Ansible 은 수동 개입 없이 서버를 관리하고 구성하는 데 도움이 되는 강력한 자동화 도구입니다. 하지만 많은 Ansible 작업은 제대로 실행하기 위해 권한 상승이 필요합니다. 관리자 권한이 필요한 명령을 실행할 때 Ansible 은 sudo 메커니즘을 사용하며, 이로 인해 암호를 묻는 메시지가 표시될 수 있습니다.
이 Lab 에서는 Ansible 플레이북에서 sudo 암호 설정을 올바르게 구성하는 방법, 일반적인 sudo 관련 문제를 이해하고, 필요한 권한으로 자동화가 원활하게 실행되도록 보장하기 위한 모범 사례를 구현하는 방법을 배우게 됩니다.
이 첫 번째 단계에서는 Ansible 을 설치하고 sudo 권한이 필요한 간단한 플레이북을 생성합니다. 이를 통해 권한 상승을 통해 Ansible 작업을 실행하기 위한 기본 요구 사항을 이해하는 데 도움이 됩니다.
시스템에 Ansible 을 설치하는 것으로 시작해 보겠습니다. 터미널을 열고 다음 명령을 실행합니다.
sudo apt update
sudo apt install -y ansible설치가 완료된 후 Ansible 이 올바르게 설치되었는지 확인합니다.
ansible --versionAnsible 버전 및 구성 정보를 보여주는 다음과 유사한 출력을 볼 수 있습니다.
ansible [core 2.12.x]
config file = /etc/ansible/ansible.cfg
configured module search path = ['/home/labex/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /usr/lib/python3/dist-packages/ansible
ansible collection location = /home/labex/.ansible/collections:/usr/share/ansible/collections
executable location = /usr/bin/ansible
python version = 3.10.x (main, Ubuntu, linux/x86_64)
jinja version = 3.0.3
libyaml = True이제 sudo 권한이 필요한 간단한 Ansible 플레이북을 생성해 보겠습니다. 이 플레이북은 로컬 시스템에 htop 패키지를 설치합니다.
Ansible 프로젝트를 위한 새 디렉토리를 만듭니다.
mkdir -p ~/project/ansible-sudo-lab
cd ~/project/ansible-sudo-lab다음으로, Ansible 이 관리할 호스트를 정의하는 인벤토리 파일을 만듭니다. 이 Lab 에서는 localhost 를 사용합니다.
echo "localhost ansible_connection=local" > inventory이제 sudo 권한이 필요한 기본 플레이북을 만듭니다. VSCode 편집기를 열고 basic_playbook.yml이라는 새 파일을 만듭니다.
---
- name: Basic sudo operation
hosts: localhost
become: true ## This enables sudo
tasks:
- name: Install htop
apt:
name: htop
state: present
update_cache: yes~/project/ansible-sudo-lab/basic_playbook.yml로 저장합니다.이 플레이북에는 become: true 지시문이 있으며, 이는 Ansible 에게 작업을 실행하기 위해 sudo 를 사용하도록 지시합니다. 작업 자체는 apt 모듈을 사용하여 htop 패키지를 설치하려고 시도합니다.
이제 플레이북을 실행하고 어떤 일이 발생하는지 살펴보겠습니다.
cd ~/project/ansible-sudo-lab
ansible-playbook -i inventory basic_playbook.ymllabex 사용자는 암호 없는 sudo 액세스 권한을 가지고 있으므로 플레이북은 암호를 묻지 않고 성공적으로 실행되어야 합니다. 다음과 유사한 출력을 볼 수 있습니다.
PLAY [Basic sudo operation] ******************************************
TASK [Gathering Facts] **********************************************
ok: [localhost]
TASK [Install htop] ************************************************
ok: [localhost]
PLAY RECAP *********************************************************
localhost : ok=2 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0현재 사용자 (labex) 가 이미 암호 없는 sudo 액세스로 구성되어 있으므로 플레이북이 성공적으로 실행되었습니다. 다음 단계에서는 sudo 암호가 필요한 시나리오를 처리하는 방법을 살펴보겠습니다.
