安全地将Ansible剧本限制在一台机器上？

Question

我正在使用Ansible进行一些简单的用户管理任务和一小组计算机.目前,我将我的手册设置为hosts: all,我的主机文件只是一个列出了所有机器的组:

# file: hosts
[office]
imac-1.local
imac-2.local
imac-3.local

我发现自己经常不得不针对一台机器.该ansible-playbook命令可以限制这样的播放:

ansible-playbook --limit imac-2.local user.yml

但这似乎有点脆弱,特别是对于潜在的破坏性剧本.离开limit旗帜意味着剧本将在任何地方运行.由于这些工具偶尔会被使用,所以似乎值得采取措施来简化播放,因此我们不会在几个月后意外地进行核实操作.

是否有将playbook运行限制为单台机器的最佳实践？理想情况下,如果省略一些重要细节,剧本应该是无害的.

Answer 1

事实证明,可以直接在剧本中输入主持人名称,因此运行playbook hosts: imac-2.local可以正常工作.但它有点笨重.

更好的解决方案可能是使用变量定义playbook的主机,然后通过以下方式传递特定的主机地址--extra-vars:

# file: user.yml  (playbook)
---
- hosts: '{{ target }}'
  user: ...

运行剧本:

ansible-playbook user.yml --extra-vars "target=imac-2.local"

如果{{ target }}没有定义,则剧本不做任何事情.如果需要,也可以传递来自hosts文件的组.总的来说,这似乎是构建潜在破坏性剧本的更安全的方式.

针对单个主机的Playbook:

$ ansible-playbook user.yml --extra-vars "target=imac-2.local" --list-hosts

playbook: user.yml

  play #1 (imac-2.local): host count=1
    imac-2.local

与一组主持人的Playbook:

$ ansible-playbook user.yml --extra-vars "target=office" --list-hosts

playbook: user.yml

  play #1 (office): host count=3
    imac-1.local
    imac-2.local
    imac-3.local

忘记定义主机是安全的!

$ ansible-playbook user.yml --list-hosts

playbook: user.yml

  play #1 ({{target}}): host count=0

Answer 2

还有一个可爱的小技巧,可以让你在命令行上指定一个主机(或者我想是多个主机),没有中间库存:

ansible-playbook -i "imac1-local," user.yml

注意末尾的逗号(,); 这表明它是一个列表,而不是一个文件.

现在,如果您不小心传递了真实的库存文件,这将无法保护您,因此它可能不是解决此特定问题的好方法.但这是一个方便的技巧!

Answer 3

如果通过检查play_hosts变量提供了多个主机,则此方法将退出.该故障模块用于退出,如果单个主机条件不满足.以下示例使用带有两个主机alice和bob的hosts文件.

user.yml(playbook)

---
- hosts: all
  tasks:
    - name: Check for single host
      fail: msg="Single host check failed."
      when: "{{ play_hosts|length }} != 1"
    - debug: msg='I got executed!'

运行没有主机过滤器的playbook

$ ansible-playbook user.yml
PLAY [all] ****************************************************************
TASK: [Check for single host] *********************************************
failed: [alice] => {"failed": true}
msg: Single host check failed.
failed: [bob] => {"failed": true}
msg: Single host check failed.
FATAL: all hosts have already failed -- aborting

在单个主机上运行playbook

$ ansible-playbook user.yml --limit=alice

PLAY [all] ****************************************************************

TASK: [Check for single host] *********************************************
skipping: [alice]

TASK: [debug msg='I got executed!'] ***************************************
ok: [alice] => {
    "msg": "I got executed!"
}

Answer 4

有恕我直言,更方便的方式.您确实可以交互式地提示用户他想要应用剧本的机器,这要归功于vars_prompt:

---

- hosts: "{{ setupHosts }}"
  vars_prompt:
    - name: "setupHosts"
      prompt: "Which hosts would you like to setup?"
      private: no
  tasks:
    […]

Answer 5

要扩展joemailer的答案,如果你想让模式匹配能力匹配远程机器的任何子集(就像ansible命令一样),但仍然想让所有机器上意外运行playbook变得非常困难,这是我想出了什么:

与其他答案相同的剧本:

# file: user.yml  (playbook)
---
- hosts: '{{ target }}'
  user: ...

我们有以下主机:

imac-10.local
imac-11.local
imac-22.local

现在,要在所有设备上运行该命令,您必须明确将目标变量设置为"all"

ansible-playbook user.yml --extra-vars "target=all"

并且要将其限制为特定模式,您可以设置 target=pattern_here

或者,您可以离开target=all并附加--limit参数,例如:

--limit imac-1*

即. ansible-playbook user.yml --extra-vars "target=all" --limit imac-1* --list-hosts

这导致:

playbook: user.yml

  play #1 (office): host count=2
    imac-10.local
    imac-11.local

Answer 6

一个稍微不同的解决方案是使用特殊变量ansible_limit，它是--limitAnsible 当前执行的CLI 选项的内容。

- hosts: "{{ ansible_limit | default(omit) }}"

无需在这里定义额外的变量，只需运行带有--limit标志的剧本即可。

ansible-playbook --limit imac-2.local user.yml

Answer 7

我真的不明白所有答案都那么复杂，方法很简单：

ansible-playbook user.yml -i hosts/hosts --limit imac-2.local --check

该check模式允许您以空运行模式运行，而无需进行任何更改。

Answer 8

使用EC2外部清单脚本的AWS用户只需按实例ID进行过滤:

ansible-playbook sample-playbook.yml --limit i-c98d5a71 --list-hosts

这是有效的,因为库存脚本会创建默认组.

Answer 9

由于1.7版ansible具有run_once选项.该部分还包含对各种其他技术的一些讨论.

Answer 10

我们有一些通用的剧本可供大量团队使用。我们还有特定于环境的清单文件，其中包含多个组声明。

为了强制某人调用某个剧本来指定要与之对抗的小组，我们在剧本的顶部添加一个虚拟条目：

[ansible-dummy-group]
dummy-server

然后，我们将以下检查作为共享剧本的第一步：

- hosts: all
  gather_facts: False
  run_once: true
  tasks:
  - fail:
      msg: "Please specify a group to run this playbook against"
    when: '"dummy-server" in ansible_play_batch'

如果虚拟服务器显示在计划将其运行的主机列表中（ansible_play_batch），则调用者未指定组，则该运行将失败。

Answer 11

这显示了如何在目标服务器本身上运行剧本。

如果您想使用本地连接，这有点棘手。但是，如果您为主机设置使用变量并在主机文件中为 localhost 创建一个特殊条目，这应该没问题。

在（所有）剧本中，hosts: 行设置为：

- hosts: "{{ target | default('no_hosts')}}"

在清单主机文件中，为 localhost 添加一个条目，将连接设置为本地：

[localhost]
127.0.0.1  ansible_connection=local

然后在命令行上运行命令明确设置目标 - 例如：

$ ansible-playbook --extra-vars "target=localhost" test.yml

这在使用 ansible-pull 时也有效：

$ ansible-pull -U <git-repo-here> -d ~/ansible --extra-vars "target=localhost" test.yml

如果您忘记在命令行上设置变量，该命令将安全出错（只要您尚未创建名为“no_hosts”的主机组！）并显示以下警告：

skipping: no hosts matched

如上所述，您可以使用以下命令定位一台机器（只要它在您的主机文件中）：

$ ansible-playbook --extra-vars "target=server.domain" test.yml

或一组类似的东西：

$ ansible-playbook --extra-vars "target=web-servers" test.yml