Каких Пользователей Мне Следует Создавать С Помощью Terraform, А Каких С Помощью Ansible?

  • Автор темы Blixermissism56
  • Обновлено
  • 21, Oct 2024
  • #1

Я создаю несколько виртуальных машин Ubuntu в Azure с помощью Terraform.

Затем я настраиваю виртуальные машины с помощью ansible.

 resource "azurerm_virtual_machine" "main" {

...

...

os_profile {

computer_name  = "hostname"

admin_username = "testadmin"

admin_password = "Password1234!"

}

Когда terraform создает виртуальную машину, он создает пользователя-администратора.

Мне понадобится пользователь для запуска приложения и пользователь для запуска Ansible.

Должен ли пользователь-администратор, которого создает terraform, быть пользователем ansible, а затем получить доступ к созданию пользователя приложения?

Blixermissism56

Blixermissism56

Пользователь
Рег
25 Oct, 2024
Тем
73
Постов
203
Баллов
578
  • 25, Oct 2024
  • #2

Я бы посоветовал сделать это так, как вы в последний раз объясняли: использовать пользователя-администратора, созданного tf, с помощью ansible, а затем создать любого другого пользователя, используя ansible.

Обратной стороной является точка зрения безопасности: нужен ли ansible пользователь с правами администратора? Если да, то сохраните пользователя, созданного tf, если нет, то я бы предложил создать нового пользователя без прав администратора для ansible.

Поскольку ansible — это инструмент управления конфигурацией на основе ssh, вам следует подумать об использовании надежного Pki.

Использование пользователя std tf admin может привести к созданию уникального администратора на каждой вашей виртуальной машине Ubuntu с одним и тем же ключом ssh, и это не очень хорошая практика (хотя это широко распространенная практика из моего личного опыта), именно здесь вам может помочь настоящий и сильный PKI.

В любом случае, tf необходимо создать пользователя (администратора), так что оставьте его таким, а затем переключитесь на свою конфигурацию mgmt для обработки любых других необходимых пользователей.

 
Gari_video

Gari_video

Пользователь
Рег
03 Jan, 2012
Тем
62
Постов
182
Баллов
542
  • 25, Oct 2024
  • #3

У контроллера, по практическим соображениям полезно создать специального пользователя, который будет запускать команды ansible-* как ansible_user. Обычно ansible_user подключается через ssh к удаленным хостам и проверяет подлинность с помощью открытого ключа.

  • Практично иметь разные ssh-ключи для администратор и ansible_user.

  • ansible_user открытый ключ будет авторизован всеми удаленными хостами.

  • Некоторым удаленным хостам может потребоваться авторизация для подключения к контроллеру, например. ansible-pull

  • Обычно Ansible требует, чтобы /bin/sh был ansible_user оболочка входа на удаленном хосте.

Причин может быть больше (или меньше) в зависимости от сценария.

На удаленном хосте администратор, созданный по умолчанию, может быть в порядке с измененными учетными данными, а оболочка входа в систему изменена на /bin/sh. Но по соображениям безопасности предпочтительнее создать ansible_user и удалить администратора по умолчанию.

Приятно понимать Повышение привилегий и разница Ansible Remote_user против ansible_user.

 
AMn

AMn

Пользователь
Рег
11 Jan, 2014
Тем
77
Постов
207
Баллов
642
Похожие темы Дата
Node.js — Создание Докер-Образа Приложения Nuxt С Использованием Действий Github Не Удалось (Превышен Размер Кучи Памяти)
Автоматизация. Есть Ли Способ Ротировать Ключи Aws Kms Каждый Интервал Времени? < 1 Year?
Terraform — Получение Arn Из Другого Модуля
Непрерывная Интеграция. Существуют Ли Какие-Либо Рекомендации Относительно Того, Когда Использовать Gitlfs И Нарушит Ли Это Ci?
Веб-Сервисы Amazon — Сколько Будет Стоить Aws Развертывание Приложения Для Управления Запасами
Терминология - Что Такое «Инфраструктура Как Код»?
Увеличьте Ограничения На Вход Kubernetes Nginx Для Больших Образов В Реестре Docker.
Непрерывная Интеграция. Как Протестировать Собственное Программное Обеспечение Пользовательского Интерфейса Macos В Контейнере Перед Развертыванием?
Методика - Помогите! В Компании Нет Инфраструктуры Развития! Мне Поручили Это Реализовать!
Docker-Compose Не Может Распознать, Когда Изображения Иногда Перестраиваются... Часто Один И Тот Же Код В Порядке
Похожие темы
Node.js — Создание Докер-Образа Приложения Nuxt С Использованием Действий Github Не Удалось (Превышен Размер Кучи Памяти)
Автоматизация. Есть Ли Способ Ротировать Ключи Aws Kms Каждый Интервал Времени? < 1 Year?
Terraform — Получение Arn Из Другого Модуля
Непрерывная Интеграция. Существуют Ли Какие-Либо Рекомендации Относительно Того, Когда Использовать Gitlfs И Нарушит Ли Это Ci?
Веб-Сервисы Amazon — Сколько Будет Стоить Aws Развертывание Приложения Для Управления Запасами
Терминология - Что Такое «Инфраструктура Как Код»?
Увеличьте Ограничения На Вход Kubernetes Nginx Для Больших Образов В Реестре Docker.
Непрерывная Интеграция. Как Протестировать Собственное Программное Обеспечение Пользовательского Интерфейса Macos В Контейнере Перед Развертыванием?
Методика - Помогите! В Компании Нет Инфраструктуры Развития! Мне Поручили Это Реализовать!
Docker-Compose Не Может Распознать, Когда Изображения Иногда Перестраиваются... Часто Один И Тот Же Код В Порядке
I AM

I AM


Лучший автор
Тем
403,760
Комментарии
400,028
Опыт
2,418,908

Интересно