Ansible-core 2.14 移植指南

本节讨论了 ansible-core 2.13 和 ansible-core 2.14 之间的行为变化。

旨在帮助您更新 Playbook、插件和 Ansible 基础架构的其他部分，以便它们与此版本的 Ansible 一起使用。

我们建议您阅读此页面以及 ansible-core 2.14 的变更日志，以了解您可能需要进行的更新。

本文档是移植系列文档的一部分。完整的移植指南列表可以在 移植指南 中找到。

Playbook

• 条件语句 - 由于在 ansible-core 2.14.12 中缓解了安全问题 CVE-2023-5764，带有嵌入式模板块的条件表达式可能会失败，并显示消息“Conditional is marked as unsafe, and cannot be evaluated.”，当嵌入式模板从不受信任的来源（如模块结果或标记为 !unsafe 的变量）查询数据时。当引用不受信任的数据时，带有嵌入式模板的条件语句可能成为恶意模板注入的来源，并且几乎总是可以在没有嵌入式模板的情况下重写。Playbook 任务条件关键字（例如 when 和 until）长期以来一直显示警告，不鼓励在条件语句中使用嵌入式模板；此警告已扩展到非任务条件语句，例如 assert 操作。

  - name: task with a module result (always untrusted by Ansible)
    shell: echo "hi mom"
    register: untrusted_result
  
  # don't do it this way...
  # - name: insecure conditional with embedded template consulting untrusted data
  #   assert:
  #     that: '"hi mom" is in {{ untrusted_result.stdout }}'
  
  - name: securely access untrusted values directly as Jinja variables instead
    assert:
      that: '"hi mom" is in untrusted_result.stdout'
  

• 变量现在是延迟评估的；仅在实际使用时才评估。例如，在 ansible-core 2.14 中，表达式 {{ defined_variable or undefined_variable }} 如果 or 的第一部分评估为 True，则不会因 undefined_variable 而失败，因为它不需要评估第二部分。需要注意的一种行为变化的一个特殊情况是下面的任务，该任务使用 undefined 测试。在 2.14 版本之前，这会导致尝试访问字典中未定义值的致命错误。在 2.14 中，断言通过，因为字典通过其未定义的值之一被评估为未定义

- assert:
    that:
      - some_defined_dict_with_undefined_values is undefined
  vars:
    dict_value: 1
    some_defined_dict_with_undefined_values:
      key1: value1
      key2: '{{ dict_value }}'
      key3: '{{ undefined_dict_value }}'

命令行

• 控制器节点上的 Python 3.9 是此版本的硬性要求。

• 启动时，将检查文件系统编码和区域设置，以验证它们是否为 UTF-8。如果不是，则进程将退出，并报告错误的编码。如果您之前使用 C 或 POSIX 区域设置，则可以使用 C.UTF-8。如果您之前使用过诸如 en_US.ISO-8859-1 之类的区域设置，则可以使用 en_US.UTF-8。为了简单起见，使用 LC_ALL 环境变量导出适当的区域设置可能最容易。修改系统区域设置的替代方法是在 UTF-8 模式下运行 Python；有关更多信息，请参见 Python 文档。

已弃用

无明显变化

模块

无明显变化

已删除的模块

以下模块不再存在

• 无明显变化

弃用通知

无明显变化

值得注意的模块更改

无明显变化

插件

无明显变化

移植自定义脚本

无明显变化

网络

无明显变化