Ansible Bastion Host, ProxyCommand

最新推荐文章于 2023-12-27 14:10:06 发布
最新推荐文章于 2023-12-27 14:10:06 发布
阅读量526 收藏
点赞数
文章标签: linux java python 大数据 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010674101/article/details/118019970
版权

方法一:命令行模式

使用 Ansible 时,如何配置,可以直接穿过跳板机到内网地址呢?
基本原来都是源自于ssh命令,好好读懂ssh ProxyCommand 问题迎刃而解。

大致的过程如下面的图示:

+-------------+       +----------+      +--------------+
| 开发环境机器A  | <---> |   跳板机B  | <--> | 生产环境机器B   |
+-------------+       +----------+      +--------------+

我们可以通过 ssh 命令的 ProxyCommand 选项来解决以上问题。

通过 ProxyCommand 选项,机器 A 能够灵活使用任意代理机制与机器 C 上的 SSH Server 端口建立连接,接着机器 A 上的 SSH Client 再与该连接进行数据交互,从而机器 A 上的 SSH Client 与机器 C 上的 SSH Server 之间建立了与一般直接 SSH 连接不太一样的间接 SSH 连接。

不过由于间接 SSH 连接的透明性,逻辑上可认为机器 A 上的 SSH Client 与机器 C 上的 SSH Server 建立了直接 SSH 连接。

image.png
image.png

原理

ssh 命令自提供的代理机制,在机器 A 上另外单独建立与 B 的 SSH 连接,该 SSH 连接的 B 端侧与机器 C 上的 SSH Server 端口建立连接,该 SSH 连接的 A 端侧与机器 A 上的 SSH Client建立连接。

测试环境

A-本机:192.22.9.23
B-跳板机:192.22.9.21
C-目标机:192.22.4.46

条件:A->B的互信

测试步骤

测试 1

A–>B:root 用户的互信
C:root 的登录信息

# ansible all -m ping --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q root@192.22.9.21"'
192.22.4.46 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}

可以成功穿过跳板机。

测试 2
A–>B:一般用户(luke)的互信
C:root 的登录信息

# ansible all -m ping --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q luke@192.22.9.21"'
192.22.4.46 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}

跳板机普通用户,访问目标机器的 root 目录

# ansible all --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q luke@192.22.9.21"' -m command -a 'ls /root/'
192.22.4.46 | CHANGED | rc=0 >>
1115.txt
anaconda-ks.cfg
deploytelegraf
deploytelegraf.tar.gz
epic-brook.18.11.20.01.tar.gz
epic-josh-threshold.0.1.26.tar.gz
images.tar.gz
metric.tar.gz
python-httplib2-0.9.2-1.el7.noarch.rpm
restates
sensu-1.6.1-1.el7.x86_64.rpm
sshpass-1.06-2.el7.x86_64.rpm
test1115.txt
tl.txt

结论

访问权限取决于目标机器的登录用户。

测试 3
A–>B:一般用户(luke)的互信
C:一般用户(luke)的登录信息

# ansible all -m ping --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q luke@192.22.9.21"'
192.22.4.46 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}
# ansible all --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q luke@192.22.9.21"' -m command -a 'pwd'
192.22.4.46 | CHANGED | rc=0 >>
/home/luke

跳板机普通用户,目标机普通用户,无法访问 root

# ansible all --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q luke@192.22.9.21"' -m command -a 'ls /root/'
192.22.4.46 | FAILED | rc=2 >>
ls: cannot open directory /root/: Permission deniednon-zero return code

目标机器的普通用户无法访问 root 权限的路径。

测试 4
A–>B:root 用户的互信
C:luke 的登录信息

# ansible all --ssh-common-args='-o ProxyCommand="ssh -W %h:%p -q root@192.22.9.21"' -m command -a 'pwd'
192.22.4.46 | CHANGED | rc=0 >>
/home/luke

总结
1、若要使用跳板机功能,需要本机和跳板机的互信,任一用户的互信都可以。

2、目标机器的操作权限,取决于目标机器的登录用户信息,与跳板机的登录信息无关。

3、穿过跳板机,无法保证所有的 Ansible 功能都支持,特别是一些复杂的功能,如 synchronize 模块。后续需要用的模块需要一一测试。

方法二:更改ansible.cfg模式

创建/etc/ansible/ansible-bastion.cfg,然后改变ssh_args control_path 默认参数

# cat /etc/ansible/ansible-bastion.cfg
# diff ansible.cfg ansible-bastion.cfg
375a376,377
> ssh_args = -F /etc/ansible/ssh.cfg     #ssh_args 参数更新 
> #ssh_args = -F /root/.ssh/config.bak
382a385
> control_path = ~/.ssh/mux-%r@%h:%p  # control_path参数更新

创建/etc/ansible/ssh.cfg

# 创建/etc/ansible/ssh.cfg
Host 118.178.xxx.xxx
  HostName 118.178.xxx.xxx
  ProxyCommand none
  BatchMode yes
  User root

Host 172.16.*
  ProxyCommand    ssh 118.178.xxx.xxx -W %h:%p  
  ControlPath     /tmp/%r@%h:%p



