常见问题解答

这里列出了一些常见问题及其答案。

所有模块都去哪里了？

2019 年 7 月，我们宣布集合将成为 Ansible 内容交付的未来。集合是 Ansible 内容的发布格式，可以包含 playbook、角色、模块和插件。在 Ansible 2.9 中，我们添加了对集合的支持。在 Ansible 2.10 中，我们 从主要的 ansible/ansible 存储库中提取了大多数模块 并将它们放置在 集合 中。集合可能由 Ansible 团队、Ansible 社区或 Ansible 合作伙伴维护。 ansible/ansible 存储库 现在包含基本功能和函数的代码，例如将模块代码复制到受管节点。此代码也称为 ansible-core（在 2.10 版本中曾短暂称为 ansible-base）。

• 要了解有关使用集合的更多信息，请参阅 使用 Ansible 集合。

• 要了解有关开发集合的更多信息，请参阅 开发集合。

• 要了解有关为现有集合贡献代码的更多信息，请参阅各个集合存储库以获取指南，或参阅 为 Ansible 维护的集合贡献代码 以为 Ansible 维护的集合之一贡献代码。

特定模块去哪里了？

如果您正在搜索特定模块，您可以查看 runtime.yml 文件，该文件列出了从主要的 ansible/ansible 存储库中提取的每个模块的第一个目标位置。此后，某些模块再次移动。您也可以在 Ansible Galaxy 上搜索或在我们的 聊天频道 上提问。

如何在磁盘速度慢的系统上加快 Ansible 的速度？

在磁盘速度慢的系统（如 Raspberry PI）上，Ansible 可能会感觉速度很慢。请参阅 如果 libyaml 不可用，Ansible 运行速度可能会很慢，以获取有关如何改进此问题的提示。

如何为任务或整个 playbook 设置 PATH 或任何其他环境变量？

可以使用 environment 关键字设置环境变量。它可以在 playbook 中的任务或其他级别使用。

shell:
  cmd: date
environment:
  LANG=fr_FR.UTF-8

hosts: servers
environment:
  PATH: "{{ ansible_env.PATH }}:/thingy/bin"
  SOME: value

注意

从 2.0.1 开始，来自 gather_facts 的 setup 任务也继承了 playbook 中的 environment 指令，如果在 playbook 级别设置此指令，则可能需要使用 |default 过滤器来避免错误。

如何处理不同机器需要不同的用户帐户或端口才能登录的情况？

在清单文件中设置清单变量是最简单的方法。

例如，假设这些主机具有不同的用户名和端口

[webservers]
asdf.example.com  ansible_port=5000   ansible_user=alice
jkl.example.com   ansible_port=5001   ansible_user=bob

您还可以根据需要指定要使用的连接类型

[testcluster]
localhost           ansible_connection=local
/path/to/chroot1    ansible_connection=chroot
foo.example.com     ansible_connection=paramiko

您可能还希望将这些变量保存在组变量中，或将它们保存在 group_vars/<groupname> 文件中。请参阅其余文档以获取有关如何组织变量的更多信息。

如何让 Ansible 重用连接、启用 Kerberized SSH 或让 Ansible 注意我的本地 SSH 配置文件？

在配置文件中将默认连接类型切换到 ssh，或使用 -c ssh 使用 Native OpenSSH 进行连接，而不是使用 python paramiko 库。在 Ansible 1.2.1 及更高版本中，如果 OpenSSH 足够新以支持 ControlPersist 作为选项，则默认情况下将使用 ssh。

Paramiko 非常适合入门，但 OpenSSH 类型提供了许多高级选项。如果您使用此连接类型，则需要从支持 ControlPersist 的足够新的机器上运行 Ansible。您仍然可以管理旧客户端。如果您使用的是 RHEL 6、CentOS 6、SLES 10 或 SLES 11，则 OpenSSH 的版本仍然有点旧，因此请考虑从 Fedora 或 openSUSE 客户端进行管理，即使您正在管理旧节点，或者只使用 paramiko。

我们保留 paramiko 作为默认值，因为如果您首次在这些企业操作系统上安装 Ansible，它会为新用户提供更好的体验。

如何配置跳板主机以访问我无法直接访问的服务器？

您可以在 ansible_ssh_common_args 清单变量中设置 ProxyCommand。连接到相关主机时，此变量中指定的任何参数都会添加到 sftp/scp/ssh 命令行。请考虑以下清单组

[gatewayed]
foo ansible_host=192.0.2.1
bar ansible_host=192.0.2.2

您可以创建 group_vars/gatewayed.yml，内容如下

ansible_ssh_common_args: '-o ProxyCommand="ssh -W %h:%p -q [email protected]"'

尝试连接到 gatewayed 组中的任何主机时，Ansible 将将这些参数附加到命令行。（这些参数与来自 ansible.cfg 的任何 ssh_args 一起使用，因此您不需要在 ansible_ssh_common_args 中重复全局 ControlPersist 设置。）