이전 단계에서는 암호 없이 sudo 권한을 사용하는 기본 플레이북을 만들었습니다. 그러나 많은 실제 시나리오에서는 권한 있는 명령을 실행하기 위해 sudo 암호를 제공해야 합니다. Ansible 에서 sudo 암호를 처리하는 방법을 살펴보겠습니다.
Ansible 이 원격 시스템에서 권한 상승으로 명령을 실행해야 할 때 become 기능을 사용합니다. 기본적으로 Ansible 은 권한 상승을 위해 sudo 명령을 사용하지만, su, pbrun 또는 pfexec와 같은 다른 방법을 사용하도록 구성할 수 있습니다.
Ansible 을 실행하는 사용자가 sudo 를 사용하기 위해 암호가 필요한 경우 Ansible 은 이 암호를 알아야 합니다. Ansible 에 sudo 암호를 제공하는 방법에는 여러 가지가 있습니다.
-K 또는 --ask-become-passbecome_passwordansible.cfgsudo 암호를 처리하는 방법을 시연하기 위해 sudo 작업에 암호가 필요한 테스트 사용자를 만들어 보겠습니다.
sudo adduser ansible_test메시지가 표시되면 암호 ansible123을 입력하고 사용자 생성 프로세스를 완료합니다.
다음으로, 이 사용자에게 sudo 권한을 부여하지만 암호를 요구합니다.
echo "ansible_test ALL=(ALL) ALL" | sudo tee /etc/sudoers.d/ansible_test이 구성은 ansible_test 사용자가 sudo 를 사용할 수 있도록 허용하지만, 매번 사용자의 암호를 요구합니다.
이제 sudo 암호를 처리하는 방법을 보여주는 플레이북을 만들어 보겠습니다. WebIDE 에서 sudo_password_playbook.yml이라는 새 파일을 만듭니다.
---
- name: Playbook with sudo password handling
hosts: localhost
become: true
## We'll provide the become_password when running the playbook
tasks:
- name: Get current user
command: whoami
register: current_user
become: false ## This task doesn't need sudo
- name: Print current user
debug:
msg: "Current user is {{ current_user.stdout }}"
become: false ## This task doesn't need sudo
- name: Run a command with sudo
command: apt update
register: sudo_output
- name: Print sudo command result
debug:
msg: "Command ran with sudo: {{ sudo_output.rc == 0 }}"이 파일을 ~/project/ansible-sudo-lab/sudo_password_playbook.yml로 저장합니다.
sudo 암호가 필요한 사용자로 플레이북을 실행하려면 -K (또는 --ask-become-pass) 옵션을 사용하여 암호를 묻는 메시지를 표시할 수 있습니다.
ansible-playbook -i inventory sudo_password_playbook.yml -K우리는 암호 없는 sudo 를 가진 labex 사용자로 실행하고 있으므로 실제로 암호를 묻는 메시지가 표시되지 않습니다. 그러나 암호 없는 sudo 가 구성되지 않은 프로덕션 환경에서는 Ansible 이 sudo 암호를 입력하라는 메시지를 표시합니다.
테스트 사용자로 이 시나리오를 시뮬레이션하려면 다음 명령을 실행할 수 있습니다 (SSH 설정이 누락되어 이 Lab 환경에서는 완전히 작동하지 않습니다).
ansible-playbook -i inventory sudo_password_playbook.yml -u ansible_test -KBECOME 암호를 묻는 메시지가 표시되면 ansible123을 입력합니다.
암호를 대화식으로 입력하는 대신 플레이북을 실행할 때 변수로 sudo 암호를 제공할 수 있습니다.
ansible-playbook -i inventory sudo_password_playbook.yml -e "ansible_become_password=ansible123"이 접근 방식은 대화식 입력이 불가능한 자동화된 스크립트에 유용합니다. 그러나 명령줄 기록에 암호가 노출되어 보안 위험이 있습니다. 프로덕션 환경에서는 Ansible Vault 를 사용하여 민감한 정보를 안전하게 저장해야 합니다.
