Distribuir chaves públicas ssh entre hosts

11

Estou configurando algumas máquinas com Ansible e preciso habilitar a senha com menos conexões entre elas. Eu tenho um mestre de banco de dados e vários escravos. Para replicação inicial, os escravos precisam ssh no mestre e obter uma cópia do banco de dados. Não tenho certeza de qual é a melhor maneira de adicionar dinamicamente todas as chaves públicas dos escravos ao authorized_keysarquivo mestre .

Eu já pensei em fornecer as chaves públicas dos escravos como variáveis ​​e adicioná-las através do authorized_keymódulo. Mas então devo manter a lista de chaves. Estou procurando uma abordagem em que apenas adicione outro host ao grupo de escravos e o restante funcione automaticamente.

Alguma ideia?

Atualizar:

Até agora, recebi o seguinte pseudo-código:

# collect public keys from slave machines
- name: collect slave keys
  {% for host in groups['databases_slave'] %}
     shell: /bin/cat /var/lib/postgresql/.ssh/id_rsa.pub
     register: slave_keys #how to add to an array here?
  {% endfor %}

# Tasks for PostgreSQL master
- name: add slave public key
  sudo: yes
  authorized_key: user=postgres state=present key={{ item }}
  with_items: slave_keys

O loop com o {% %}único funciona em arquivos de modelo e não diretamente em playbooks. Alguma maneira de fazer isso no meu manual?

mergulhador
fonte

Respostas:

5

Eu vim com uma solução que funciona para mim. Eu crio as chaves públicas / privadas na minha máquina a partir de onde o Ansible é executado e, na primeira conexão, coloco as chaves no lugar.

Então eu adiciono as chaves de todos os escravos ao mestre com o seguinte:

# Tasks for PostgreSQL master
- name: add slave public key
  sudo: yes
  authorized_key: user=postgres state=present key="{{ lookup('file', '../../../keys/' + item + '/id_rsa.pub') }}"
  with_items: groups.databases_slave

O manual completo pode ser encontrado em github.com/soupdiver/ansible-cluster .

mergulhador
fonte
5

Acredito que a seguinte solução deve funcionar no seu caso. Eu tenho usado para um cenário semelhante com um servidor de backup central e vários clientes de backup.

Eu tenho uma função (digamos " db_replication_master ") associada ao servidor que recebe as conexões:

    - role: db_replication_master
      db_slaves: ['someserver', 'someotherserver']
      db_slave_user: 'someuser' # in case you have different users
      db_master_user: 'someotheruser'
      extra_pubkeys: ['files/id_rsa.pub'] # other keys that need access to master

Em seguida, criamos as tarefas reais na função db_replication_master :

    - name: create remote accounts ssh keys
      user:
        name: "{{ db_slave_user }}"
        generate_ssh_key: yes
      delegate_to: "{{ item }}"
      with_items: db_slaves

    - name: fetch pubkeys from remote users
      fetch:
        dest: "tmp/db_replication_role/{{ item }}.pub"
        src: "~{{db_slave_user}}/.ssh/id_rsa.pub"
        flat: yes
      delegate_to: "{{ item }}"
      with_items: db_slaves
      register: remote_pubkeys
      changed_when: false # we remove them in "remove temp local pubkey copies" below

    - name: add pubkeys to master server
      authorized_key:
        user: "{{ db_master_user }}"
        key: "{{ lookup('file', item) }}"
      with_flattened:
        - extra_pubkeys
        - "{{ remote_pubkeys.results | default({}) | map(attribute='dest') | list }}"

    - name: remove temp local pubkey copies
      local_action: file dest="tmp/db_replication_role" state=absent
      changed_when: false

Então, nós somos basicamente:

  • criando dinamicamente ssh-keys naqueles escravos que ainda não os possuem
  • então estamos usando delegate_to para executar o módulo de busca nos escravos e buscar suas chaves de pub ssh no host executando ansible, também salvando o resultado dessa operação em uma variável para que possamos acessar a lista real de arquivos buscados
  • após o que se proceda à normalmente empurrar os pubkeys ssh obtida (mais qualquer pubkeys extra providas) para o nó mestre com o authorized_keys módulo (utiliza-se um par de filtros Jinja2 para escavar as filepaths da variável na tarefa acima)
  • finalmente, removemos os arquivos pubkey armazenados em cache localmente no host executando ansible

A limitação de ter o mesmo usuário em todos os hosts provavelmente pode ser contornada, mas pelo que recebo da sua pergunta, isso provavelmente não é um problema para você (é um pouco mais relevante para o meu cenário de backup). Obviamente, você também pode configurar o tipo de chave (rsa, dsa, ecdsa, etc).

Atualização : oops, eu originalmente escrevi usando terminologia específica para o meu problema, não para o seu! Deve fazer mais sentido agora.

Leo Antunes
fonte
0

Eu tive o mesmo problema e resolvi-o desta maneira:

---
# Gather the SSH of all hosts and add them to every host in the inventory
# to allow passwordless SSH between them
- hosts: all
  tasks:
  - name: Generate SSH keys
    shell: ssh-keygen -q -t rsa -f /root/.ssh/id_rsa -N ''
    args:
      creates: /root/.ssh/id_rsa

  - name: Allow passwordless SSH between all hosts
    shell: /bin/cat /root/.ssh/id_rsa.pub
    register: ssh_keys

  - name: Allow passwordless SSH between all hosts
    lineinfile:
      dest: /root/.ssh/authorized_keys
      state: present
      line:  " {{ hostvars[item]['ssh_keys']['stdout'] }}"
    with_items: "{{ groups['all']}}"
Julen Larrucea
fonte