Host *
  StrictHostKeyChecking no
  ControlMaster   auto
  ControlPath     /tmp/%r@%h:%p
  ControlPersist  15m

改变ansible 默认读取的变量文件

export ANSIBLE_CONFIG=/etc/ansible/ansible-bastion.cfg

编辑 hosts2 文件

# cat hosts2
[bastion]
118.178.xxx.xxx

[app_servers]
172.16.0.125
172.16.0.121

运行ping 模块测试一下
ansible app_servers -i hosts2 -m ping -v -u root

# ansible app_servers -i hosts2 -m ping -v -u root    

Using /etc/ansible/ansible-bastion.cfg as config file
172.16.0.125 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    }, 
    "changed": false, 
    "ping": "pong"
}
172.16.0.121 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    }, 
    "changed": false, 
    "ping": "pong"
}

参考:ansible-jump-server.htmlansible-bastion-host-proxycommand-e6946c945d30

少陽君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ansible系列之:ansible命令指定仓库、用户名、私钥、代理、playbook名称
zhengzaifeidelushang的博客
01-12 1005
ansible系列之:ansible命令指定仓库、用户名、私钥、代理、playbook名称一、ansible-playbook命令参数二、ansible-playbook完整命令三、ansible命令指定仓库、用户名、私钥、代理、playbook名称完整示例 一、ansible-playbook命令参数 ansible-playbook: –inventory –user –private-key –ssh-common-args ProxyCommandproxyproxy-type 二、an
ansible-role-ansible_bastion:Ansible模块部署ansible部署堡垒
05-10
OSAS使用Ansible模块来使用Ansible管理一组服务器。 建筑学 该角色允许安装受信任的服务器,该服务器将部署配置并安全地运行剧本,而不必向每个管理员分发ssh密钥。 它用于授权用户可以推送的2个git存储库,使用脚本...
ansible通过一台或者多台跳板机控制机器
qq_35702095的博客
08-11 492
一、通过一台跳板机免密 (a主机 b跳板机 c主机) 做好a免密登录b,b免密登录c , a主机~/.ssh下新增文件b_private,内容为b的私钥 a主机~/.ssh下增加config文件,内容为 Host c主机IP User gcp Port 22 IdentityFile=~/.ssh/b_private ProxyCommand ssh -W %h:%p b主机ip 二、通过多台跳板机免密 ( a主机 b跳板机 c跳板机 d主机) 做好A免密登录B,B免密登录C ,C免密登录D, a主机~/.
【自动部署】Ansible 怎么通过堡垒机/跳板机 访问目标机器
weixin_33861800的博客
11-17 766
Ansible机器的 /root/.ssh/config 配置如下即可:Host 目标机器IP User root IdentityFile=/root/.ssh/xxx_id_rsa ProxyCommand ssh -qaY -i /root/.ssh/id_rsa root@跳板机IP 'nc -w 14400 %h %p' ~ Host 目标机器IP.* Id...
ssh跳板机命令ansible
davidliuzkw的博客
12-19 2868
ansible通过跳板机执行目标机的命令 ansible-playbook provision_envs/configure-sid.yml -i inventory/sid --limit=tag_build_5 --vault-password-file ../vault_key --ssh-extra-args='-o StrictHostKeyChecking=no -o U...
Ansible 命令行工具——ansible
幽灵 逐梦--专栏
07-15 323
ansible 针对一组主机定义和运行单个任务“剧本” 语法 usage: ansible [-h] [--version] [-v] [-b] [--become-method BECOME_METHOD] [--become-user BECOME_USER] [-K] [-i INVENTORY] [--list-hosts] [-l SUBSET] [-P POLL_INTERVAL] [-B SECONDS] [-o] [-t TREE]
Ansible-ansible-role-ansible_bastion.zip
09-18
Ansible-ansible-role-ansible_bastion.zip,ansible module部署osas使用ansible管理一组服务器的ansible部署bastionansible模块。,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务...
hostbase-ansible-inventory:AnsibleHostbase 动态清单脚本
06-27
主机库 Ansible 清单脚本。要求PHP >= 5.4安装下载 PHAR: : 将其移动到 Ansible 库存脚本的首选位置使其可执行: chmod +x hostbase-...用法hostbase-ansible [-o|--host="..."] [-l|--list] [-i|--limit="..."] [-g|
ansible离线安装包
09-28
离线安装ansible 把安装包放到/data目录并解压 tar xvf ansible_packages.tar.gz rpm -ivh deltarpm-3.6-3.el7.x86_64.rpm rpm -ivh python-deltarpm-3.6-3.el7.x86_64.rpm rpm -ivh createrepo-0.9.9-28.el7....
openstack-ansible-host-prep:Ansible为OpenStack Ansible部署(OSAOSAD)设置主机