이전 단계에서는 Ansible 플레이북에 sudo 암호를 제공하는 다양한 방법을 살펴보았습니다. 그러나 일반 텍스트 파일에 암호를 저장하거나 명령줄에서 전달하는 것은 안전하지 않습니다. 이 단계에서는 sudo 암호와 같은 민감한 정보를 안전하게 관리하기 위해 Ansible Vault 를 사용하는 방법을 배우겠습니다.
Ansible Vault 는 암호, API 키 또는 인증서와 같은 민감한 데이터를 암호화할 수 있는 기능입니다. 암호화된 파일은 민감한 정보를 노출하지 않고 버전 관리 시스템에 안전하게 저장할 수 있습니다. Ansible 은 플레이북 실행 중에 이러한 파일을 자동으로 해독할 수 있습니다.
sudo 암호를 저장하기 위해 암호화된 파일을 만들어 보겠습니다.
cd ~/project/ansible-sudo-lab
ansible-vault create vault.yml새 Vault 암호를 만들라는 메시지가 표시됩니다. vaultpassword123을 입력하고 확인합니다.
Vault 암호를 설정한 후 편집기가 열립니다. 편집기에 다음 내용을 입력합니다.
---
vault_sudo_password: ansible123파일을 저장하고 편집기를 종료합니다.
이제 Vault 파일의 내용을 보려고 하면 암호화되어 있음을 알 수 있습니다.
cat vault.yml다음과 유사한 출력을 볼 수 있습니다.
$ANSIBLE_VAULT;1.1;AES256
32623438613466396238613731623338376461653866353031313632316237613561393639613131
3562626166616332386265373761653835356134613561380a363761333362323238663136633439
32343032333832313562353261333530666639643239303436643363393630643639316232303564
3962356162356361370a313038333432353162333462323035323262396233333039326535356662
31363539613432656362326565613232336535393232653939323466323131393362이제 암호화된 sudo 암호를 사용하는 플레이북을 만들어 보겠습니다. secure_sudo_playbook.yml이라는 새 파일을 만듭니다.
---
- name: Playbook with secure sudo password
hosts: localhost
become: true
become_password: "{{ vault_sudo_password }}"
vars_files:
- vault.yml
tasks:
- name: Get sudo user
command: whoami
register: sudo_user
- name: Print sudo user
debug:
msg: "Running as {{ sudo_user.stdout }}"
- name: Check sudo access
command: apt update
register: apt_result
failed_when: false
- name: Print result
debug:
msg: "Sudo access successful: {{ apt_result.rc == 0 }}"이 파일을 ~/project/ansible-sudo-lab/secure_sudo_playbook.yml로 저장합니다.
암호화된 Vault 파일을 포함하는 플레이북을 실행할 때는 Vault 암호를 제공해야 합니다. 이를 수행하는 방법에는 여러 가지가 있습니다.
--ask-vault-pass 옵션 사용:ansible-playbook -i inventory secure_sudo_playbook.yml --ask-vault-pass메시지가 표시되면 Vault 암호를 입력합니다: vaultpassword123
먼저 Vault 암호를 포함하는 파일을 만듭니다.
echo "vaultpassword123" > vault_password_file
chmod 600 vault_password_file그런 다음 암호 파일로 플레이북을 실행합니다.
ansible-playbook -i inventory secure_sudo_playbook.yml --vault-password-file vault_password_file다음과 유사한 출력을 볼 수 있습니다.
PLAY [Playbook with secure sudo password] ***************************
TASK [Gathering Facts] **********************************************
ok: [localhost]
TASK [Get sudo user] ***********************************************
changed: [localhost]
TASK [Print sudo user] *********************************************
ok: [localhost] => {
"msg": "Running as root"
}
TASK [Check sudo access] *******************************************
changed: [localhost]
TASK [Print result] ************************************************
ok: [localhost] => {
"msg": "Sudo access successful: True"
}
PLAY RECAP *********************************************************
localhost : ok=5 changed=2 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0Ansible 에서 sudo 암호를 관리할 때 따라야 할 몇 가지 모범 사례는 다음과 같습니다.
프로덕션 환경에서는 HashiCorp Vault 또는 AWS Secrets Manager 와 같은 도구를 사용하여 더욱 안전하게 비밀을 관리하는 것을 고려할 수도 있습니다.
