没有找到任何关于多个管理员使用 Ansible 的最佳实践。我们想使用 SSH 密钥登录以控制机器和远程设备。
最好的方法是:
在控制机器上为每个管理员创建自己的帐户,然后只需使用 BECOME 即可使用一个具有远程 sudo 权限的通用帐户通过 SSH 连接到远程主机?使用此解决方案,只有控制机器上存储的私钥才是一般用户的私钥。
为控制和远程机器上的每个管理员创建自己的帐户,并让他们使用自己的帐户通过 SSH 远程控制?此解决方案基本上意味着,我们必须在控制机器上存储每个管理员的私钥。
感谢您的帮助。
答案1
我说选项1. 对于审计,你可以将目光投向塔控制服务器查看哪些作业已运行、它们执行了什么以及谁触发了它们。
选项 2很臭,因为它:
- 扩展性不佳,从 ansible 管理团队中添加和删除管理员需要您再次更新每个节点。
- 由于您已经从控制服务器知道谁运行了什么,因此不会提高可见性
- 不会提高安全性,因为每个用户
become
在采取行动之前都要经过该模块。