2. 程式人生 > >Ansible-免密登入與主機清單Inventory

Ansible-免密登入與主機清單Inventory

阿新 發佈:2020-03-16

 

Ansible的指定使用者與密碼登入、免密登入、指定ssh埠以及主機清單Inventory配置

在實際使用中並不需要對ansible配置進行修改,或者說只有需要的時候才修改ansible配置。

新增使用者賬號

說明:

1、 運維人員使用的登入賬號;

2、 所有的業務都放在 /app/ 下「yun使用者的家目錄」,避免業務資料亂放;

3、 該使用者也被 ansible 使用,因為幾乎所有的生產環境都是禁止 root 遠端登入的(因此該 yun 使用者也進行了 sudo 提權)。

1 # 使用一個專門的使用者,避免直接使用root使用者
2 # 新增使用者、指定家目錄並指定使用者密碼
3 # sudo提權
4 # 讓其它普通使用者可以進入該目錄檢視資訊
5 useradd -u 1050 -d /app yun && echo '123456' | /usr/bin/passwd --stdin yun
6 echo "yun  ALL=(ALL)       NOPASSWD: ALL" >>  /etc/sudoers
7 chmod 755 /app/

基於密碼連線「瞭解」

在實際生產環境中,建議使用基於祕鑰連線而不是密碼連線。

原因如下:

1、將密碼直接寫入檔案中,有安全隱患;

2、生產環境的密碼可能會定期更換,如果基於密碼連線,那麼我們也會頻繁的維護,造成維護成本高;

3、基於祕鑰連線,我們只需要做一次祕鑰分發,後期連線無需任何修改。

清單配置

 1 [yun@ansi-manager ansible_info]$ pwd
 2 /app/ansible_info
 3 [yun@ansi-manager ansible_info]$ cat hosts_pwd 
 4 # 未分組機器,放在所有組前面
 5 # 預設埠22,可省略
 6 # 方式1:主機 + 埠 + 密碼
 7 172.16.1.180   ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456'
 8 
 9 # 方式2:主機 + 埠 + 密碼
10 [proxyservers]
11 172.16.1.18[1:2] ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456'
12 
13 # 方式3:主機 + 埠 + 密碼
14 [webservers]
15 172.16.1.18[3:5] ansible_ssh_port=22 ansible_ssh_user=yun
16 [webservers:vars]
17 ansible_ssh_pass='123456'

 

測驗連線

1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_pwd   # 普通使用者執行
2 172.16.1.180 | FAILED! => {
3     "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host."
4 }
5 [yun@ansi-manager ansible_info]$ sudo ansible 172.16.1.180 -m ping -i ./hosts_pwd  # 提權使用 root 使用者執行
6 172.16.1.180 | FAILED! => {
7     "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host."
8 }

大概提示資訊:因為啟用了主機金鑰檢查,而 sshpass 不支援這一點。請將此主機「172.16.1.180」的指紋新增到你本機的known_hosts檔案中以管理此主機。

跳過主機金鑰檢查,有兩種方式:

方式1:修改 Linux 系統配置

1 [root@ansi-manager ssh]# vim /etc/ssh/ssh_config 
2 #   AddressFamily any
3 #   ConnectTimeout 0
4 #   StrictHostKeyChecking ask   # 將該配置的註釋開啟,並改為  StrictHostKeyChecking no  這樣針對所有使用者都不會在進行 「主機金鑰檢查」了
5 #   IdentityFile ~/.ssh/identity

但是這個是 Linux 自帶的配置,我們不能隨意去更改。因此不建議如此操作。

方式2:修改 ansible 配置

1 [root@ansi-manager ansible]# pwd
2 /etc/ansible
3 [root@ansi-manager ansible]# vim ansible.cfg
4 # uncomment this to disable SSH key host checking
5 host_key_checking = False    # 將該配置的註釋去掉

