1.4. 관리형 노드 준비
Ansible은 관리 호스트에서 에이전트를 사용하지 않습니다. 유일한 요구 사항은 RHEL에 기본적으로 설치되는 Python 및 관리 호스트에 대한 SSH 액세스입니다.
그러나 root
사용자로 직접 SSH 액세스는 보안 위험이 될 수 있습니다. 따라서 관리 노드를 준비할 때 이 노드에 로컬 사용자를 생성하고 sudo
정책을 구성합니다. 그런 다음 제어 노드에서 Ansible은 이 계정을 사용하여 관리 노드에 로그인하고, root
와 같은 다른 사용자로 플레이북을 실행할 수 있습니다.
사전 요구 사항
- 제어 노드를 준비합니다.
절차
사용자를 생성합니다.
[root@managed-node-01]# useradd ansible
나중에 제어 노드는 이 사용자를 사용하여 이 호스트에 대한 SSH 연결을 설정합니다.
암호를
ansible
사용자로 설정합니다.[root@managed-node-01]# passwd ansible Changing password for user ansible. New password: password Retype new password: password passwd: all authentication tokens updated successfully.
Ansible에서
sudo
를 사용하여 작업을root
사용자로 수행할 때 이 암호를 입력해야 합니다.관리 노드에
ansible
사용자의 SSH 공개 키를 설치합니다.제어 노드에
ansible
사용자로 로그인하고 SSH 공개 키를 관리 노드에 복사합니다.[ansible@control-node]$ ssh-copy-id managed-node-01.example.com /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/ansible/.ssh/id_rsa.pub" The authenticity of host 'managed-node-01.example.com (192.0.2.100)' can't be established. ECDSA key fingerprint is SHA256:9bZ33GJNODK3zbNhybokN/6Mq7hu3vpBXDrCxe7NAvo. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys ansible@managed-node-01.example.com's password: password Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'managed-node-01.example.com'" and check to make sure that only the key(s) you wanted were added.
제어 노드에서 원격으로 명령을 실행하여 SSH 연결을 확인합니다.
[ansible@control-node]$ ssh managed-node-01.example.com whoami ansible
ansible
사용자에 대한sudo
구성을 생성합니다.visudo
명령을 사용하여/etc/sudoers.d/ansible
파일을 생성하고 편집합니다.[root@managed-node-01]# visudo /etc/sudoers.d/ansible
일반 편집기에서
visudo
를 사용하면 이 유틸리티에서 기본 온전성 검사를 제공하고 파일을 설치하기 전에 구문 분석 오류를 점검할 수 있습니다.요구 사항을 충족하는
/etc/
파일에서 sudoers 정책을 구성합니다. 예를 들면 다음과 같습니다.sudoers
.d/ansibleansible
사용자 암호를 입력한 후 이 호스트의 모든 사용자 및 그룹으로 모든 명령을 실행할 수 있는 권한을ansible
사용자에게 부여하려면 다음을 사용합니다.ansible ALL=(ALL) ALL
ansible
사용자 암호를 입력하지 않고 이 호스트의 모든 사용자 및 그룹으로 모든 명령을 실행할 수 있는 권한을ansible
사용자에게 부여하려면 다음을 사용합니다.ansible ALL=(ALL) NOPASSWD: ALL
또는 보안 요구 사항과 일치하는 더 세분화된 정책을 구성합니다.
sudoers
정책에 대한 자세한 내용은sudoers(5)
매뉴얼 페이지를 참조하십시오.
추가 리소스
- 제어 노드 준비
-
sudoers(5)
도움말 페이지