将Ansible剧本安全地限制在一台机器上吗？

我正在Ansible中使用一小组计算机执行一些简单的用户管理任务。目前，我将我的剧本设置为，hosts: all并且我的hosts文件只是列出了所有计算机的一个组：

# file: hosts
[office]
imac-1.local
imac-2.local
imac-3.local

我发现自己经常不得不瞄准一台机器。该ansible-playbook命令可以限制播放，如下所示：

ansible-playbook --limit imac-2.local user.yml

但这似乎很脆弱，尤其是对于可能具有破坏性的剧本而言。省略limit标志意味着该剧本将在任何地方运行。由于这些工具只是偶尔使用，因此似乎值得采取措施实现万无一失的播放，因此从现在起几个月后，我们就不会意外地破坏某些东西。

是否存在将剧本的运行限制在一台机器上的最佳实践？理想情况下，如果忽略了一些重要细节，则剧本应该无害。

事实证明，可以直接在剧本中输入主机名，因此使用可以运行剧本hosts: imac-2.local。但这有点笨拙。

更好的解决方案可能是使用变量定义剧本的主机，然后通过以下方式传入特定的主机地址--extra-vars：

# file: user.yml  (playbook)
---
- hosts: '{{ target }}'
  user: ...

运行剧本：

ansible-playbook user.yml --extra-vars "target=imac-2.local"

如果{{ target }}未定义，则剧本不执行任何操作。如果需要，还可以传递hosts文件中的组。总体而言，这似乎是构建潜在破坏性剧本的一种更为安全的方法。

面向单个主机的Playbook：

$ ansible-playbook user.yml --extra-vars "target=imac-2.local" --list-hosts

playbook: user.yml

  play #1 (imac-2.local): host count=1
    imac-2.local

包含主机的剧本：

$ ansible-playbook user.yml --extra-vars "target=office" --list-hosts

playbook: user.yml

  play #1 (office): host count=3
    imac-1.local
    imac-2.local
    imac-3.local

忘记定义主机是安全的！

$ ansible-playbook user.yml --list-hosts

playbook: user.yml

  play #1 ({{target}}): host count=0

还有一个可爱的小技巧，可让您在命令行上指定单个主机（我想是多个主机），而无需中间清单：

ansible-playbook -i "imac1-local," user.yml

注意末尾的逗号（，）；这表明它是一个列表，而不是文件。

现在，如果您不小心传入了真实的清单文件，这将无法为您提供保护，因此这可能不是解决此特定问题的好方法。但这是一个方便的窍门！

如果通过检查play_hosts变量提供了多个主机，则该方法将退出。该故障模块用于出口，如果单个主机条件不满足。以下示例使用一个具有两个主机alice和bob的hosts文件。

user.yml（剧本）

---
- hosts: all
  tasks:
    - name: Check for single host
      fail: msg="Single host check failed."
      when: "{{ play_hosts|length }} != 1"
    - debug: msg='I got executed!'

在没有主机过滤器的情况下运行剧本

$ ansible-playbook user.yml
PLAY [all] ****************************************************************
TASK: [Check for single host] *********************************************
failed: [alice] => {"failed": true}
msg: Single host check failed.
failed: [bob] => {"failed": true}
msg: Single host check failed.
FATAL: all hosts have already failed -- aborting

在单个主机上运行剧本

$ ansible-playbook user.yml --limit=alice

PLAY [all] ****************************************************************

TASK: [Check for single host] *********************************************
skipping: [alice]

TASK: [debug msg='I got executed!'] ***************************************
ok: [alice] => {
    "msg": "I got executed!"
}

恕我直言，这是一种更方便的方法。实际上，您可以通过以下方式交互式地提示用户输入要应用该手册的机器vars_prompt：

---

- hosts: "{{ setupHosts }}"
  vars_prompt:
    - name: "setupHosts"
      prompt: "Which hosts would you like to setup?"
      private: no
  tasks:
    […]

为了扩展joemailer的答案，如果您希望具有模式匹配功能以匹配远程计算机的任何子集（就像该ansible命令一样），但是仍然要使在所有计算机上意外运行该剧本非常困难，这是我想出了什么：

与其他答案中的剧本相同：

# file: user.yml  (playbook)
---
- hosts: '{{ target }}'
  user: ...

让我们拥有以下主机：

imac-10.local
imac-11.local
imac-22.local

现在，要在所有设备上运行该命令，必须明确将目标变量设置为“ all”

ansible-playbook user.yml --extra-vars "target=all"

