文章介绍了如何在不允许root用户直接登录的生产环境中,使用Ansible进行自动化批量操作。通过设置不同的场景,如主控端和被控端均为root用户、需要sudo提权的情况,以及普通用户执行playbook时的处理方式,详细阐述了如何配置ansible.cfg、主机清单文件,以及编写playbook来实现权限管理和任务执行。此外,还特别提到文件权限问题对拷贝操作的影响。
一、简介
很多时候,在生产环境中,root用户是不一定是可以直接登录的。那么,针对此种场景,我们该如何使用ansible实现自动化批量操作呢?
具体,可分为以下几种场景:
| 类型 | 主控端用户 | 被控端用户 | 被控端用户是否需要sudo提权 |
|---|---|---|---|
| 场景一 | ROOT用户 | ROOT用户 | 不需要 |
| 场景二 | ROOT用户 | 普通用户 | 需要 |
| 场景二 | 普通用户 | ROOT用户 | 不需要 |
| 场景二 | 普通用户 | 普通用户 | 需要 |
二、场景一
说明:在一些场景中,主控端和被控端的root用户都是可以直接登录的。
方法一:在主机清单文件中定义被控端主机用户、密码、ssh端口
1、ansible.cfg配置文件:
[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False
2、主机清单文件:
[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456
[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456
[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456
3、一个简单的playbook
---
- name: Execute command
hosts: mysql_cluster_1
tasks:
- name: Run command
command: ip a
4、执行结果如下所示:
三、场景二
说明:在一些场景中,远程部署某些应用需要root权限,但是root用户不能直接登录,可以通过普通用户提权实现root用户管理权限。
2.1、对单个playbook剧本任务定义被控端普通用户提权
1、被控端创建普通用户
[root@localhost ~]# useradd lolaage
[root@localhost ~]# echo "123456" | passwd --stdin lolaage
2、被控端普通用户提权
[root@localhost ~]# vi /etc/sudoers
lolaage ALL=(ALL) NOPASSWD: ALL
3、ansible.cfg配置文件:
[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False
4、主机清单文件如下所示:
[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
5、一个简单的playbook如下所示:
- hosts: mysql_cluster_1
become: true
become_user: root
become_method: sudo
tasks:
- name: Execute whoami command
shell: whoami
6、执行结果如下所示:
2.2、对所有的playbook剧本任务定义被控端普通用户提权
1、被控端创建普通用户
[root@localhost ~]# useradd lolaage
[root@localhost ~]# echo "123456" | passwd --stdin lolaage
2、被控端普通用户提权
[root@localhost ~]# vi /etc/sudoers
lolaage ALL=(ALL) NOPASSWD: ALL
3、ansible.cfg配置文件:
[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False
[privilege_escalation]
#连接到受管主机后,是否需要切换用户,需要ture,不需要false
become=True
#指定特权升级的方法,例如sudo或su
become_method=sudo
#指定要升级到的用户
become_user=root
#是否需要为become_method切换用户时提供密码,要ture,不需要false
become_ask_pass=False
4、主机清单文件如下所示:
[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456
5、一个简单的playbook如下所示:
- hosts: mysql_cluster_1
tasks:
- name: Execute whoami command
shell: whoami
6、执行结果如下所示:
四、场景三
场景三的操作与场景一是一样的,唯一要注意的是,如果主控端是以普通用户登录,如果是执行playbook过程中,需要拷贝文件到受控端,则需要将文件的属主和属组修改为普通用户,或者将权限修改为777,否则会拷贝失败。
以下是以普通用户执行playbook,执行结果如下:
五、场景四
场景四的操作与场景二是一样的,唯一要注意的是,如果主控端是以普通用户登录,如果是执行playbook过程中,需要拷贝文件到受控端,则需要将文件的属主和属组修改为普通用户,或者将权限修改为777,否则会拷贝失败。
以下是以root用户执行playbook,执行结果如下:
总结:整理不易,如果对你有帮助,可否点赞关注一下?
更多详细内容请参考:《Linux运维篇:Linux系统运维指南》
763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
