В моей нынешней среде все мои серверы Linux доступны только через хост-бастион, на котором включен MFA.
Мне удалось заставить Ansible успешно общаться с серверами через бастион, единственная проблема в том, что он устанавливает новое соединение с бастионом для каждого хоста, то есть мне нужно ввести столько ключей MFA, сколько у меня есть серверов. Плохие времена. :(
Я попытался возиться с такими вещами в моей конфигурации ssh, чтобы заставить работать мультиплексирование:
Host bastion
ControlMaster auto
ControlPath ~/.ssh/ansible-%r@%h:%p
ControlPersist 5m
К сожалению, это не похоже на это. Кто-нибудь получил несколько советов о том, как я могу остановить Ansible, восстановив соединение через мой хост-бастион для каждого хоста, к которому он прикасается?
Спасибо!
ansible
configuration-management
two-factor
bastion
Пол Кирби
источник
источник
ForwardAgent
в своей конфигурации ssh свою рабочую станцию (не бастион)Ответы:
Я только что наткнулся на этот пост в блоге о запуске Ansible с бастионным хостом .
Очевидно, вам нужно добавить хост-бастион к управляющему хосту
ssh_config
:Редактировать
ssh_args
в вansible.cfg
:Это должно покрыть
bastion
часть конфигурации. ДляMFA
части некоторых пользователей в этом эмиссионном GitHub утверждает , что можно использовать SSH сессию в анзибле открываемых за пределы анзибля.У меня нет под рукой установки бастиона, но я думаю, что эту стратегию стоит попробовать.
источник