Ansible-core 2.15 移植指南

本节讨论 ansible-core 2.14 和 ansible-core 2.15 之间的行为变化。

旨在帮助您更新剧本、插件和 Ansible 基础设施的其他部分，以便它们能够与 Ansible 的此版本一起使用。

建议您与 2.15 的 ansible-core 变更日志 一起阅读本页，了解您可能需要进行的更新。

本文档是移植集合的一部分。移植指南的完整列表可以在 移植指南 中找到。

剧本

• 条件 - 由于在 ansible-core 2.15.7 中缓解了安全问题 CVE-2023-5764，带有嵌入式模板块的条件表达式可能会出现错误信息“Conditional is marked as unsafe, and cannot be evaluated.”，当嵌入式模板从不受信任的来源（如模块结果或标记为 !unsafe 的变量）查询数据时。带有嵌入式模板的条件语句在引用不受信任的数据时可能是恶意模板注入的来源，并且几乎总是可以重新编写而无需嵌入式模板。剧本任务条件关键字（如 when 和 until）长期以来一直显示警告，不鼓励在条件语句中使用嵌入式模板；此警告已扩展到非任务条件语句，例如 assert 操作。

  - name: task with a module result (always untrusted by Ansible)
    shell: echo "hi mom"
    register: untrusted_result
  
  # don't do it this way...
  # - name: insecure conditional with embedded template consulting untrusted data
  #   assert:
  #     that: '"hi mom" is in {{ untrusted_result.stdout }}'
  
  - name: securely access untrusted values directly as Jinja variables instead
    assert:
      that: '"hi mom" is in untrusted_result.stdout'
  

处理程序

如文档所述，如果已定义多个具有特定名称的处理程序，则添加到剧本中的最后一个处理程序是在被通知时执行的处理程序。在 ansible-core 2.15 之前，对于使用 include_role 任务动态添加到剧本中的处理程序来说情况并非如此。此问题已在 ansible-core 2.15 中得到解决，依赖于 ansible-core 2.14 及更早版本行为的用户可能需要相应地调整其剧本。

作为行为变化的示例，请考虑以下内容

- include_role:
    name: foo
  vars:
    invocation: 1

- block:
   - include_role:
       name: foo
     vars:
       invocation: 2
  when: inventory_hostname == "bar"

- meta: flush_handlers

注意

该示例假定角色 foo 中有一个任务通知角色 foo 中名为 foo_handler 的处理程序。

注意

将不同的变量及其值附加到包含同一角色的 include_role 任务使它们成为不同的角色。

注意

第二次调用 include_role 任务会导致从角色中包含任务和处理程序，无论 when 条件评估结果如何。 when 条件附加到包含 include_role 任务的 block，因此 when 条件应用于在它们包含到剧本中后来自角色的所有任务和处理程序。

在 flush_handlers 任务运行时，所有在 include_role 的第一次调用中被通知为 foo_handler 的主机都已收到通知。此外，主机 bar（由于 when 限制了所有其他主机）在 include_role 的第二次调用期间再次通知 foo_handler。

在 ansible-core 2.15 上，最后添加到的名为 foo_handler 的处理程序来自第二次 include_role 调用，因此它附加了 when: inventory_hostname == "bar"，导致处理程序仅在主机 bar 上运行，并在所有其他主机上跳过。因此，来自主机 bar 的通知已去重。

在 ansible-core 2.14 及更早版本上，来自第一次调用的 foo_handler 在所有主机上运行。此外，来自第二次调用的 foo_handler 再次在主机 bar 上运行。

命令行

• ansible-galaxy search 的返回码现在为 0 而不是 1，当结果为空时，stdout 为空，以与其他 ansible-galaxy 命令保持一致。

弃用

• 向 vars: 提供字典列表已被弃用，有利于提供字典。

  而不是

  vars:
    - var1: foo
    - var2: bar
  

  使用

  vars:
    var1: foo
    var2: bar
  

模块

没有显着变化

已删除的模块

以下模块不再存在

• 没有显着变化

弃用通知

没有显着变化

值得注意的模块更改

没有显着变化

插件

没有显着变化

移植自定义脚本

没有显着变化

网络

没有显着变化