ansible copy模块参选选项

copy模块用于将文件从ansible控制节点（管理主机）或者远程主机复制到远程主机上。其操作类似于scp（secure copy protocol）。

关键参数标红。

参数：

src:（source：源）

要复制到远程服务器的文件的本地路径。这可以是绝对的，也可以是相对的。若路径是一个目录它将被递归复制。如果路径以“/”结尾，则仅在其内容内部目录被复制到目标。否则，如果没有以“/”结尾，包含所有内容的目录本身为复制。此行为类似于“rsync”命令行工具。

对于远程到远程的复制，更推荐使用synchronize或fetch模块。

模板文件：除了直接复制文件外，src还可以是一个Jinja2模板文件，Ansible会在传输前根据变量渲染这个模板。

当复制模板文件时，文件扩展名应为.j2，表明这是一个需要渲染的模板文件。

dest:（destination：目的地）

选项：必须、必填

文件应复制到的远程绝对路径。如果“src”是目录，那么它也必须是目录。如果“dest”是不存在的路径，并且其中一个“dest“结束如果“/”或“src”是目录，则会创建“dest”。如果“dest”是相对路径，则起始目录为由远程主机确定。如果“src”和“dest”是文件，则“dest“的父目录未创建，如果任务尚未创建则会失败存在。

remote_src:（remote_source:远程源）

类型：bool        选项：可选

默认情况下，src参数指向本地主机的文件。但当你需要从远程主机复制文件到另一台远程主机时，可以将此参数设为yes，此时src应指向远程主机的文件路径。

owner：（description:主人；所有权人）

类型：str        选项：可选。        默认值: 保持与源文件相同的属主（如果可能的话）

文件的所有者，执行后返回：成功

描述: 指定远程主机上目标文件或目录的所有者的用户名。

group：（group：组；群；类）

类型：str        选项：可选。        默认值: 保持与源文件相同的属组（如果可能的话）

描述：指定目标文件或目录在远程主机上的所属用户组。执行后返回：成功

mode：（mode:模式；方式；形式；风格）

类型: 字符串                必填: 否        默认值: 保持与源文件相同的权限（如果可能的话）

描述: 设置目标文件或目录的权限。（权限值遵循标准的Unix八进制权限表示法。）

backup：（backup:备份）

类型：bool（布尔型参数）        必填: no

默认值为no，意味着不会自动备份文件。当你将其设置为yes时，Ansible会在覆盖远程主机上的目标文件之前，创建该文件的一个备份。

备份文件命名规则

备份文件通常会被保存在同一目录下，并且文件名会被修改以包含时间戳，以便于追踪和区分不同时间点的备份。备份文件的命名格式通常形如filename.ext.ansible_bak_YYYY-MM-DD_HH.MM.SS，其中YYYY-MM-DD_HH.MM.SS代表备份创建的日期和时间。

force：（force：力量；武力）

类型：bool        默认值：True        

当设置为yes时，即使目标文件和源文件内容相同也会强制复制。默认是yes，但当使用checksum参数时，会根据校验和决定是否复制。

checksum:（checksum：检查和）

类型：str        选项：可选

使用此参数可以让Ansible通过计算源文件的校验和（默认是SHA1）来决定是否需要复制，这对于大文件尤其有用，可以避免不必要的复制。

directory_mode:（directory_mode：目录属性）

类型：raw        选项：可选

当复制目录时，设置目录的权限模式。如果没有设置，将使用系统默认值。该模式仅设置在新创建的目录上，并且不会影响那些已经存在的。

content:（content：内容；含量；所容纳之物）

类型：str        选项：可选

当代替“src”使用时，设置文件的内容直接设置为指定值。仅当“dest”是文件时才有效。创建文件（如果有）不存在。对于高级格式，或者如果“内容”包含变量，使用[template]模块。

（当你不想从本地文件系统复制文件，而是想直接提供文件内容时，可以使用此参数。内容可以是字符串或者引用Ansible变量。）

特点和注意事项

content和src是互斥的，这意味着在一个copy任务中不能同时使用这两个参数。

当使用content时，你可以利用YAML的多行文本特性（使用|符号），方便地编写多行内容。

如果你需要对内容进行更复杂的处理，比如变量插值或循环，可能需要考虑使用template模块而非直接使用content。

content选项非常适合于小规模的文本内容或者配置片段的部署，而对于大文件或二进制文件，直接指定源文件路径（使用src）会更加合适。

通过content选项，Ansible的copy模块提供了灵活的方式来处理文件内容的创建或更新，特别适合于自动化配置文件生成或简单文本文件的分发。

validate：（validate：验证；确认；使生效）

类型：str        选项：可选

对于特定类型的文件（如配置文件），可以提供一个命令来验证目标文件的有效性。

例如，对于Apache配置文件，你可以用validate: apache2ctl configtest来确保配置是有效的。

Security Enhanced Linux（安全上下文）

如果你想要设定与SELinux相关的安全上下文（Security Enhanced Linux），在Ansible的copy模块中，可能会用到的是以下几个与SELinux相关的参数：

seuser：

类型：str

• seuser: 设置文件的安全上下文中的用户部分。

参数用于设置复制到远程主机上的文件或目录的SELinux安全上下文中的用户部分。SELinux（Security-Enhanced Linux）是一个为Linux系统提供强制访问控制（MAC）的安全模块，它增加了额外的安全层，通过标签和策略来控制进程对文件和资源的访问。

