Como ignorar a verificação de autenticação SSH ansível?

Existe uma maneira de ignorar a verificação de autenticidade do SSH feita pelo Ansible? Por exemplo, quando acabei de configurar um novo servidor, tenho que responder sim a esta pergunta:

GATHERING FACTS ***************************************************************
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:yy:zz:....
Are you sure you want to continue connecting (yes/no)?

Sei que geralmente é uma má idéia, mas estou incorporando isso em um script que primeiro cria um novo servidor virtual no meu provedor de nuvem e depois chama automaticamente meu manual ansible para configurá-lo. Eu quero evitar qualquer intervenção humana no meio da execução do script.

Duas opções - a primeira, como você disse em sua própria resposta, é definir a variável de ambiente ANSIBLE_HOST_KEY_CHECKING como False.

A segunda maneira de configurá-lo é colocá-lo em um arquivo ansible.cfg, e essa é uma opção realmente útil, pois você pode configurá-lo globalmente (no nível do sistema ou do usuário, no /etc/ansible/ansible.cfgou~/.ansible.cfg ) ou em um arquivo de configuração no mesmo diretório como o manual que você está executando.

Para fazer isso, crie um ansible.cfgarquivo em um desses locais e inclua o seguinte:

[defaults]
host_key_checking = False

Você também pode definir muitos outros padrões úteis lá, como coletar ou não fatos no início de uma peça, mesclar hashes declarados em vários locais ou substituir um por outro, e assim por diante. Há uma lista grande de opções aqui nos documentos Ansible.

Edit: uma nota sobre segurança.

A validação da chave do host SSH é uma camada de segurança significativa para hosts persistentes - se você estiver se conectando à mesma máquina várias vezes, é valioso aceitar a chave do host localmente.

Para instâncias do EC2 de maior duração, faria sentido aceitar a chave do host com uma tarefa executada apenas uma vez na criação inicial da instância:

  - name: Write the new ec2 instance host key to known hosts
    connection: local
    shell: "ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts"

Não há valor de segurança para verificar as chaves do host nas instâncias em que você se levanta dinamicamente e remove logo após a execução do playbook, mas há valor de segurança na verificação de máquinas persistentes nas chaves do host. Portanto, você deve gerenciar a verificação de chave do host de maneira diferente por ambiente lógico.

• Deixe a verificação ativada por padrão (em ~/.ansible.cfg )
• Desabilite a verificação de chave do host no diretório de trabalho para playbooks executados em instâncias efêmeras ( ./ansible.cfgjunto com o playbook para testes de unidade contra VMs vagantes, automação para instâncias ec2 de curta duração)

Encontrei a resposta, você precisa definir a variável de ambiente ANSIBLE_HOST_KEY_CHECKINGpara False. Por exemplo:

ANSIBLE_HOST_KEY_CHECKING=False ansible-playbook ...

encaminhar para nikobelia

Para aqueles que usam o jenkins para executar o play book, acabei de adicionar ao meu trabalho do jenkins antes de executar o ansible-playbook a variável de ambiente ANSIBLE_HOST_KEY_CHECKING = False Por exemplo, isto:

export ANSIBLE_HOST_KEY_CHECKING=False
ansible-playbook 'playbook.yml' \
--extra-vars="some vars..." \
--tags="tags_name..." -vv

Mudar host_key_checkingpara falsepara todos os hosts é uma idéia muito ruim.

A única vez que você deseja ignorá-lo é no "primeiro contato", que essas duas tarefas realizarão:

    - name: Check SSH known_hosts for {{ inventory_hostname }}
      local_action: shell ssh-keygen -F {{ inventory_hostname }}
      register: checkForKnownHostsEntry
      failed_when: false
      changed_when: false
      ignore_errors: yes
    - name: Add {{ inventory_hostname }} to SSH known hosts automatically
      when: checkForKnownHostsEntry.rc == 1
      changed_when: checkForKnownHostsEntry.rc == 1
      set_fact:
        ansible_ssh_common_args: '-o StrictHostKeyChecking=no'

Portanto, apenas desabilitamos a verificação da chave do host se não tivermos a chave do host em nosso known_hostsarquivo.

Você pode transmiti-lo como argumento de linha de comando enquanto executa o manual:

ansible-playbook play.yml --ssh-common-args='-o StrictHostKeyChecking=no'

Se você não deseja modificar ansible.cfgou o playbook.yml, basta definir uma variável de ambiente:

export ANSIBLE_HOST_KEY_CHECKING=False

Use o parâmetro nomeado como validate_certs para ignorar a validação ssh

- ec2_ami:
    instance_id: i-0661fa8b45a7531a7
    wait: yes
    name: ansible
    validate_certs: false
    tags:
      Name: ansible
      Service: TestService

Ao fazer isso, ele ignora o processo de validação ssh

Sei que a pergunta foi respondida e está correta também, mas só queria vincular o documento ansible, onde é explicado claramente quando e por que a respectiva verificação deve ser adicionada: verificação da chave do host

A maioria dos problemas aparece quando você deseja adicionar um novo host ao inventário dinâmico (via módulo add_host) no manual. Não quero desativar permanentemente a verificação de host de impressão digital, para soluções como desativá-lo em um arquivo de configuração global não são aceitáveis ​​para mim. Exportar var como ANSIBLE_HOST_KEY_CHECKINGantes de executar o playbook é outra coisa a ser feita antes da execução que precisa ser lembrada.

É melhor adicionar o arquivo de configuração local no mesmo diretório em que está o manual. Crie um arquivo nomeado ansible.cfge cole o seguinte texto:

[defaults]
host_key_checking = False

Não há necessidade de lembrar de adicionar algo em ambientes ou adicionar ansible-playbookopções. É fácil colocar esse arquivo no repositório ansible do git.