Ansible-免密登入與主機清單Inventory
Ansible的指定使用者與密碼登入、免密登入、指定ssh埠以及主機清單Inventory配置
在實際使用中並不需要對ansible配置進行修改,或者說只有需要的時候才修改ansible配置。
新增使用者賬號
說明:
1、 運維人員使用的登入賬號;
2、 所有的業務都放在 /app/ 下「yun使用者的家目錄」,避免業務資料亂放;
3、 該使用者也被 ansible 使用,因為幾乎所有的生產環境都是禁止 root 遠端登入的(因此該 yun 使用者也進行了 sudo 提權)。
1 # 使用一個專門的使用者,避免直接使用root使用者 2 # 新增使用者、指定家目錄並指定使用者密碼 3 # sudo提權 4 # 讓其它普通使用者可以進入該目錄檢視資訊 5 useradd -u 1050 -d /app yun && echo '123456' | /usr/bin/passwd --stdin yun 6 echo "yun ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers 7 chmod 755 /app/
基於密碼連線「瞭解」
在實際生產環境中,建議使用基於祕鑰連線而不是密碼連線。
原因如下:
1、將密碼直接寫入檔案中,有安全隱患;
2、生產環境的密碼可能會定期更換,如果基於密碼連線,那麼我們也會頻繁的維護,造成維護成本高;
3、基於祕鑰連線,我們只需要做一次祕鑰分發,後期連線無需任何修改。
清單配置
1 [yun@ansi-manager ansible_info]$ pwd 2 /app/ansible_info 3 [yun@ansi-manager ansible_info]$ cat hosts_pwd 4 # 未分組機器,放在所有組前面 5 # 預設埠22,可省略 6 # 方式1:主機 + 埠 + 密碼 7 172.16.1.180 ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456' 8 9 # 方式2:主機 + 埠 + 密碼 10 [proxyservers] 11 172.16.1.18[1:2] ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456' 12 13 # 方式3:主機 + 埠 + 密碼 14 [webservers] 15 172.16.1.18[3:5] ansible_ssh_port=22 ansible_ssh_user=yun 16 [webservers:vars] 17 ansible_ssh_pass='123456'
測驗連線
1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_pwd # 普通使用者執行 2 172.16.1.180 | FAILED! => { 3 "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host's fingerprint to your known_hosts file to manage this host." 4 } 5 [yun@ansi-manager ansible_info]$ sudo ansible 172.16.1.180 -m ping -i ./hosts_pwd # 提權使用 root 使用者執行 6 172.16.1.180 | FAILED! => { 7 "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host's fingerprint to your known_hosts file to manage this host." 8 }
大概提示資訊:因為啟用了主機金鑰檢查,而 sshpass 不支援這一點。請將此主機「172.16.1.180」的指紋新增到你本機的known_hosts檔案中以管理此主機。
跳過主機金鑰檢查,有兩種方式:
方式1:修改 Linux 系統配置
1 [root@ansi-manager ssh]# vim /etc/ssh/ssh_config 2 # AddressFamily any 3 # ConnectTimeout 0 4 # StrictHostKeyChecking ask # 將該配置的註釋開啟,並改為 StrictHostKeyChecking no 這樣針對所有使用者都不會在進行 「主機金鑰檢查」了 5 # IdentityFile ~/.ssh/identity
但是這個是 Linux 自帶的配置,我們不能隨意去更改。因此不建議如此操作。
方式2:修改 ansible 配置
1 [root@ansi-manager ansible]# pwd 2 /etc/ansible 3 [root@ansi-manager ansible]# vim ansible.cfg 4 # uncomment this to disable SSH key host checking 5 host_key_checking = False # 將該配置的註釋去掉
改配置僅對 root 使用者生效,其他普通使用者是不生效的。這裡使用該方法。
再次連線測試
1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_pwd # 普通使用者還是不行 2 172.16.1.180 | FAILED! => { 3 "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host's fingerprint to your known_hosts file to manage this host." 4 } 5 [yun@ansi-manager ansible_info]$ sudo ansible 172.16.1.180 -m ping -i ./hosts_pwd # 提權使用 root 使用者執行 6 172.16.1.180 | SUCCESS => { 7 "ansible_facts": { 8 "discovered_interpreter_python": "/usr/bin/python" 9 }, 10 "changed": false, 11 "ping": "pong" 12 } 13 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_pwd # 正常 14 [yun@ansi-manager ansible_info]$ sudo ansible webservers -m ping -i ./hosts_pwd # 正常