请注意，ssh -W 仅在 OpenSSH 5.4 或更高版本中可用。对于旧版本，需要在堡垒主机上执行 nc %h:%p 或一些等效命令。

在较早版本的 Ansible 中，需要为 ~/.ssh/config 中的一个或多个主机配置合适的 ProxyCommand，或者通过在 ansible.cfg 中设置 ssh_args 来全局配置。

如何让 Ansible 及时发现目标主机已失效？

您可以使用 SSH 连接插件 中的 ssh_args 参数添加 -o ServerAliveInterval=NumberOfSeconds。如果没有此选项，SSH 以及 Ansible 将一直等到 TCP 连接超时。另一种解决方案是在您的全局 SSH 配置中添加 ServerAliveInterval。ServerAliveInterval 的最佳值需要您自行决定；请记住，ServerAliveCountMax=3 是 SSH 的默认值，因此您设置的任何值在终止 SSH 会话之前都会乘以 3。

如何加快从云提供商（EC2、OpenStack 等）获取服务器的 Ansible 运行速度？

不要尝试从您的笔记本电脑管理云提供商的大量机器。而是先连接到此云提供商内的管理节点，然后从那里运行 Ansible。

如何在远程机器上处理 /usr/bin/python 中没有 Python 解释器的情况？

虽然您可以使用任何语言编写 Ansible 模块，但大多数 Ansible 模块都是用 Python 编写的，包括 Ansible 工作的核心模块。

默认情况下，Ansible 假设它可以在您的远程系统上找到一个 /usr/bin/python，该解释器要么是 Python 2（版本 2.6 或更高版本），要么是 Python 3（3.5 或更高版本）。

在任何主机上设置清单变量 ansible_python_interpreter 将告诉 Ansible 自动用该值替换 Python 解释器。因此，如果系统上的 /usr/bin/python 未指向兼容的 Python 解释器，则可以将其指向系统上的任何 Python。

某些平台可能默认只安装了 Python 3。如果它未安装为 /usr/bin/python，则需要通过 ansible_python_interpreter 配置解释器的路径。虽然大多数核心模块都可以在 Python 3 中工作，但可能有一些特殊用途的模块无法工作，或者您可能会在极端情况下遇到错误。作为临时解决方案，您可以在受管主机上安装 Python 2，并配置 Ansible 通过 ansible_python_interpreter 使用该 Python。如果模块文档中没有提到模块需要 Python 2，您也可以在我们 错误跟踪器 上报告错误，以便在将来的版本中修复不兼容问题。

不要替换 Python 模块的 shebang 行。Ansible 将在部署时自动为您执行此操作。

此外，这适用于任何解释器，例如 ruby：ansible_ruby_interpreter，perl：ansible_perl_interpreter，等等，因此您可以将其用于用任何脚本语言编写的自定义模块，并控制解释器的位置。

请记住，如果在模块的 shebang 行中放置 env（#!/usr/bin/env <other>），则此方法将不起作用，并将被评估为一个字符串（包括 env 和 <other> 之间的空格）。参数既不打算也不受支持。

如何在 Ansible 安装期间处理 Ansible 软件包依赖项所需的软件包依赖项？

在安装 Ansible 时，有时您可能会遇到诸如“未找到软件包‘libffi’”或“致命错误：Python.h：没有此文件或目录”之类的错误。这些错误通常是由缺少的软件包引起的，这些软件包是 Ansible 所需的软件包的依赖项。例如，软件包“libffi”是“pynacl”和“paramiko”的依赖项（Ansible -> paramiko -> pynacl -> libffi）。

为了解决这些类型的依赖项问题，您可能需要使用操作系统本机软件包管理器（如“yum”、“dnf”或“apt”）安装所需的软件包，或者如软件包安装指南中所述。

请参阅相应软件包的文档，了解此类依赖项及其安装方法。

常见平台问题

Red Hat 支持哪些客户平台？

很多！有关完整列表，请参阅此 知识库文章。

在 virtualenv 中运行

您可以非常简单地将 Ansible 安装到控制节点上的 virtualenv 中。

$ virtualenv ansible
$ source ./ansible/bin/activate
$ pip install ansible

如果您想在 Python 3 而不是 Python 2 下运行，则可能需要稍微更改一下。

$ virtualenv -p python3 ansible
$ source ./ansible/bin/activate
$ pip install ansible

如果您需要使用 pip 不可用的任何库（例如，在启用了 SELinux 的系统（如 Red Hat Enterprise Linux 或 Fedora）上的 SELinux Python 绑定），则需要将它们安装到 virtualenv 中。有两种方法。

