3.3. 컬렉션을 확인하기 위해 Ansible-Galaxy CLI 구성

컬렉션을 확인하도록 Ansible-Galaxy CLI를 구성할 수 있습니다. 이렇게 하면 다운로드한 컬렉션이 조직의 승인을 받으며 자동화 허브에 업로드된 후에는 변경되지 않습니다.

자동화 허브로 컬렉션이 서명된 경우 서버는 ASCII 무장, GPG 분리 서명을 제공하여 컬렉션 내용을 확인하기 전에 MANIFEST.json 의 진위 여부를 확인합니다. ansible-galaxy인증 키를 구성하거나 --keyring 옵션을 사용하여 경로를 제공하여 서명 확인을 선택해야 합니다.

사전 요구 사항

  • 서명된 컬렉션은 자동화 허브에서 서명을 확인하여 서명을 확인할 수 있습니다.
  • 인증된 컬렉션은 조직 내에서 승인된 역할로 서명할 수 있습니다.
  • 확인을 위한 공개 키가 로컬 시스템 인증 키에 추가되었습니다.

절차

  1. ansible-galaxy 와 함께 사용할 수 있도록 공개 키를 기본 키가 아닌 인증 키로 가져오려면 다음 명령을 실행합니다. 

    gpg --import --no-default-keyring --keyring ~/.ansible/pubring.kbx my-public-key.asc
    참고

    자동화 허브에서 제공하는 서명 외에 서명 소스도 요구 사항 파일 및 명령줄에 제공할 수 있습니다. 서명 소스는 URI여야 합니다.

  2. --signature 옵션을 사용하여 추가 서명으로 CLI에 제공된 컬렉션 이름을 확인합니다. 

    ansible-galaxy collection install namespace.collection
--signature https://examplehost.com/detached_signature.asc
--signature file:///path/to/local/detached_signature.asc --keyring ~/.ansible/pubring.kbx

    이 옵션을 여러 번 사용하여 여러 서명을 제공할 수 있습니다.

  3. 요구 사항 파일의 컬렉션에 다음 예와 같이 컬렉션 서명 키 뒤에 추가 서명 소스가 나열되어 있는지 확인합니다. 

    # requirements.yml
collections:
  - name: ns.coll
    version: 1.0.0
    signatures:
      - https://examplehost.com/detached_signature.asc
      - file:///path/to/local/detached_signature.asc

ansible-galaxy collection verify -r requirements.yml --keyring ~/.ansible/pubring.kbx

    자동화 허브에서 컬렉션을 설치하면 서버에서 제공하는 서명이 설치된 컬렉션과 함께 저장되어 컬렉션의 진위 여부를 확인할 수 있습니다.

  4. (선택 사항) Ansible Galaxy 서버를 쿼리하지 않고 컬렉션의 내부 일관성을 다시 확인해야 하는 경우 --offline 옵션을 사용하여 이전에 사용한 명령과 동일한 명령을 실행합니다.