複数の管理者が Ansible を使用する場合のベスト プラクティスがどこにも見つかりませんでした。制御マシンとリモートの両方に SSH キーを使用してログインしたいと考えています。
これを行う最善の方法は次のとおりです。
各管理者にコントロール マシンで独自のアカウントを作成し、リモートで sudo 権限を持つ 1 つの一般アカウントを使用して BECOME を使用してリモート ホストに SSH で接続しますか? このソリューションでは、コントロール マシンに保存されている秘密キーのみが一般ユーザー用の 1 つになります。
コントロール マシンとリモート マシンのすべての管理者に独自のアカウントを作成し、独自のアカウントを使用してリモートに SSH 接続できるようにしますか? このソリューションは基本的に、コントロール マシンで各管理者の秘密キーを保存する必要があることを意味します。
助けてくれてありがとう。
答え1
私は言うオプション1監査では、タワー制御サーバーを使用して、どのジョブが実行され、何が実行され、誰がそれをトリガーしたかを確認します。
オプション2臭いのは次の理由からです:
- スケーリングがうまくいかず、Ansible 管理チームに管理者を追加したり削除したりするには、すべてのノードを再度更新する必要があります。
- 制御サーバーから誰が何を実行したかが既にわかっているため、可視性は向上しません。
- すべてのユーザーがアクションを実行する前にモジュールを通過するため、セキュリティは向上しません
become。