【发布时间】:2016-04-16 20:49:50
【问题描述】:
先决条件:
- 主机和 git 身份验证通过 ssh 密钥进行
- ssh 密钥转发已启用
- 我们团队的每个用户都使用一个专用的用户帐户 - 无法通过无头用户帐户登录
现在我们要从 git 存储库部署应用程序。这应该很简单,但事实并非如此。
- name: Clone app repo
git:
repo: githost:org/repo.git
dest: /some/location
version: HEAD
force: yes
ssh_opts: -o StrictHostKeyChecking=no
notify:
- Restart app
githost 是我们的 .ssh/config 中的一个条目
上述任务有效。但是存储库(当然)被克隆为执行剧本的用户。我们需要的是:
- 所有文件都应该归无头用户所有,我们称他为
zaphod - 只允许
zaphod读取文件。我们说的是 0600/0700 权限。
以下任务将无法执行,因为使用become 我们将丢失转发的 ssh 密钥,因此 git 身份验证将失败:
- name: Clone app repo
git:
repo: githost:org/repo.git
dest: /some/location
version: HEAD
force: yes
ssh_opts: -o StrictHostKeyChecking=no
notify:
- Restart app
become: yes
become_user: zaphod
以下变体将首先调用一个处理程序,该处理程序在(重新)启动应用程序之前更改结帐的所有权:
- name: Clone app repo
git:
repo: githost:org/repo.git
dest: /some/location
version: HEAD
force: yes
ssh_opts: -o StrictHostKeyChecking=no
notify:
- Fix ownership
- Restart app
这工作一次。但是如果你第二次运行 playbook,git 任务会失败,因为运行 play 的用户没有修改克隆的权限。
我们有一个非常丑陋的解决方案:
- 克隆到 /tmp/foo
- 修复 /tmp/foo 的所有权
rm -rf /some/locationmv /tmp/foo /some/location- 终于(重新)启动应用程序
这样做的问题是:
- 每次执行 playbook 时都会触发重启
- Ansible 摘要显示了 5 个已更改的任务,即使没有发生任何事情 - 除了一开始不需要的重新启动
我在这里有点挑剔,但我只想在某些事情真的改变时改变状态,所以在一个完美的世界中,即使 git 任务也不会改变状态。为此,我没有看到解决方案。因为我们要求克隆的文件只能由 zaphod 访问 - 但 zaphod 本人无法克隆 repo。所以必须有一些操纵是某种形式导致变化。
有什么建议可以以干净的方式改进吗?我不想再添加 20 个任务,包括临时副本、临时更改权限、手动比较文件等等......
当然,自定义编写的模块可以处理所有这些 - 但我更感兴趣的是不需要 2 天的开发和实战测试的东西。 ;-)
【问题讨论】:
-
你不能创建一个
group并将所有需要操作同一个 repo 的人添加到同一个组中。您也不需要“另外 20 项任务”,您可能还可以再完成一项(chmodrepo) - 请参阅此处了解更多详细信息serverfault.com/questions/26954/…
标签: git ansible ansible-playbook git-clone