基於祕鑰連線「推薦」
在實際生產環境中,建議使用基於祕鑰連線而不是密碼連線。
原因如下:
1、將密碼直接寫入檔案中,有安全隱患;
2、生產環境的密碼可能會定期更換,如果基於密碼連線,那麼我們也會頻繁的維護,造成維護成本高;
3、基於祕鑰連線,我們只需要做一次祕鑰分發,後期連線無需任何修改。
實現yun使用者免祕鑰登入
要求:根據規劃實現 172.16.1.180 到 172.16.1.180、172.16.1.181、172.16.1.182、172.16.1.183、172.16.1.184、172.16.1.185 免祕鑰登入
因此需要在 172.16.1.180 機器建立祕鑰,然後分發到受控機器。
建立祕鑰
1 [yun@ansi-manager ~]$ ssh-keygen -t rsa # 一路回車即可 注意使用的是 yun 使用者 2 # 生成之後會在使用者的根目錄生成一個 “.ssh”的資料夾 3 [yun@ansi-manager ~]$ ll -d .ssh/ 4 drwx------ 2 yun yun 38 Jul 25 10:51 .ssh/ 5 [yun@ansi-manager ~]$ ll .ssh/ 6 total 8 7 -rw------- 1 yun yun 1675 Jul 25 10:51 id_rsa 8 -rw-r--r-- 1 yun yun 398 Jul 25 10:51 id_rsa.pub
分發金鑰
1 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.180 2 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.181 3 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.182 4 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.183 5 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.184 6 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.185
測驗免密登入是否成功
1 [yun@ansi-manager ~]$ ssh 172.16.1.180 # 等價於 ssh [email protected] 2 [yun@ansi-manager ~]$ ssh 172.16.1.181 3 [yun@ansi-manager ~]$ ssh 172.16.1.182 4 [yun@ansi-manager ~]$ ssh 172.16.1.183 5 [yun@ansi-manager ~]$ ssh 172.16.1.184 6 [yun@ansi-manager ~]$ ssh 172.16.1.185
注意:必須保證每臺機器都免密登入成功,因此需要每臺機器都驗證。
.ssh目錄中的檔案說明
1 [yun@ansi-manager .ssh]$ pwd 2 /app/.ssh 3 [yun@ansi-manager .ssh]$ ll 4 total 16 5 -rw------- 1 yun yun 398 Jul 25 11:01 authorized_keys 6 -rw------- 1 yun yun 1675 Jul 25 10:51 id_rsa 7 -rw-r--r-- 1 yun yun 398 Jul 25 10:51 id_rsa.pub 8 -rw-r--r-- 1 yun yun 1120 Jul 25 11:04 known_hosts 9 ######################################################################################## 10 authorized_keys :存放要遠端免密登入機器的公鑰,主要通過這個檔案記錄多臺要遠端登入機器的公鑰 11 id_rsa : 生成的私鑰檔案 12 id_rsa.pub :生成的公鑰檔案 13 know_hosts : 已知的主機公鑰清單
清單配置
1 [yun@ansi-manager ansible_info]$ pwd 2 /app/ansible_info 3 [yun@ansi-manager ansible_info]$ cat hosts_key 4 # 未分組機器,放在所有組前面 5 # 預設埠22,可省略 6 # 方式1、主機 + 埠 + 金鑰 7 172.16.1.180:22 8 9 # 方式2:主機 + 埠 + 金鑰 10 [proxyservers] 11 172.16.1.18[1:2]:22 12 13 # 方式3:別名 + 主機 + 埠 + 密碼 14 [webservers] 15 web01 ansible_ssh_host=172.16.1.183 ansible_ssh_port=22 16 web02 ansible_ssh_host=172.16.1.184 ansible_ssh_port=22 17 web03 ansible_ssh_host=172.16.1.185 ansible_ssh_port=22
測驗連線
測驗一
1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_key 2 172.16.1.180 | SUCCESS => { 3 "ansible_facts": { 4 "discovered_interpreter_python": "/usr/bin/python" 5 }, 6 "changed": false, 7 "ping": "pong" 8 }
測驗二