改配置僅對 root 使用者生效,其他普通使用者是不生效的。這裡使用該方法。

再次連線測試

 1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_pwd  # 普通使用者還是不行
 2 172.16.1.180 | FAILED! => {
 3     "msg": "Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host."
 4 }
 5 [yun@ansi-manager ansible_info]$ sudo ansible 172.16.1.180 -m ping -i ./hosts_pwd  # 提權使用 root 使用者執行
 6 172.16.1.180 | SUCCESS => {
 7     "ansible_facts": {
 8         "discovered_interpreter_python": "/usr/bin/python"
 9     }, 
10     "changed": false, 
11     "ping": "pong"
12 }
13 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_pwd  # 正常
14 [yun@ansi-manager ansible_info]$ sudo ansible webservers -m ping -i ./hosts_pwd    # 正常

基於祕鑰連線「推薦」

在實際生產環境中,建議使用基於祕鑰連線而不是密碼連線。

原因如下:

1、將密碼直接寫入檔案中,有安全隱患;

2、生產環境的密碼可能會定期更換,如果基於密碼連線,那麼我們也會頻繁的維護,造成維護成本高;

3、基於祕鑰連線,我們只需要做一次祕鑰分發,後期連線無需任何修改。

實現yun使用者免祕鑰登入

要求:根據規劃實現 172.16.1.180 到 172.16.1.180、172.16.1.181、172.16.1.182、172.16.1.183、172.16.1.184、172.16.1.185 免祕鑰登入

因此需要在 172.16.1.180 機器建立祕鑰,然後分發到受控機器。

建立祕鑰

1 [yun@ansi-manager ~]$ ssh-keygen -t rsa  # 一路回車即可 注意使用的是 yun 使用者
2 # 生成之後會在使用者的根目錄生成一個 “.ssh”的資料夾
3 [yun@ansi-manager ~]$ ll -d .ssh/
4 drwx------ 2 yun yun 38 Jul 25 10:51 .ssh/
5 [yun@ansi-manager ~]$ ll .ssh/
6 total 8
7 -rw------- 1 yun yun 1675 Jul 25 10:51 id_rsa
8 -rw-r--r-- 1 yun yun  398 Jul 25 10:51 id_rsa.pub

分發金鑰

1 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.180
2 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.181
3 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.182
4 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.183
5 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.184
6 [yun@ansi-manager ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.185

測驗免密登入是否成功

1 [yun@ansi-manager ~]$ ssh 172.16.1.180  # 等價於 ssh [email protected]
2 [yun@ansi-manager ~]$ ssh 172.16.1.181
3 [yun@ansi-manager ~]$ ssh 172.16.1.182
4 [yun@ansi-manager ~]$ ssh 172.16.1.183
5 [yun@ansi-manager ~]$ ssh 172.16.1.184
6 [yun@ansi-manager ~]$ ssh 172.16.1.185

注意:必須保證每臺機器都免密登入成功,因此需要每臺機器都驗證。

.ssh目錄中的檔案說明

 1 [yun@ansi-manager .ssh]$ pwd
 2 /app/.ssh
 3 [yun@ansi-manager .ssh]$ ll
 4 total 16
 5 -rw------- 1 yun yun  398 Jul 25 11:01 authorized_keys
 6 -rw------- 1 yun yun 1675 Jul 25 10:51 id_rsa
 7 -rw-r--r-- 1 yun yun  398 Jul 25 10:51 id_rsa.pub
 8 -rw-r--r-- 1 yun yun 1120 Jul 25 11:04 known_hosts 
 9 ########################################################################################
10 authorized_keys :存放要遠端免密登入機器的公鑰,主要通過這個檔案記錄多臺要遠端登入機器的公鑰
11 id_rsa : 生成的私鑰檔案
12 id_rsa.pub :生成的公鑰檔案
13 know_hosts : 已知的主機公鑰清單

