连接方法和详细信息

本节将向您展示如何扩展和优化 Ansible 用于清单的连接方法。

ControlPersist 和 paramiko

默认情况下，Ansible 使用原生 OpenSSH，因为它支持 ControlPersist（一项性能特性）、Kerberos 以及 ~/.ssh/config 中的选项，例如 Jump Host 设置。如果您的控制机器使用不支持 ControlPersist 的旧版本 OpenSSH，Ansible 将回退到名为“paramiko”的 OpenSSH Python 实现。

设置远程用户

默认情况下，Ansible 使用您在控制节点上使用的用户名连接到所有远程设备。如果该用户名在远程设备上不存在，您可以为连接设置不同的用户名。如果您只需要以不同的用户身份执行一些任务，请查看了解权限提升：become。您可以在剧本中设置连接用户

---
- name: update webservers
  hosts: webservers
  remote_user: admin

  tasks:
  - name: thing to do first in this playbook
  . . .

作为清单中的主机变量

other1.example.com     ansible_connection=ssh        ansible_user=myuser
other2.example.com     ansible_connection=ssh        ansible_user=myotheruser

或作为清单中的组变量

cloud:
  hosts:
    cloud1: my_backup.cloud.com
    cloud2: my_backup2.cloud.com
  vars:
    ansible_user: admin

另请参阅

ssh_connection: 有关 remote_user 关键字和 ansible_user 变量的详细信息。
控制 Ansible 行为：优先级规则: 有关 Ansible 优先级规则的详细信息。

设置 SSH 密钥

默认情况下，Ansible 假设您使用 SSH 密钥连接到远程机器。鼓励使用 SSH 密钥，但如果需要，您可以使用密码身份验证，方法是使用 --ask-pass 选项。如果您需要为权限提升（sudo、pbrun 等）提供密码，请使用 --ask-become-pass。

注意

Ansible 不提供通道，以允许用户与 ssh 进程之间的通信，以便在使用 ssh 连接插件（默认插件）时手动接受密码来解密 ssh 密钥。强烈建议使用 ssh-agent。

要设置 SSH 代理以避免重新输入密码，您可以执行以下操作

$ ssh-agent bash
$ ssh-add ~/.ssh/id_rsa

根据您的设置，您可能希望使用 Ansible 的 --private-key 命令行选项来指定 pem 文件。您也可以将私钥文件添加到

$ ssh-agent bash
$ ssh-add ~/.ssh/keypair.pem

另一种无需使用 ssh-agent 即可添加私钥文件的方法是，在清单文件中使用 ansible_ssh_private_key_file，如以下内容所述：如何构建你的清单.

针对本地主机运行

您可以通过使用“localhost”或“127.0.0.1”作为服务器名称来针对控制节点运行命令

$ ansible localhost -m ping -e 'ansible_python_interpreter="/usr/bin/env python"'

您可以通过将以下内容添加到清单文件中来显式指定 localhost

localhost ansible_connection=local ansible_python_interpreter="/usr/bin/env python"

管理主机密钥检查

Ansible 默认情况下启用主机密钥检查。检查主机密钥可以防止服务器欺骗和中间人攻击，但需要一些维护。

如果重新安装了主机并且“known_hosts”中存在不同的密钥，则会显示错误消息，直到更正为止。如果“known_hosts”中不存在新主机，您的控制节点可能会提示您确认密钥，如果使用 Ansible（例如，从 cron 中使用 Ansible），这会导致交互式体验。您可能不希望这样做。

如果您了解这些影响并希望禁用此行为，您可以通过编辑 /etc/ansible/ansible.cfg 或 ~/.ansible.cfg 来实现

[defaults]
host_key_checking = False

或者，可以通过 ANSIBLE_HOST_KEY_CHECKING 环境变量来设置它

$ export ANSIBLE_HOST_KEY_CHECKING=False

还要注意，在 paramiko 模式下的主机密钥检查速度相当慢，因此建议在使用此功能时切换到“ssh”。

其他连接方法

除了 SSH 之外，Ansible 可以使用各种连接方法。您可以选择任何连接插件，包括在本地管理内容以及管理 chroot、lxc 和 jail 容器。名为“ansible-pull”的模式还可以反转系统，并让系统通过计划的 Git 检查来“联机”，以从中央存储库中拉取配置指令。