05-17
在运行OpenStack Ansible之前,OSA Host Prep这个项目会自动执行大多数必需的配置。 确认此功能适用于Ubuntu 16.04上的OpenStack Newton。 如果尝试部署其他版本/发行版,则里程可能会有所不同。问题/待办事项/问题...
Ansible --- 通过Ansible管理地区机房中的内网机器
K-free的博客
09-15 905
需求:   当我们的机器在IDC托管时,往往在多个地区都有托管,每个地区的IDC中只有一台外网服务器,这台外网机器起到接收外面请求及内网中机器中的请求,当我们想要使用Ansible管理内网主机时,就需要用到类似“代理”的一个功能,实际底层使用的还是“ssh”; 分析:   因为Ansible底层使用的就是SSH协议,所以我们可以直接定义SSH方法; SSH“代理”介绍:   -o:添加选...
ansible简单教程(1):安装&简单测试
liuwei0376的专栏
04-03 653
一、软件简介 ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。 ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。主要包括: (1)、连接插件connection plugins:负责和被监控端实现通信; (2)、host inventory:指定操作的主机,是
SSH proxycommand:利用跳板机让不在同一局域网的机器ssh直连
热门推荐
cikenerd的博客
06-26 1万+
SSH proxycommand:利用跳板机让不在同一局域网的机器ssh直连 使用ansible要求控制机要能够直接ssh到被控制机,这样不在同一子网的话,ansible无法控制,使用proxycommand能够解决这一问题。
ssh通过代理登录远程主机及穿越跳板机
JineD的博客
05-21 8460
参考:ssh端口转发:ssh隧道玩转SSH端口转发PhpStorm sftp deploy with SSH Proxy 通过代理登录远程主机 ssh要使用代理登录远程主机,一般是因为远程主机是买的国外主机,然后ip被和谐了,所以要用通过代理来登录,代理一般都是ss啦。 用法一 ssh -o "ProxyCommand nc -X 5 -x 127.0.0.1:1086 %h %p" [email protected] 用法二 ssh -o ProxyCommand="nc -X 5
【Tips】VSCode:ProxyCommand登录服务器
xhanz的博客
05-27 3941
此前的安装和设置可以参考【Tips】VSCode登陆远程服务器Remote-SSH(IDE+terminal+文件管理 三合一) 这次需要连接配置一个新的服务器,但需要通过代理连接 本地主机windows 管理员给的ssh命令在mobaxterm中可以执行并连接成功: ssh -o "ProxyCommand=nc -X connect -x sshproxy.xxx.xxx.xx.xx:12345 %h %p" username@target_ip_address 想通过vscode的remote-ss
OpenSSH ProxyCommand命令注入漏洞(CVE-2023-51385)
最新发布
Flamingo1998的博客
12-27 2571
OpenSSH ProxyCommand命令注入漏洞(CVE-2023-51385)
SSH ProxyCommand及其思想
凡星闪点
12-05 1万+
OpenSSH 的客户端有一个 ProxyCommand 的选项, 用于 SSH 客户端与服务器之间的隧道通信(tunneling). 所谓的隧道技术, 也称代理技术, 是网络通信技术的一个普遍概念, 就是把一条信道建立于另外一条信道之上. SSH 会话基于一个 TCP 连接. 如果我们把连接的两个端口各自的出口(也即入口)进行截获, 就可以用其它的信道来传输. 而且 SSH 仍然认为它用的是和
Ansible使用ne_command配置管理HUAWEI路由器
Jesage的专栏
10-31 4132
1、Ansible的安装 目前HUAWEI NE设备插件支持的Ansible版本为2.4.0,安装方法可以用linux的包管理工具进行;也可以用pip。 2、NE插件的安装 插件版本目前是Router_V800R010C10_Ansible2.4_001,可以在HUAWEI support官网下载。 3、Ansible主机与设备直连 这种连接方式没有什么特殊的配置,直接在/etc/ans...
ansible playbook详细教程(笔记)
weixin_30819085的博客
04-23 1889
ctrl F 执行playbook命令 ansible ­playbook -­i "inventory文件名" playbook.yml ­f 10 (并行级别10) 加参数 -e "temp_file=${uuid}" 或者: --extra­vars "version=1.23.45 other_variable=foo" ­­ 或者: ...
ansiblehost怎么写
06-07
Ansible 的 inventory 文件用于定义主机和主机组,可以使用以下几种方式定义主机: 1. 直接使用主机名或 IP 地址: ``` webserver ansible_host=192.168.1.100 ``` 2. 使用主机别名(Alias): ``` webserver ansible_host=192.168.1.100 ansible_alias=web ``` 3. 使用 SSH 配置文件(~/.ssh/config)中的主机别名: ``` webserver ansible_ssh_common_args='-F /home/user/.ssh/config' ansible_alias=web ``` 4. 使用主机组: ``` [webservers] webserver1 ansible_host=192.168.1.100 webserver2 ansible_host=192.168.1.101 ``` 以上示例中,`webserver` 是主机名,`ansible_host` 是主机 IP 地址,`ansible_alias` 是主机别名。 在 inventory 文件中,主机组名称放在方括号中,例如 `[webservers]` 定义了一个名为 `webservers` 的主机组,可以在 playbook 中指定任务运行在该主机组中的所有主机上。 需要注意的是,Ansible 的 inventory 文件支持多种格式,包括 INI 格式、YAML 格式和 JSON 格式等,具体格式可以根据实际需要进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少陽君

谢谢老板的拿铁

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值