我正在使用 Ansible 设置一些机器,需要在它们之间启用无密码连接。我有一个数据库主服务器和几个从服务器。对于初始复制,从服务器需要通过 ssh 进入主服务器并获取数据库的副本。我不确定将所有从服务器公钥动态添加到主服务器authorized_keys文件的最佳方法是什么。
我已经考虑过将从属公钥作为变量提供,然后通过模块添加它们authorized_key。但随后我必须维护密钥列表。我正在寻找一种方法,只需将另一台主机添加到从属组,其余的将自动运行。
有任何想法吗?
更新:
到目前为止我得到了以下伪代码:
# collect public keys from slave machines
- name: collect slave keys
{% for host in groups['databases_slave'] %}
shell: /bin/cat /var/lib/postgresql/.ssh/id_rsa.pub
register: slave_keys #how to add to an array here?
{% endfor %}
# Tasks for PostgreSQL master
- name: add slave public key
sudo: yes
authorized_key: user=postgres state=present key={{ item }}
with_items: slave_keys
循环{% %}仅在模板文件中有效,而不能直接在剧本中起作用。有什么方法可以在我的剧本中做到这一点?
答案1
我想出了一个对我有用的解决方案。我确实在运行 Ansible 的机器上创建了公钥/私钥,并在第一次连接时将密钥放到位。
然后我使用以下命令将所有从服务器的密钥添加到主服务器:
# Tasks for PostgreSQL master
- name: add slave public key
sudo: yes
authorized_key: user=postgres state=present key="{{ lookup('file', '../../../keys/' + item + '/id_rsa.pub') }}"
with_items: groups.databases_slave
答案2
我相信以下解决方案应该适用于您的情况。我已经将它用于类似的场景,即中央备份服务器和多个备份客户端。
我有一个角色(比如说“db_replication_master“)与接收连接的服务器关联:
- role: db_replication_master
db_slaves: ['someserver', 'someotherserver']
db_slave_user: 'someuser' # in case you have different users
db_master_user: 'someotheruser'
extra_pubkeys: ['files/id_rsa.pub'] # other keys that need access to master
然后我们在db_replication_master角色:
- name: create remote accounts ssh keys
user:
name: "{{ db_slave_user }}"
generate_ssh_key: yes
delegate_to: "{{ item }}"
with_items: db_slaves
- name: fetch pubkeys from remote users
fetch:
dest: "tmp/db_replication_role/{{ item }}.pub"
src: "~{{db_slave_user}}/.ssh/id_rsa.pub"
flat: yes
delegate_to: "{{ item }}"
with_items: db_slaves
register: remote_pubkeys
changed_when: false # we remove them in "remove temp local pubkey copies" below
- name: add pubkeys to master server
authorized_key:
user: "{{ db_master_user }}"
key: "{{ lookup('file', item) }}"
with_flattened:
- extra_pubkeys
- "{{ remote_pubkeys.results | default({}) | map(attribute='dest') | list }}"
- name: remove temp local pubkey copies
local_action: file dest="tmp/db_replication_role" state=absent
changed_when: false
因此我们基本上是:
- 在那些还没有 ssh 密钥的从服务器上动态创建 ssh 密钥
- 然后我们使用委托给运行拿来模块在从属服务器上,并获取它们的 ssh 公钥到运行 ansible 的主机,同时将此操作的结果保存在变量中,以便我们可以访问实际获取的文件列表
- 之后我们继续正常推送获取的 ssh 公钥(以及提供的任何额外公钥)到主节点授权密钥模块(我们使用几个 jinja2 过滤器从上述任务中的变量中挖掘出文件路径)
- 最后,我们删除运行 ansible 的主机本地缓存的公钥文件
在所有主机上拥有相同用户的限制可能可以解决,但从我从您的问题中得到的信息来看,这对您来说可能不是问题(它与我的备份场景更相关)。当然,您也可以使密钥类型(rsa、dsa、ecdsa 等)可配置。
更新:哎呀,我原本是用特定于我的问题,不是你的!现在应该更有意义了。
答案3
我遇到了同样的问题,并且通过以下方式解决了:
---
# Gather the SSH of all hosts and add them to every host in the inventory
# to allow passwordless SSH between them
- hosts: all
tasks:
- name: Generate SSH keys
shell: ssh-keygen -q -t rsa -f /root/.ssh/id_rsa -N ''
args:
creates: /root/.ssh/id_rsa
- name: Allow passwordless SSH between all hosts
shell: /bin/cat /root/.ssh/id_rsa.pub
register: ssh_keys
- name: Allow passwordless SSH between all hosts
lineinfile:
dest: /root/.ssh/authorized_keys
state: present
line: " {{ hostvars[item]['ssh_keys']['stdout'] }}"
with_items: "{{ groups['all']}}"