如何在 Ansible 中设置默认权限提升方法

简介

Ansible 是一个强大的自动化工具，可简化对远程系统的管理。在使用 Ansible 时，了解并配置默认的权限提升方法对于确保剧本安全高效地执行至关重要。本教程将指导你完成在 Ansible 中设置默认权限提升方法的过程。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL ansible(("Ansible")) -.-> ansible/PlaybookEssentialsGroup(["Playbook Essentials"]) ansible(("Ansible")) -.-> ansible/ModuleOperationsGroup(["Module Operations"]) ansible/ModuleOperationsGroup -.-> ansible/command("Execute Commands") ansible/ModuleOperationsGroup -.-> ansible/shell("Execute Shell Commands") ansible/PlaybookEssentialsGroup -.-> ansible/playbook("Execute Playbook") subgraph Lab Skills ansible/command -.-> lab-415241{{"如何在 Ansible 中设置默认权限提升方法"}} ansible/shell -.-> lab-415241{{"如何在 Ansible 中设置默认权限提升方法"}} ansible/playbook -.-> lab-415241{{"如何在 Ansible 中设置默认权限提升方法"}} end

理解权限提升

权限提升是 Ansible 中的一个基本概念，它允许你在目标主机上以提升的权限执行任务。在管理需要管理员或根级别访问权限才能执行某些操作（如安装软件、修改系统配置或管理服务）的系统时，这一点尤为重要。

在 Ansible 中，默认的权限提升方法是 sudo，它允许 Ansible 剧本以目标主机上 sudo 用户的权限执行命令。不过，根据目标系统的要求，Ansible 还支持其他权限提升方法，如 su、pbrun、pfexec、doas 和 runas。

为了理解 Ansible 中权限提升的重要性，请考虑以下场景：

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present

在此示例中，安装 Apache 网络服务器的任务需要目标主机上的管理员权限。如果在没有适当权限提升方法的情况下执行 Ansible 剧本，该任务将失败，并且网络服务器将无法安装。

通过在 Ansible 中配置默认的权限提升方法，你可以确保所有需要提升权限的任务都能成功执行，而无需为每个单独的任务指定提升方法。

配置默认提升方法

要在 Ansible 中配置默认的权限提升方法，你可以在 Ansible 配置文件（通常是 ansible.cfg）或剧本中使用 become 和 become_method 选项。

在 `ansible.cfg` 中配置

在 ansible.cfg 文件中，你可以使用以下配置设置默认的权限提升方法：

[privilege_escalation]
become=yes
become_method=sudo

此配置将默认的权限提升方法设置为 sudo。你可以根据目标系统的要求，将 become_method 的值更改为其他支持的方法，如 su、pbrun、pfexec、doas 或 runas。

在剧本中配置

或者，你可以在 Ansible 剧本中直接使用 play 或任务级别的 become 和 become_method 选项来配置默认的权限提升方法。例如：

- hosts: webservers
  become: yes
  become_method: sudo
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present

在此示例中，become 和 become_method 选项在 play 级别设置，这意味着剧本中的所有任务默认将使用 sudo 权限提升方法。

如果你需要为特定任务使用不同的提升方法，也可以在任务级别设置 become 和 become_method 选项：

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
      become: yes
      become_method: sudo

通过配置默认的权限提升方法，你可以确保 Ansible 剧本以适当的权限执行任务，而无需为每个单独的任务指定提升方法。

在剧本中应用权限提升

既然你已经了解了如何在 Ansible 中配置默认的权限提升方法，那么让我们来探讨一下如何在你的剧本中应用它。

在 play 级别进行权限提升

如前所述，你可以在 play 级别设置 become 和 become_method 选项，以便将默认的权限提升方法应用于 play 中的所有任务。这是确保所有需要提升权限的任务都能成功执行的便捷方法。

- hosts: webservers
  become: yes
  become_method: sudo
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
    - name: Start Apache service
      service:
        name: apache2
        state: started

在此示例中，become 和 become_method 选项在 play 级别设置，这意味着“安装 Apache 网络服务器”和“启动 Apache 服务”任务都将使用 sudo 权限提升方法执行。

在任务级别进行权限提升

如果你需要为特定任务使用不同的权限提升方法，可以在任务级别设置 become 和 become_method 选项。当你有一系列需要不同权限级别的任务组合时，这会很有用。

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
      become: yes
      become_method: sudo
    - name: Start Apache service
      service:
        name: apache2
        state: started
      become: yes
      become_method: su

在此示例中，“安装 Apache 网络服务器”任务使用 sudo 权限提升方法，而“启动 Apache 服务”任务使用 su 方法。

通过在 Ansible 剧本的适当级别应用权限提升，你可以确保任务以必要的权限执行，从而提高基础架构管理的可靠性和安全性。

总结

在本 Ansible 教程中，你已经学会了如何配置默认的权限提升方法，这对于远程系统的无缝且安全的自动化至关重要。通过理解并应用适当的提升方法，你可以确保 Ansible 剧本以必要的权限运行，从而更有效地管理和维护你的基础架构。