清單配置

 1 [yun@ansi-manager ansible_info]$ pwd
 2 /app/ansible_info
 3 [yun@ansi-manager ansible_info]$ cat hosts_key 
 4 # 未分組機器,放在所有組前面
 5 # 預設埠22,可省略
 6 # 方式1、主機 + 埠 + 金鑰
 7 172.16.1.180:22
 8 
 9 # 方式2:主機 + 埠 + 金鑰
10 [proxyservers]
11 172.16.1.18[1:2]:22
12 
13 # 方式3:別名 + 主機 + 埠 + 密碼
14 [webservers]
15 web01 ansible_ssh_host=172.16.1.183 ansible_ssh_port=22
16 web02 ansible_ssh_host=172.16.1.184 ansible_ssh_port=22
17 web03 ansible_ssh_host=172.16.1.185 ansible_ssh_port=22

測驗連線

測驗一

1 [yun@ansi-manager ansible_info]$ ansible 172.16.1.180 -m ping -i ./hosts_key 
2 172.16.1.180 | SUCCESS => {
3     "ansible_facts": {
4         "discovered_interpreter_python": "/usr/bin/python"
5     }, 
6     "changed": false, 
7     "ping": "pong"
8 }

測驗二

 1 [yun@ansi-manager ansible_info]$ ansible proxyservers -m ping -i ./hosts_key 
 2 172.16.1.181 | SUCCESS => {
 3     "ansible_facts": {
 4         "discovered_interpreter_python": "/usr/bin/python"
 5     }, 
 6     "changed": false, 
 7     "ping": "pong"
 8 }
 9 172.16.1.182 | SUCCESS => {
10     "ansible_facts": {
11         "discovered_interpreter_python": "/usr/bin/python"
12     }, 
13     "changed": false, 
14     "ping": "pong"
15 }

測驗三

 1 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_key 
 2 web03 | SUCCESS => {
 3     "ansible_facts": {
 4         "discovered_interpreter_python": "/usr/bin/python"
 5     }, 
 6     "changed": false, 
 7     "ping": "pong"
 8 }
 9 web01 | SUCCESS => {
10     "ansible_facts": {
11         "discovered_interpreter_python": "/usr/bin/python"
12     }, 
13     "changed": false, 
14     "ping": "pong"
15 }
16 web02 | SUCCESS => {
17     "ansible_facts": {
18         "discovered_interpreter_python": "/usr/bin/python"
19     }, 
20     "changed": false, 
21     "ping": "pong"
22 }

混合方式和主機組方式

清單配置

 1 [yun@ansi-manager ansible_info]$ pwd
 2 /app/ansible_info
 3 [yun@ansi-manager ansible_info]$ cat hosts_group 
 4 # 未分組機器,放在所有組前面
 5 # 預設埠22,可省略
 6 # 方式1、主機 + 埠 + 金鑰
 7 172.16.1.180
 8 
 9 # 方式一、主機組變數 + 主機 + 密碼
10 [proxyservers]
11 172.16.1.18[1:2] ansible_ssh_port=22 ansible_ssh_user=yun ansible_ssh_pass='123456'
12 
13 # 方式二、主機組變數 + 主機 + 金鑰
14 [webservers]
15 172.16.1.18[3:5]:22
16 
17 # 定義多組,多組彙總整合
18 # website 組包括兩個子組[proxyservers, webservers]
19 [website:children]
20 proxyservers
21 webservers

說明:定義多組使用沒有問題。但是不能像上面一樣既有密碼配置,又有祕鑰配置,這樣會增加維護成本。這裡為了演示因此用了密碼和祕鑰配置。

測驗連線

測驗一

 1 # 如果 ~/.ssh/known_hosts 檔案中沒有新增受控機指紋,那麼必須提權操作
 2 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_group --list-hosts
 3   hosts (2):
 4     172.16.1.181
 5     172.16.1.182
 6 [yun@ansi-manager ansible_info]$ sudo ansible proxyservers -m ping -i ./hosts_group   
 7 172.16.1.182 | SUCCESS => {
 8     "ansible_facts": {
 9         "discovered_interpreter_python": "/usr/bin/python"
10     }, 
11     "changed": false, 
12     "ping": "pong"
13 }
14 172.16.1.181 | SUCCESS => {
15     "ansible_facts": {
16         "discovered_interpreter_python": "/usr/bin/python"
17     }, 
18     "changed": false, 
19     "ping": "pong"
20 }

