Menu Close
Settings Close

Language and Page Formatting Options

1.4. 准备受管节点

Ansible 不在受管主机上使用代理。唯一的要求是 Python (默认情况下在 RHEL 上安装),以及对受管主机的 SSH 访问。

但是,以 root 用户身份直接进行 SSH 访问可能会造成安全隐患。因此,当您准备受管节点时,您可以在此节点上创建一个本地用户并配置 sudo 策略。然后,控制节点上的 Ansible 可以使用此帐户登录受管节点,并以不同的用户(如 root )执行 playbook。

先决条件

  • 您已准备好了控制节点。

流程

  1. 创建用户:

    [root@managed-node-01]# useradd ansible

    控制节点稍后使用这个用户建立与这个主机的 SSH 连接。

  2. ansible 用户设置密码:

    [root@managed-node-01]# passwd ansible
    Changing password for user ansible.
    New password: password
    Retype new password: password
    passwd: all authentication tokens updated successfully.

    当 Ansible 使用 sudoroot 用户身份执行任务时,您必须输入此密码。

  3. 在受管主机上安装 ansible 用户的 SSH 公钥:

    1. ansible 用户身份登录控制节点,并将 SSH 公钥复制到受管节点:

      [ansible@control-node]$ ssh-copy-id managed-node-01.example.com
      /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/ansible/.ssh/id_rsa.pub"
      The authenticity of host 'managed-node-01.example.com (192.0.2.100)' can't be established.
      ECDSA key fingerprint is SHA256:9bZ33GJNODK3zbNhybokN/6Mq7hu3vpBXDrCxe7NAvo.
      Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
      /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
      /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
      ansible@managed-node-01.example.com's password: password
      
      Number of key(s) added: 1
      
      Now try logging into the machine, with:   "ssh 'managed-node-01.example.com'"
      and check to make sure that only the key(s) you wanted were added.
    2. 在控制节点上远程执行命令以验证 SSH 连接:

      [ansible@control-node]$ ssh managed-node-01.example.com whoami
      ansible
  4. ansible 用户创建 sudo 配置:

    1. 使用 visudo 命令创建和编辑 /etc/sudoers.d/ansible 文件:

      [root@managed-node-01]# visudo /etc/sudoers.d/ansible

      在正常编辑器中使用 visudo 的好处是,该实用程序提供基本的健全检查和检查是否有解析错误,然后再安装该文件。

    2. /etc/sudoers.d/ansible 文件中输入以下内容:

      ansible ALL=(ALL) NOPASSWD: ALL

      这些设置向 ansible 用户授予权限,以便作为此主机上的任何用户和组运行所有命令,而无需输入 ansible 用户的密码。

其他资源