用 Ansible 一键完成 SSH 互信 ------ 从踩坑到最终方案
适用读者 :需要在多台 Linux 服务器之间快速建立免密登录(SSH 互信)的运维 / 开发人员。
环境:控制节点 + 若干 CentOS 7/8、Rocky、Ubuntu 混合目标机;Ansible 2.9/2.10+。
1. 背景
在批量运维场景里,先手动逐台 ssh-copy-id 太低效。最理想的做法是 一条 Playbook 就把公钥下发到所有服务器 。乍一看只需一个 authorized_key 模块,但在真实环境会碰到:
-
SELinux 依赖 :目标机启用 SELinux,却没安装
python{,3}-libselinux,导致模块 abort。 -
解释器发现 Warning :
Platform linux ... discovered Python interpreter at /usr/bin/python3 ...。 -
包名差异:CentOS 7 与 8+、Debian/Ubuntu 的 SELinux 绑定包名不同。
-
密钥缺失 :控制节点可能还没生成
id_rsa.pub。 -
密码安全 :不想把
ansible_ssh_pass写死在 Playbook。
本文记录一次"从红到全绿"的完整踩坑与修正过程。
2. 问题与排查
| 序号 | 现象 | 根因 | 解决思路 |
|---|---|---|---|
| 1 | Aborting, target uses selinux but python bindings (libselinux-python) aren't installed! |
目标机启用 SELinux,但缺少 Python 绑定库 | 先用 raw 命令安装正确的库,再跑正常模块 |
| 2 | No package libselinux-python available |
CentOS 8+ / Rocky 没有该包,正确包名是 python3-libselinux |
根据包管理器自动分支安装 |
| 3 | bash: 行 X: 语法错误:未预期的文件结束符 |
raw 多行脚本缩进 / 换行被拼坏 |
用 YAML 折行字符串 >,每段结尾加 ; |
| 4 | Platform linux ... discovered Python interpreter ... |
解释器自动探测,仅 Warning | 可在 inventory 指定 ansible_python_interpreter=/usr/bin/python3;也可忽略 |
| 5 | 没有公钥导致 lookup('file', '~/.ssh/id_rsa.pub') 报错 |
控制节点无密钥 | openssh_keypair 预生成,幂等且只运行一次 |
| 6 | Playbook 定义了两个 vars: 块 |
前后覆盖,易混淆 | 合并为一个 vars |
3. 关键技术点
3.1 用 raw 绕过 Ansible 模块依赖
-
为什么 :
yum/dnf/apt模块自身也要 importselinux,装库前就会失败。 -
做法 :
raw仅走 SSH,不依赖远端 Python 环境,先把依赖装好。raw: >
if command -v dnf >/dev/null; then dnf -y install python3-libselinux;
elif command -v yum >/dev/null; then yum -y install libselinux-python3 || yum -y install libselinux-python;
elif command -v apt-get >/dev/null; then apt-get update -qq && apt-get install -y python3-selinux;
fi
3.2 控制节点自动生成密钥
-
只在 localhost 执行,且
run_once: true。 -
openssh_keypair幂等:已有密钥就跳过。- openssh_keypair:
path: "{{ local_key_path }}"
type: rsa
size: 4096
state: present
when: not key_stat.stat.exists
delegate_to: localhost
run_once: true
- openssh_keypair:
3.3 交互输入密码 / 后续免密
-
Playbook 加
vars_prompt;首次执行带-k。 -
公钥下发后,再运行无需输入密码。
4. 最终 Playbook(ssh_trust.yml)
---
- name: 自动生成 SSH 密钥并配置免密登录
hosts: all
gather_facts: no
vars_prompt:
- name: ansible_ssh_pass
prompt: "请输入目标主机 SSH 密码"
private: yes
vars:
ansible_user: root
local_key_path: "{{ lookup('env', 'HOME') + '/.ssh/id_rsa' }}"
pre_tasks:
- name: 检查控制节点是否已有公钥
ansible.builtin.stat:
path: "{{ local_key_path }}.pub"
register: key_stat
delegate_to: localhost
run_once: true
- name: 如果没有就生成密钥对(控制节点)
ansible.builtin.openssh_keypair:
path: "{{ local_key_path }}"
type: rsa
size: 4096
state: present
when: not key_stat.stat.exists
delegate_to: localhost
run_once: true
tasks:
- name: 安装 SELinux Python 依赖(raw)
raw: >
if command -v dnf >/dev/null; then dnf -y install python3-libselinux;
elif command -v yum >/dev/null; then yum -y install libselinux-python3 || yum -y install libselinux-python;
elif command -v apt-get >/dev/null; then apt-get update -qq && apt-get install -y python3-selinux;
fi
become: true
- name: 确保远端 .ssh 目录存在
ansible.builtin.file:
path: "/root/.ssh"
state: directory
mode: '0700'
owner: root
group: root
become: true
- name: 部署公钥到目标主机
ansible.posix.authorized_key:
user: root
state: present
key: "{{ lookup('file', local_key_path + '.pub') }}"5. 使用方法
# hosts.ini 里列出所有目标 IP
ansible-playbook -i hosts.ini ssh_trust.yml -k-
首次:输入密码,下发公钥。
-
再次运行 :已免密,无需
-k。 -
若想彻底消除解释器 Warning,在 inventory 加:
ansible_python_interpreter=/usr/bin/python3
6. 收获与最佳实践
-
SELinux 依赖先装再用 ,必要时用
raw。 -
包名与发行版强相关,写脚本时用分支判断。
-
密钥生成与部署保持幂等 ,
run_once+authorized_key。 -
敏感信息交互输入或用 Vault,避免明文密码。
-
读报错要抓关键字,一次定位核心问题。
至此,一份可跨发行版的"一键互信" Playbook 就完成了。希望本文能帮你少走弯路,快速把绿色 ok=... failed=0 留在终端。祝运维愉快!