并将其限制为特定模式，您可以设置 target=pattern_here

或者，您也可以保留target=all并附加--limit参数，例如：

--limit imac-1*

即。 ansible-playbook user.yml --extra-vars "target=all" --limit imac-1* --list-hosts

结果是：

playbook: user.yml

  play #1 (office): host count=2
    imac-10.local
    imac-11.local

我真的不明白所有答案是如此复杂，解决方法很简单：

ansible-playbook user.yml -i hosts/hosts --limit imac-2.local --check

该check模式允许您在空运行模式下运行，而无需进行任何更改。

使用EC2外部清单脚本的AWS用户可以仅按实例ID进行过滤：

ansible-playbook sample-playbook.yml --limit i-c98d5a71 --list-hosts

这是有效的，因为清单脚本会创建默认组。

我们有一些通用的剧本可供大量团队使用。我们还有特定于环境的清单文件，其中包含多个组声明。

为了强制某人调用某个剧本来指定要与之对抗的小组，我们在剧本的顶部添加一个虚拟条目：

[ansible-dummy-group]
dummy-server

然后，我们将以下检查作为共享剧本的第一步：

- hosts: all
  gather_facts: False
  run_once: true
  tasks:
  - fail:
      msg: "Please specify a group to run this playbook against"
    when: '"dummy-server" in ansible_play_batch'

如果虚拟服务器出现在计划将此游戏本运行的主机列表中（ansible_play_batch），则调用者未指定组，则该游戏本执行将失败。

从1.7版本开始，ansible具有run_once选项。本节还包含各种其他技术的讨论。

这显示了如何在目标服务器本身上运行剧本。

如果要使用本地连接，这会有些棘手。但是，如果在主机设置中使用变量，并且在主机文件中为本地主机创建一个特殊条目，则应该可以。

在（所有）剧本中，hosts：行设置为：

- hosts: "{{ target | default('no_hosts')}}"

在清单主机文件中，为localhost添加一个条目，该条目将连接设置为本地：

[localhost]
127.0.0.1  ansible_connection=local

然后在命令行上运行命令以显式设置目标-例如：

$ ansible-playbook --extra-vars "target=localhost" test.yml

当使用ansible-pull时，这也将起作用：

$ ansible-pull -U <git-repo-here> -d ~/ansible --extra-vars "target=localhost" test.yml

如果您忘记在命令行上设置变量，则该命令将安全地出错（只要您尚未创建名为“ no_hosts”的主机组！），并显示以下警告：

skipping: no hosts matched

如上所述，您可以通过以下方式定位一台计算机（只要它在您的主机文件中）：

$ ansible-playbook --extra-vars "target=server.domain" test.yml

或一群类似的人：

$ ansible-playbook --extra-vars "target=web-servers" test.yml

我有一个称为Provision的包装器脚本，它会强制您选择目标，因此我不必在其他地方处理它。

对于那些好奇的人，我为我的vagrantfile使用的选项使用ENV变量（为云系统添加相应的ansible arg），然后让其余的ansible args通过。在一次创建和配置10台服务器的地方，我会在发生故障的服务器上进行自动重试（只要取得了进展-我发现一次创建100台左右的服务器时，经常会有一些第一次出现故障）。

echo 'Usage: [VAR=value] bin/provision [options] dev|all|TARGET|vagrant'
echo '  bootstrap - Bootstrap servers ssh port and initial security provisioning'
echo '  dev - Provision localhost for development and control'
echo '  TARGET - specify specific host or group of hosts'
echo '  all - provision all servers'
echo '  vagrant - Provision local vagrant machine (environment vars only)'
echo
echo 'Environment VARS'
echo '  BOOTSTRAP - use cloud providers default user settings if set'
echo '  TAGS - if TAGS env variable is set, then only tasks with these tags are run'
echo '  SKIP_TAGS - only run plays and tasks whose tags do not match these values'
echo '  START_AT_TASK - start the playbook at the task matching this name'
echo
ansible-playbook --help | sed -e '1d
    s#=/etc/ansible/hosts# set by bin/provision argument#
    /-k/s/$/ (use for fresh systems)/
    /--tags/s/$/ (use TAGS var instead)/
    /--skip-tags/s/$/ (use SKIP_TAGS var instead)/
    /--start-at-task/s/$/ (use START_AT_TASK var instead)/
'

稍有不同的解决方案是使用特殊变量ansible_limit，该变量是--limit当前Ansible执行的CLI选项的内容。

- hosts: "{{ ansible_limit | default(omit) }}"

无需在此处定义额外的变量，只需运行带有--limit标志的剧本。

ansible-playbook --limit imac-2.local user.yml