3.3. 컬렉션을 확인하기 위해 Ansible-Galaxy CLI 구성
컬렉션을 확인하도록 Ansible-Galaxy CLI를 구성할 수 있습니다. 이렇게 하면 다운로드한 컬렉션이 조직의 승인을 받으며 자동화 허브에 업로드된 후에는 변경되지 않습니다.
자동화 허브로 컬렉션이 서명된 경우 서버는 ASCII 무장, GPG 분리 서명을 제공하여 컬렉션 내용을 확인하기 전에 MANIFEST.json
의 진위 여부를 확인합니다. ansible-galaxy
의 인증 키를 구성하거나 --keyring
옵션을 사용하여 경로를 제공하여 서명 확인을 선택해야 합니다.
사전 요구 사항
- 서명된 컬렉션은 자동화 허브에서 서명을 확인하여 서명을 확인할 수 있습니다.
- 인증된 컬렉션은 조직 내에서 승인된 역할로 서명할 수 있습니다.
- 확인을 위한 공개 키가 로컬 시스템 인증 키에 추가되었습니다.
절차
ansible-galaxy
와 함께 사용할 수 있도록 공개 키를 기본 키가 아닌 인증 키로 가져오려면 다음 명령을 실행합니다.gpg --import --no-default-keyring --keyring ~/.ansible/pubring.kbx my-public-key.asc
참고자동화 허브에서 제공하는 서명 외에 서명 소스도 요구 사항 파일 및 명령줄에 제공할 수 있습니다. 서명 소스는 URI여야 합니다.
--signature
옵션을 사용하여 추가 서명으로 CLI에 제공된 컬렉션 이름을 확인합니다.ansible-galaxy collection install namespace.collection --signature https://examplehost.com/detached_signature.asc --signature file:///path/to/local/detached_signature.asc --keyring ~/.ansible/pubring.kbx
이 옵션을 여러 번 사용하여 여러 서명을 제공할 수 있습니다.
요구 사항 파일의 컬렉션에 다음 예와 같이 컬렉션 서명 키 뒤에 추가 서명 소스가 나열되어 있는지 확인합니다.
# requirements.yml collections: - name: ns.coll version: 1.0.0 signatures: - https://examplehost.com/detached_signature.asc - file:///path/to/local/detached_signature.asc ansible-galaxy collection verify -r requirements.yml --keyring ~/.ansible/pubring.kbx
자동화 허브에서 컬렉션을 설치하면 서버에서 제공하는 서명이 설치된 컬렉션과 함께 저장되어 컬렉션의 진위 여부를 확인할 수 있습니다.
-
(선택 사항) Ansible Galaxy 서버를 쿼리하지 않고 컬렉션의 내부 일관성을 다시 확인해야 하는 경우
--offline
옵션을 사용하여 이전에 사용한 명령과 동일한 명령을 실행합니다.