測驗二

1 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_group --list-hosts
2   hosts (3):
3     172.16.1.183
4     172.16.1.184
5     172.16.1.185
6 [yun@ansi-manager ansible_info]$ ansible webservers -m ping -i ./hosts_group 
7 ………………

測驗三

1 [yun@ansi-manager ansible_info]$ ansible website -m ping -i ./hosts_group --list-hosts
2   hosts (5):
3     172.16.1.181
4     172.16.1.182
5     172.16.1.183
6     172.16.1.184
7     172.16.1.185
8 [yun@ansi-manager ansible_info]$ ansible website -m ping -i ./hosts_group

測驗四

特殊組:all

1 [yun@ansi-manager ansible_info]$ ansible all -m ping -i ./hosts_group --list-hosts
2   hosts (6):
3     172.16.1.180
4     172.16.1.181
5     172.16.1.182
6     172.16.1.183
7     172.16.1.184
8     172.16.1.185
9 [yun@ansi-manager ansible_info]$ ansible all -m ping -i ./hosts_group

 

  

———END———
如果覺得不錯就關注下唄 (-^O^-) !

&n

相關推薦

Ansible-登入主機清單Inventory

  Ansible的指定使用者與密碼登入、免密登入、指定ssh埠以及主機清單Inventory配置 在實際使用中並不需要對ansible配置進行修改,或者說只有需要的時候才修改ansible配置。 新增使用者賬號 說明: 1、 運維人員使用的登入賬號; 2、 所有的業務都放在 /app/ 下「

ssh遠端登入alias相結合

操作Linux是現在任何一家IT公司都要求的技能,而且Linux博大精深,都是以各種命令l來操作,要學會靈活使用,提高工作效率 ssh免密登入和alias命令結合使用 在測試工作中,對於檢視一些問題,一些程序的時候,我們需要登入到服務端的後臺機器,去檢視

ssh-keygen和ssh-copy-id實現登入遠端主機

       ssh免密登入在實際工作中有重要的作用,甚至有的應用部署也必須要免密登入遠端主機,例如hadoop環境搭建。       免密登入,需要先在本機生成公鑰,然後將公鑰拷貝到遠端主機,拷貝的過程,既可以手動(在遠端主機根目錄下建立.ssh目錄,然後將公鑰存入該目錄下

Cloudera-Manager 原生叢集 登入問題

  原生叢集啟動方式: 在Hadoop啟動以後,namenode是通過SSH來啟動和停止各個節點上的各種守護程序的,這就需要在節點之間執行指令的時候是不需要輸入密碼的方式,故我們需要配置SSH使用無密碼公鑰認證的方式。   Cloudera-M

Linux設定登入的幾種方法(ssh-copy-id / ansible

一. ssh-keygen -t rsa 生成公鑰、私鑰 authorized_keys:存放遠端免密登入的公鑰,主要通過這個檔案記錄多臺機器的公鑰 id_rsa : 生成的私鑰檔案 id_rsa.pub : 生成的公鑰檔案 know_hosts : 已知的主

linux主機之間的登入

兩臺機器 mini1 和mini2 現在要實現mini1登入mini2免密 檢查~/.ssh目錄下有沒有公鑰私鑰檔案(id_rsa.pub和id_rsa) 如果沒有使用命令ssh-keygen生成(提示時候 直接回車即可) 然後將mini1自己的公鑰拷貝並追加到min

[Linux][入門系列]CentOS 的基礎使用-SSH安裝設定使用大全(下)-SSH的公祕鑰登入登入設定

上一篇blog介紹了我們正常使用SSH進行連線的設定等操作。 SSH同時還支援使用公鑰和祕鑰的方式進行登入,本篇講著重介紹ssh的這項功能 什麼是公祕鑰? 先來一段百科的定義~ 公鑰(Public Key)與私鑰(Private Key)是通過一種演算法得到的一個金

