沒有在任何地方找到多個管理員使用 Ansible 的最佳實務。我們想使用 SSH 金鑰登入控制機和遙控器。
最好的方法是:
在控制機上為每個管理員建立自己的帳戶,然後只需使用在遠端主機上具有 sudo 權限的普通帳戶透過 SSH 連接到遠端主機?透過這種解決方案,只有儲存在控制機上的私鑰才是一般使用者的私鑰。
為控制和遠端電腦上的每個管理員建立自己的帳戶,並讓他們使用自己的帳戶透過 SSH 連接到遠端伺服器?這個解決方案基本上意味著,我們必須在控制機上儲存每個管理員的私鑰。
感謝您的幫助。
答案1
我說選項1。對於審核,您可以將目光投向塔控制伺服器以查看哪些作業已運行、它們做了什麼以及誰觸發了它們。
選項2很臭,因為它:
- 擴充性不好,在 ansible 管理團隊中新增和刪除管理員需要您再次更新每個節點。
- 不會增加可見性,因為您已經知道誰從控制伺服器運行了什麼
- 不會提高安全性,因為每個使用者
become
在採取操作之前都會經過該模組。