Нигде не нашел, что является лучшей практикой использования Ansible несколькими администраторами. Мы хотели бы войти с ключами SSH как для управления машиной, так и для удаленных устройств.
Лучший способ сделать это:
Создайте каждому администратору свою собственную учетную запись на управляющей машине, а затем просто используйте BECOME для SSH-подключения к удаленным хостам с одной общей учетной записью с правами sudo на удаленных компьютерах? При таком решении только закрытый ключ, хранящийся на управляющей машине, будет одним для общего пользователя.
Создайте собственную учетную запись для каждого администратора на контрольной и удаленной машинах и разрешите им подключаться по SSH к удаленным компьютерам с помощью собственной учетной записи? Это решение в основном означает, что нам придется хранить закрытые ключи для каждого администратора на контрольной машине.
Спасибо за помощь.
решение1
Я говорюОпция 1. Для аудита вы можете обратить внимание наБашняуправляющий сервер, чтобы увидеть, какие задания были выполнены, что они сделали и кто их запустил.
Вариант 2воняет, потому что:
- Плохо масштабируется, добавление и удаление администраторов из вашей команды администраторов Ansible требует повторного обновления каждого узла.
- Не увеличивает видимость, так как вы уже знаете, кто что запустил с сервера управления.
- Не повышает безопасность, поскольку каждый пользователь проходит через
becomeмодуль, прежде чем предпринять какие-либо действия.