적절한 구성이 있더라도 Ansible 에서 sudo 암호와 관련된 문제가 발생할 수 있습니다. 이 단계에서는 일반적인 문제와 해결책을 살펴보겠습니다.
Ansible 과 함께 sudo 를 사용할 때 발생할 수 있는 몇 가지 일반적인 문제는 다음과 같습니다.
각 문제와 해결책을 살펴보겠습니다.
이러한 문제를 더 잘 이해하기 위해 sudo 가 TTY 를 필요로 하는 시나리오를 만들어 보겠습니다. 테스트 사용자의 sudoers 파일을 편집합니다.
sudo cp /etc/sudoers.d/ansible_test /etc/sudoers.d/ansible_test.bak
echo 'Defaults:ansible_test requiretty' | sudo tee -a /etc/sudoers.d/ansible_test이 구성은 ansible_test 사용자가 sudo 명령을 실행할 때 sudo 가 TTY 를 필요로 하도록 만들며, 이는 Ansible 에 문제를 일으킬 수 있습니다.
일반적인 sudo 문제 해결 기술을 포함하는 troubleshoot_sudo.yml이라는 새 플레이북을 만듭니다.
---
- name: Troubleshoot sudo issues
hosts: localhost
become: true
become_method: sudo
## We'll provide the become_password when running the playbook
tasks:
- name: Check sudo version
command: sudo --version
register: sudo_version
become: false
- name: Print sudo version
debug:
msg: "{{ sudo_version.stdout_lines[0] }}"
become: false
- name: Check sudo configuration
command: sudo -l
register: sudo_config
become: false
failed_when: false
- name: Print sudo configuration
debug:
msg: "{{ sudo_config.stdout_lines }}"
become: false
when: sudo_config.rc == 0
- name: Test sudo command with pty
command: apt update
register: sudo_test
failed_when: false
vars:
ansible_become_flags: "-H"
- name: Print sudo test result
debug:
msg: "Sudo command {{ 'succeeded' if sudo_test.rc == 0 else 'failed' }}"이 파일을 ~/project/ansible-sudo-lab/troubleshoot_sudo.yml로 저장합니다.
문제 해결 플레이북을 실행합니다.
ansible-playbook -i inventory troubleshoot_sudo.yml -K우리는 암호 없는 sudo 를 가진 labex 사용자로 실행하고 있으므로 플레이북이 성공적으로 실행되어야 합니다.
다음은 일반적인 sudo 암호 문제에 대한 해결책입니다.
Ansible 이 "Sudo 암호 누락"과 같은 메시지와 함께 실패하는 경우 다음을 수행할 수 있습니다.
-K 옵션을 사용하여 sudo 암호를 묻는 메시지를 표시합니다.ansible_become_password 변수를 설정합니다.sudo 암호가 잘못된 경우:
사용자에게 올바른 sudo 권한이 없는 경우:
sudo -l을 사용하여 사용자의 sudo 권한을 확인합니다.sudo 가 TTY 를 필요로 하는 경우:
ansible_become_flags: "-H"를 추가합니다.requiretty 옵션을 제거합니다.pty: true 옵션을 사용합니다.테스트 사용자의 원래 sudo 구성을 복원해 보겠습니다.
sudo cp /etc/sudoers.d/ansible_test.bak /etc/sudoers.d/ansible_test
sudo rm /etc/sudoers.d/ansible_test.bak이렇게 하면 앞서 추가한 requiretty 옵션이 제거됩니다.
이 Lab 에서는 많은 관리자 및 DevOps 엔지니어에게 일반적인 과제인 Ansible 플레이북에서 sudo 암호를 처리하는 방법을 배웠습니다. 다음은 수행한 작업에 대한 요약입니다.
이러한 기술은 다양한 환경에서 다양한 sudo 구성을 처리할 수 있는 더욱 안전하고 신뢰할 수 있는 Ansible 플레이북을 만드는 데 도움이 됩니다.
이 Lab 의 주요 내용:
이러한 기술을 통해 이제 권한 상승이 필요한 작업에 Ansible 을 자신 있게 사용하여 자동화가 원활하고 안전하게 실행되도록 할 수 있습니다.
