Ansible - Acesso através do Bastião com MFA

No meu ambiente atual, todos os meus servidores Linux estão acessíveis apenas através de um host bastião, com o MFA ativado.

Consegui fazer com que o Ansible conversasse com êxito com os servidores através do bastião, o único problema é que ele estabelece uma nova conexão com o bastião para cada host, o que significa que tenho que inserir tantas chaves MFA quanto servidores. Tempos ruins. :(

Eu tentei mexer com coisas assim na minha configuração ssh para tentar fazer a multiplexação funcionar:

Host bastion
  ControlMaster auto
  ControlPath ~/.ssh/ansible-%r@%h:%p
  ControlPersist 5m

Infelizmente, não parece fazê-lo. Alguém recebeu algumas dicas sobre como eu posso impedir o Ansible de restabelecer sua conexão através do meu host bastião para cada host que ele toca?

Obrigado!

Eu apenas tropecei nesta postagem de blog sobre como executar o Ansible com um host de bastiões .

Aparentemente, você precisa adicionar o host bastião ao host de controle ssh_config:

Host 10.10.10.*
  ProxyCommand ssh -W %h:%p bastion.example.com
  IdentityFile ~/.ssh/private_key.pem

Host bastion.example.com
  Hostname bastion.example.com
  User ubuntu
  IdentityFile ~/.ssh/private_key.pem
  ControlMaster auto
  ControlPath ~/.ssh/ansible-%r@%h:%p
  ControlPersist 5m

Edite o ssh_argsin em ansible.cfg:

[ssh_connection]
ssh_args = -F ./ssh.cfg -o ControlMaster=auto -o ControlPersist=30m control_path = ~/.ssh/ansible-%%r@%%h:%%p

Isso deve cobrir a bastionparte da configuração. Por MFAparte, algum usuário nesta questão do github afirma que é possível usar uma sessão ssh no Ansible aberta fora do Ansible.

Eu abro a conexão inicial com o host que possui 2FA e, em outra janela, execute algo como:

ansible-playbook thing.yml --ssh-common-args='-o ControlPath=~/.ssh/connshare'

Eu não tenho uma configuração de host bastião em mãos, mas acho que vale a pena tentar esta estratégia.