Ansible: SSH-Schlüssel ändern

Question

Ich habe ein Inventar von mehreren Servern. Der SSH-Zugriff auf diese Server wird mithilfe von PEM-Schlüsseldateien gesichert. Ich möchte den von meinen Servern verwendeten PEM-Schlüssel regelmäßig ändern. So würde Ich mag ansible verwenden, Folgendes zu tun:

1. Erzeugen Sie eine neue PEM-Schlüsseldatei
2. Für jeden Server in meinem Inventar, eine Verbindung zum Server mit alter PEM Schlüsseldatei
3. neue PEM installieren Schlüsseldatei
4. Test-SSH mit neuen Schlüsselwerken zu gewährleisten und alte Schlüssel nicht Arbeit

Was ist der beste Weg, dies über ansible zu tun?

Answer 1

Sie sollten dies in drei Spielbücher aufteilen.

Der erste, der einen neuen PEM-Schlüssel generiert. Dies wird lokal ausgeführt. Siehe:

Der zweite wird den Rollout durchführen. Also kopiert es den Schlüssel auf alle Server. Sie können authorized_key oder copy verwenden, je nachdem, was Ihr bevorzugter Workflow ist. Aber das ist eine andere Frage.

Der dritte Schritt wäre dann ein Test-Playbook, vielleicht mit einer assert-Anweisung oder einfach mit Ping, um sicherzustellen, dass die Verbindung funktioniert.

Wenn Sie alle diese Playbooks kombinieren sie in einem einzigen mit enthalten oder fügen Sie diese drei Spiele in einem Playbook in der richtigen Reihenfolge. Siehe: https://docs.ansible.com/ansible/playbooks_intro.html