Ansible-core 2.14 移植指南
本节讨论 ansible-core 2.13 和 ansible-core 2.14 之间的行为变化。
它旨在帮助您更新您的剧本、插件和 Ansible 基础架构的其他部分,以便它们可以与 Ansible 的此版本一起使用。
我们建议您阅读本页以及 ansible-core 2.14 的变更日志,以了解您可能需要进行哪些更新。
本文档是移植集合的一部分。完整的移植指南列表可以在 移植指南 中找到。
剧本
条件语句 - 由于在 ansible-core 2.14.12 中对安全问题 CVE-2023-5764 的缓解,包含嵌入式模板块的条件表达式可能会失败,并显示消息 “
Conditional is marked as unsafe, and cannot be evaluated.” 当嵌入式模板从不受信任的来源(如模块结果或标记为!unsafe的变量)查询数据时。包含嵌入式模板的条件语句可能是恶意模板注入的来源,当引用不受信任的数据时,并且几乎总是可以不用嵌入式模板重写。剧本任务条件关键字(如when和until)长期以来一直显示警告,劝阻在条件语句中使用嵌入式模板;此警告已扩展到非任务条件语句,例如assert操作。- name: task with a module result (always untrusted by Ansible) shell: echo "hi mom" register: untrusted_result # don't do it this way... # - name: insecure conditional with embedded template consulting untrusted data # assert: # that: '"hi mom" is in {{ untrusted_result.stdout }}' - name: securely access untrusted values directly as Jinja variables instead assert: that: '"hi mom" is in untrusted_result.stdout'
变量现在被延迟地评估;只有当它们实际使用时才评估。例如,在 ansible-core 2.14 中,表达式
{{ defined_variable or undefined_variable }}不会在undefined_variable上失败,如果or的第一部分被评估为True,因为它不需要评估第二部分。需要注意的一个特定行为变化的例子是下面的任务,它使用undefined测试。在版本 2.14 之前,这将导致一个致命错误,试图访问字典中的未定义值。在 2.14 中,断言通过,因为字典通过其中一个未定义的值被评估为未定义
- assert: that: - some_defined_dict_with_undefined_values is undefined vars: dict_value: 1 some_defined_dict_with_undefined_values: key1: value1 key2: '{{ dict_value }}' key3: '{{ undefined_dict_value }}'
命令行
控制器节点上的 Python 3.9 是此版本的硬性要求。
在启动时,将检查文件系统编码和区域设置以验证它们是否为 UTF-8。如果不是,则进程将退出并显示一个错误,报告错误的编码。如果您以前使用的是
C或POSIX区域设置,您可能可以使用C.UTF-8。如果您以前使用的是en_US.ISO-8859-1等区域设置,您可能可以使用en_US.UTF-8。为了简单起见,最简单的方法是使用LC_ALL环境变量导出适当的区域设置。修改系统区域设置的另一种方法是在 UTF-8 模式下运行 Python;有关更多信息,请参阅 Python 文档。
已弃用
没有显著的更改
模块
没有显著的更改
已删除的模块
以下模块不再存在
没有显著的更改
弃用通知
没有显著的更改
值得注意的模块更改
没有显著的更改
插件
没有显著的更改
移植自定义脚本
没有显著的更改
网络
没有显著的更改