Ansible 最佳实践 - 多个管理员

Ansible 最佳实践 - 多个管理员

没有找到任何关于多个管理员使用 Ansible 的最佳实践。我们想使用 SSH 密钥登录以控制机器和远程设备。

最好的方法是:

  1. 在控制机器上为每个管理员创建自己的帐户,然后只需使用 BECOME 即可使用一个具有远程 sudo 权限的通用帐户通过 SSH 连接到远程主机?使用此解决方案,只有控制机器上存储的私钥才是一般用户的私钥。

  2. 为控制和远程机器上的每个管理员创建自己的帐户,并让他们使用自己的帐户通过 SSH 远程控制?此解决方案基本上意味着,我们必须在控制机器上存储每个管理员的私钥。

感谢您的帮助。

答案1

我说选项1. 对于审计,你可以将目光投向控制服务器查看哪些作业已运行、它们执行了什么以及谁触发了它们。

选项 2很臭,因为它:

  • 扩展性不佳,从 ansible 管理团队中添加和删除管理员需要您再次更新每个节点。
  • 由于您已经从控制服务器知道谁运行了什么,因此不会提高可见性
  • 不会提高安全性,因为每个用户become在采取行动之前都要经过该模块。

相关内容