Ansible-core 2.14 移植指南 

本节讨论 ansible-core 2.13 和 ansible-core 2.14 之间的行为变化。

旨在帮助您更新 playbook、插件和 Ansible 基础架构的其他部分，以便它们能够与 Ansible 的此版本一起使用。

建议您阅读此页面以及 ansible-core 2.14 的变更日志，以了解您可能需要进行哪些更新。

本文档是移植集合的一部分。完整的移植指南列表可以在移植指南中找到。

剧本 

条件 - 由于在 ansible-core 2.14.12 中缓解了安全问题 CVE-2023-5764，带有嵌入式模板块的条件表达式可能会失败，并显示消息“Conditional is marked as unsafe, and cannot be evaluated.”，当嵌入式模板从不受信任的来源（如模块结果或标记为 !unsafe 的变量）中查询数据时。带有嵌入式模板的条件表达式可能是恶意模板注入的来源，当引用不受信任的数据时，几乎总是可以重写为不使用嵌入式模板。剧本任务条件关键字（如 when 和 until）长期以来一直显示警告，不建议在条件表达式中使用嵌入式模板；此警告也已扩展到非任务条件表达式，例如 assert 操作。
```
- name: task with a module result (always untrusted by Ansible)
  shell: echo "hi mom"
  register: untrusted_result

# don't do it this way...
# - name: insecure conditional with embedded template consulting untrusted data
#   assert:
#     that: '"hi mom" is in {{ untrusted_result.stdout }}'

- name: securely access untrusted values directly as Jinja variables instead
  assert:
    that: '"hi mom" is in untrusted_result.stdout'
```
变量现在是延迟评估的；仅在它们实际使用时才进行评估。例如，在 ansible-core 2.14 中，表达式 {{ defined_variable or undefined_variable }} 不会在 undefined_variable 上失败，如果 or 的第一部分被评估为 True，因为它不需要评估第二部分。需要注意的一个特定行为变化案例是下面使用 undefined 测试的任务。在 2.14 版本之前，这会导致尝试访问字典中未定义的值时出现致命错误。在 2.14 中，断言通过，因为字典通过其一个未定义的值被评估为未定义

- assert:
    that:
      - some_defined_dict_with_undefined_values is undefined
  vars:
    dict_value: 1
    some_defined_dict_with_undefined_values:
      key1: value1
      key2: '{{ dict_value }}'
      key3: '{{ undefined_dict_value }}'

命令行 

控制器节点上的 Python 3.9 是此版本的硬性要求。
在启动时，会检查文件系统编码和区域设置以验证它们是否为 UTF-8。如果不是，则进程会退出并报告错误的编码。如果您之前使用的是 C 或 POSIX 区域设置，则可以使用 C.UTF-8。如果您之前使用的是 en_US.ISO-8859-1 等区域设置，则可以使用 en_US.UTF-8。为简单起见，最简单的方法可能是使用 LC_ALL 环境变量导出相应的区域设置。修改系统区域设置的另一种方法是在 UTF-8 模式下运行 Python；有关更多信息，请参阅 Python 文档。