1 [yun@ansi-manager ansible_info]$ ansible proxyservers -m ping -i ./hosts_key 2 172.16.1.181 | SUCCESS => { 3 "ansible_facts": { 4 "discovered_interpreter_python": "/usr/bin/python" 5 }, 6 "changed": false, 7 "ping": "pong" 8 } 9 172.16.1.182 | SUCCESS => { 10 "ansible_facts": { 11 "discovered_interpreter_python": "/usr/bin/python" 12 }, 13 "changed": false, 14 "ping": "pong" 15 }
測驗三
1 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_key 2 web03 | SUCCESS => { 3 "ansible_facts": { 4 "discovered_interpreter_python": "/usr/bin/python" 5 }, 6 "changed": false, 7 "ping": "pong" 8 } 9 web01 | SUCCESS => { 10 "ansible_facts": { 11 "discovered_interpreter_python": "/usr/bin/python" 12 }, 13 "changed": false, 14 "ping": "pong" 15 } 16 web02 | SUCCESS => { 17 "ansible_facts": { 18 "discovered_interpreter_python": "/usr/bin/python" 19 }, 20 "changed": false, 21 "ping": "pong" 22 }
混合方式和主機組方式
清單配置
1 [yun@ansi-manager ansible_info]$ pwd 2 /app/ansible_info 3 [yun@ansi-manager ansible_info]$ cat hosts_group 4 # 未分組機器,放在所有組前面 5 # 預設埠22,可省略 6 # 方式1、主機 + 埠 + 金鑰 7 172.16.1.180 8 9 # 方式一、主機組變數 + 主機 + 密碼 10 [proxyservers] 11 172.16.1.18[1:2] ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456' 12 13 # 方式二、主機組變數 + 主機 + 金鑰 14 [webservers] 15 172.16.1.18[3:5]:22 16 17 # 定義多組,多組彙總整合 18 # website 組包括兩個子組[proxyservers, webservers] 19 [website:children] 20 proxyservers 21 webservers
說明:定義多組使用沒有問題。但是不能像上面一樣既有密碼配置,又有祕鑰配置,這樣會增加維護成本。這裡為了演示因此用了密碼和祕鑰配置。
測驗連線
測驗一
1 # 如果 ~/.ssh/known_hosts 檔案中沒有新增受控機指紋,那麼必須提權操作 2 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_group --list-hosts 3 hosts (2): 4 172.16.1.181 5 172.16.1.182 6 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_group 7 172.16.1.182 | SUCCESS => { 8 "ansible_facts": { 9 "discovered_interpreter_python": "/usr/bin/python" 10 }, 11 "changed": false, 12 "ping": "pong" 13 } 14 172.16.1.181 | SUCCESS => { 15 "ansible_facts": { 16 "discovered_interpreter_python": "/usr/bin/python" 17 }, 18 "changed": false, 19 "ping": "pong" 20 }
測驗二
1 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_group --list-hosts 2 hosts (3): 3 172.16.1.183 4 172.16.1.184 5 172.16.1.185 6 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_group 7 ………………
測驗三
1 [yun@ansi-manager ansible_info]$ ansible website -m ping -i ./hosts_group --list-hosts 2 hosts (5): 3 172.16.1.181 4 172.16.1.182 5 172.16.1.183 6 172.16.1.184 7 172.16.1.185 8 [yun@ansi-manager ansible_info]$ ansible website -m ping -i ./hosts_group
測驗四
特殊組:all
1 [yun@ansi-manager ansible_info]$ ansible all -m ping -i ./hosts_group --list-hosts 2 hosts (6): 3 172.16.1.180 4 172.16.1.181 5 172.16.1.182 6 172.16.1.183 7 172.16.1.184 8 172.16.1.185 9 [yun@ansi-manager ansible_info]$ ansible all -m ping -i ./hosts_group
———END———
如果覺得不錯就關注下唄 (-^O^-) !
&n