描述: 指定文件或目录在远程主机上的SELinux安全上下文中的用户字段。这个值通常用来定义文件应该由哪个SELinux用户类型来访问。

使用场景

当你在启用SELinux的系统上部署应用或配置文件时，正确设置SELinux上下文对于确保系统和服务能够正常运行至关重要。例如，如果你需要将一个文件设置为由HTTP服务的SELinux用户访问，你可能会使用像httpd_sys_content_t这样的用户标签。

serole:

类型：str

• serole: 设置文件的安全上下文中的角色（role）部分，这可能就是你所询问的类似于selevel的部分，但实际上正确的参数名是serole。

描述: 指定文件或目录在远程主机上的SELinux安全上下文中的角色字段。角色决定了哪些类型的进程可以访问哪种类型的文件。

使用场景

当你的部署环境中启用了SELinux，并且需要精确控制文件访问权限时，设置正确的角色就显得尤为重要。例如，在部署Web服务相关的文件时，你可能需要将其角色设置为system_r中的某个特定角色，如允许Web服务进程访问的httpd_sys_content_t所对应的角色。

selevel：

类型：str

• selevel: 或许是想表达SELinux级别的设置，但标准的Ansible参数应该是secontext，它允许你指定完整的SELinux上下文，如system_u:object_r:my_custom_t:s0。

与SELinux相关的选项通常是selinux状态下划线role（如selinux状态下划线user、selinux状态下划线group、selinux状态下划线mode等），用于控制目标文件或目录的SELinux上下文设置。

setype: 

类型：str

• setype: 这是另一个可能与你提到的selevel有所关联的参数，它用于指定SELinux类型（Type）。

当你复制文件到远程系统并且希望控制该文件的SELinux上下文类型时，可以使用setype参数。这个参数值应该是目标系统上有效的SELinux类型字符串。

例如：

- name: Copy file and set SELinux type
  copy:
    src: /local/path/to/source/file.txt
    dest: /remote/path/destination/file.txt
    setype: httpd_sys_content_t  # 指定SELinux类型

在这个例子中，复制到远程主机的file.txt将被赋予httpd_sys_content_t这个SELinux类型，这在Apache HTTP服务的上下文中比较常见，表示文件内容可供HTTP服务读取。 

注意事项

• 确保你提供的SELinux类型是正确的并且适用于目标系统及文件用途。错误的类型可能导致服务无法访问文件或安全策略违反。
• 使用setype前，确认远程系统启用了SELinux。如果SELinux未启用，这个参数将不起作用。
• 除了setype之外，还可以使用seuser, serole, 和 selevel（或综合使用的secontext）来完全控制文件的SELinux上下文。
• 如果不确定需要设置的SELinux类型，可以先在目标系统上使用ls -Z命令查看类似文件的SELinux标签，或者使用chcon命令进行临时测试。

directory_mode:（目录模式）

类型：str                选项：可选                      默认值: 使用系统默认权限

（当复制目录时）设置递归复制的目录的权限模式。

描述: 指定在复制目录结构时新创建的目录的权限。权限值遵循标准的Unix八进制权限表示法。

使用场景

当你复制包含多级目录的结构至远程主机，并希望确保所有新创建的中间目录具有统一且非默认的权限时，directory_mode就显得非常有用。

示例

假设你正在部署一个应用，需要确保所有新创建的目录权限设置为750（所有者可读写执行，所属组可读执行，其他人无权限），你可以这样配置Ansible任务：

Yaml

1- name: Copy directory with specific mode for new directories
2  copy:
3    src: /path/to/local/directory
4    dest: /path/to/remote/directory
5    directory_mode: '0750'

在这个例子中，directory_mode: '0750'确保在复制目录结构过程中创建的所有新目录都具有权限750。请注意，原始目录中的文件和已存在的目录权限不会被改变，只有复制操作中新建的目录权限会被设置为指定值。

正确使用directory_mode可以帮助你更好地控制目录的权限，确保部署环境的一致性和安全性。

unsafe_writes:

类型: 布尔值                必填: 否                默认值: false

 描述: 当设置为true时，允许Ansible在写入文件时不进行某些安全检查，比如跳过在NFS等网络文件系统上的权限检查或锁定检查。这可能在某些情况下帮助解决写入问题，但也可能引入安全隐患，因为它绕过了正常的安全措施。

使用场景

通常情况下，你应该保持这个选项为默认值false，以确保文件写入操作遵循标准的安全实践。但是，在遇到特定场景，比如与某些网络文件系统交互时遇到权限或锁冲突问题，可以考虑临时启用这个选项来尝试解决问题。

注意事项

• 使用unsafe_writes: true应当谨慎，因为它可能破坏文件系统的完整性或导致并发写入问题。
• 只应在明确了解潜在风险，并且没有其他可行解决方案的情况下使用。
• 确保在问题解决后恢复此选项的默认值，以维持系统的安全性和稳定性。

示例

1- name: Copy file with unsafe writes enabled
2  copy:
3    src: /local/path/to/source_file
4    dest: /network/mounted/path/to/destination_file
5    unsafe_writes: true

在这个示例中，由于目标路径位于网络文件系统上，可能会遇到常规写入时的权限或锁问题，通过设置unsafe_writes: true尝试绕过这些问题完成文件复制。但请记住，这是最后的尝试手段，并且需要评估潜在的风险。

八进制权限表示法

在Unix/Linux中，文件权限由三组数字表示，每组数字分别对应文件所有者的权限、所属组的权限和其他用户的权限，每一组由三位组成，可能的位值包括4（读权限）、2（写权限）、1（执行权限）或0（无权限）。因此，一个典型的权限字符串可能是755，意味着：

• 第一位7（4+2+1）代表所有者有读、写、执行权限。
• 第二位5（4+1）代表所属组有读和执行权限。
• 第三位5同样代表其他人有读和执行权限。