象ノードを準備するときは、このノードでローカルユーザーを作成し、sudo ポリシーを設定します。コントロールノードの Ansible は、このアカウントを使用して管理対象ノードにログインし、root などの別のユーザーとして Playbook を実行できます。

前提条件

  • 制御ノードを準備している。

手順

  1. ユーザーを作成します。

    [root@managed-node-01]# useradd ansible

    制御ノードは後でこのユーザーを使用して、このホストへの SSH 接続を確立します。

  2. ansible ユーザーにパスワードを設定します。

    [root@managed-node-01]# passwd ansible
    Changing password for user ansible.
    New password: password
    Retype new password: password
    passwd: all authentication tokens updated successfully.

    Ansible が sudo を使用して root ユーザーとしてタスクを実行する場合は、このパスワードを入力する必要があります。

  3. ansible ユーザーの SSH 公開鍵を管理対象ノードにインストールします。

    1. ansible ユーザーとして制御ノードにログインし、SSH 公開鍵を管理対象ノードにコピーします。

      [ansible@control-node]$ ssh-copy-id managed-node-01.example.com
      /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/ansible/.ssh/id_rsa.pub"
      The authenticity of host 'managed-node-01.example.com (192.0.2.100)' can't be established.
      ECDSA key fingerprint is SHA256:9bZ33GJNODK3zbNhybokN/6Mq7hu3vpBXDrCxe7NAvo.
      Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
      /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
      /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
      ansible@managed-node-01.example.com's password: password
      
      Number of key(s) added: 1
      
      Now try logging into the machine, with:   "ssh 'managed-node-01.example.com'"
      and check to make sure that only the key(s) you wanted were added.
    2. 制御ノードでコマンドをリモートで実行して、SSH 接続を確認します。

      [ansible@control-node]$ ssh managed-node-01.example.com whoami
      ansible
  4. ansible ユーザーの sudo 設定を作成します。

    1. visudo コマンドを使用して、/etc/sudoers.d/ansible ファイルを作成および編集します。

      [root@managed-node-01]# visudo /etc/sudoers.d/ansible

      通常のエディターと比べて visudo を使用する利点は、このユーティリティーがファイルをインストールする前に基本的な健全性チェックと解析エラーのチェックを提供することです。

    2. /etc/sudoers.d/ansible ファイルに次の内容を入力します。

      ansible ALL=(ALL) NOPASSWD: ALL

      これらの設定により、ansible ユーザーのパスワードを入力せずに、このホスト上で任意のユーザーおよびグループとしてすべてのコマンドを実行する権限が ansible ユーザーに付与されます。

関連情報