Linux 登入以及通過目標主機的私鑰登入

一、通過公鑰對免密登入 生成公私鑰對,輸入命令:ssh-keygen -t rsa  ,然後一路按回車鍵 檢視生成的私鑰 生成的公鑰 將公鑰copy到目標主機 免密登入目標主機

centos7使用非root使用者進行ssh登入,提示key沒有在主機註冊

最近自己使用的雲伺服器一直受到告警。雖然裡面沒什麼,但是還是不想被別人玩。尤其是想到自己還是採用的ssh密碼驗證登入,就更慌了。基於此,所以打算採用非root使用者ssh免密登入。 於是,開啟了網

SSH登入——linuxlinux之間

有較多的博主寫了關於ssh免密登入的方法,大同小異,這裡也簡單描述下 假設現在又兩臺主機:host1和host2,需要在host2中遠端免密登入host2 1. 首先進入host2主目錄中,輸入命令: #ssh-keygen -t rsa 之後一路回車即可,這時會在主目錄中生成"

ansible 相互間登入

ansible是一個配置管理系統,可以用來自動化處理叢集間批量重複性任務,常用來安裝部署hadoop、spark、es等大資料工具,但是在運用它之前需要保證各個機器之間相互可以免密登入,也就是可以使用ssh不用密碼可以登入到任何一臺機器上。 免密安裝機器 172.18.18.1

linux當中設定不同主機之間登入

首先在一臺機器上執行下面的指令: ssh-keygen 然後敲回車,看到下面的資訊: ssh-copy-id 192.168.5.129 然後輸入密碼,即可記錄密碼,如圖: 以後直接s

expect一鍵實現集群ssh登入

scriptexpect具有非交互式功能yum -y install expectmkpasswd -l 20 #<==生成隨機字符串,-l參數指定生成字符串的長度非交互密鑰分發添加用戶(所有機器)useradd jiege1echo 123456|passwd --stdin jiege1id j

主機A得到id_rsa.pub文件,在主機B創建用戶danny加入該文件,實現主機A登錄主機B

ann roo 1.2 test dir public 創建用戶 需要 phrase 操作步驟: 1.主機A 生成公鑰id_rsa.pub文件並導出該文件 root@mytest:~# ssh-keygen Generating public/private rsa k

linux如何登入

既然是免密登入,至少涉及兩臺主機。 客戶端、伺服器 1.先生成金鑰 客戶端生成金鑰ssh-keygen -t rsa,然後一路回車。 會在你的主目錄下生成一個.ssh的資料夾,裡邊有id_rsa和id_rsa.pub兩個檔案 2. 檢查伺服器端 先看下伺服器

linux伺服器間登入

假設要登入的機器為192.168.175.5,當前登入的機器為192.168.175.4。 1  首先在4的機器上生成金鑰(如果已經生成可以跳過):      $ ssh-keygen -t rsa  (注意:ssh和-keygen沒有空

linux設定ssh登入和ssh-copy-id命令

linux系統配置免密碼的方式: 1:ssh-keygen -t rsa ssh-keygen -t dsa 生成金鑰 2:ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected] # 接下來一路回車到底

配置Linux ssh 登入

linux 常用的ssh登入方式主要有兩種:密碼登入和證書登入 有兩臺機器,機器A和機器B: 如從A登入機器B: 密碼登入方式:在機器A上操作 ssh [email protected]機器B的ip 提示輸入密碼,登入成功! 免密登入方式:在機器A上操作 ssh [em

linux關閉vsftp匿名登入,開啟vsftp log日誌

首先要在目標伺服器開啟vsftpd服務才能測試是否能夠匿名免密登入。 service vsftpd status service vsftpd start 連線linux系統去修改vsftpd.conf 配置檔案,cd /etc/vsftpd/ 切換到vsftpd,修改配置檔案

ssh配置登入需要輸入密碼的問題

關於配置ssh免密登入時不能免密的問題 第一種情況:新增公鑰後報錯sign_and_send_pubkey: signing failed: agent refused operation **解決方案:**只需要輸入下面兩個語句就ok啦。 eval "$(ssh-agent -s)