• 创建 virtualenv 时，指定 --system-site-packages 以使用系统 Python 中安装的任何库。

  $ virtualenv ansible --system-site-packages
  

• 手动复制这些文件。例如，对于 SELinux 绑定，您可以执行以下操作：

  $ virtualenv ansible --system-site-packages
  $ cp -r -v /usr/lib64/python3.*/site-packages/selinux/ ./py3-ansible/lib64/python3.*/site-packages/
  $ cp -v /usr/lib64/python3.*/site-packages/*selinux*.so ./py3-ansible/lib64/python3.*/site-packages/
  

在 macOS 上作为控制节点运行

当在使用 macOS 作为控制节点机器的系统上执行 Ansible 时，可能会遇到以下错误。

错误

+[__NSCFConstantString initialize] 在调用 fork() 时可能已在另一个线程中进行。我们无法在 fork() 子进程中安全地调用它或忽略它。改为崩溃。在 objc_initializeAfterForkError 上设置断点以进行调试。错误！在死状态下发现了工作进程。

通常，建议的解决方法是在 shell 中设置以下环境变量：

$ export OBJC_DISABLE_INITIALIZE_FORK_SAFETY=YES

在 macOS 上作为目标运行

当通过 SSH 管理 macOS Monterey 12、macOS Ventura 13 或更高版本的系统时，可能会发生以下错误。

错误

“eDSPermissionError” DS 错误：-14120（eDSPermissionError）

这很可能是因为尚未启用“允许远程用户完全访问磁盘”。

另请参阅

有关更多详细信息，请查看 Apple 官方用户指南文章。

在 BSD 上运行

另请参阅

使用 Ansible 管理 BSD 主机。

在 Solaris 上运行

默认情况下，Solaris 10 及更早版本运行非 POSIX shell，该 shell 无法正确扩展 Ansible 使用的默认 tmp 目录（~/.ansible/tmp）。如果您在 Solaris 机器上看到模块错误，这很可能是问题所在。有几种解决方法。

• 您可以将 remote_tmp 设置为您正在使用的 shell 可以正确扩展的路径（请参阅 C shell、fish shell 和 Powershell 的插件文档）。例如，在 ansible 配置文件中，您可以设置：

  remote_tmp=$HOME/.ansible/tmp
  

  在 Ansible 2.5 及更高版本中，您也可以在清单中按主机设置它，如下所示：

  solaris1 ansible_remote_tmp=$HOME/.ansible/tmp
  

• 您可以将 ansible_shell_executable 设置为 POSIX 兼容 shell 的路径。例如，许多 Solaris 主机在 /usr/xpg4/bin/sh 中都安装了 POSIX shell，因此您可以在清单中进行如下设置：

  solaris1 ansible_shell_executable=/usr/xpg4/bin/sh
  

  （如果您安装了 bash、ksh 和 zsh，它们也应该是 POSIX 兼容的）。

在 z/OS 上运行

尝试在 z/OS 上执行 Ansible 作为目标时，可能会遇到一些常见的错误。

• z/OS 的 python 2.7.6 版本无法与 Ansible 一起使用，因为它在内部将字符串表示为 EBCDIC。

  为了解决此限制，请下载并安装更高版本的 z/OS 的 python（2.7.13 或 3.6.1），该版本在内部将字符串表示为 ASCII。版本 2.7.13 已验证可以正常工作。

• 当 /etc/ansible/ansible.cfg 中的 pipelining = False 时，Ansible 模块将以二进制模式通过 sftp 传输，但是 python 的执行将失败，并显示以下错误：

  错误

  SyntaxError: 文件 /a/user1/.ansible/tmp/ansible-tmp-1548232945.35-274513842609025/AnsiballZ_stat.py 第 1 行中出现以 '\x83' 开头的非 UTF-8 代码，但未声明编码；有关详细信息，请参阅 https://www.pythonlang.cn/dev/peps/pep-0263/

  要解决此问题，请在/etc/ansible/ansible.cfg中设置pipelining = True。

• 在目标主机上，默认位置/usr/bin/python中找不到Python解释器。

  错误

  /usr/bin/python: EDC5129I 没有此文件或目录

  要解决此问题，请在您的清单中设置Python安装路径，如下所示

  zos1 ansible_python_interpreter=/usr/lpp/python/python-2017-04-12-py27/python27/bin/python
  

• Python启动失败，出现The module libpython2.7.so was not found.错误。

  错误

  EE3501S 未找到模块libpython2.7.so。

  在z/OS上，您必须从gnu bash执行python。如果gnu bash安装在/usr/lpp/bash，则可以通过指定ansible_shell_executable来解决此问题。

  zos1 ansible_shell_executable=/usr/lpp/bash/bin/bash
  

在fakeroot下运行

由于fakeroot默认情况下不会创建完整的或符合POSIX标准的系统，因此会出现一些问题。已知它无法正确扩展Ansible使用的默认tmp目录（~/.ansible/tmp）。如果看到模块失败，则很可能是这个问题。简单的解决方法是将remote_tmp设置为将正确扩展的路径（有关详细信息，请参阅您正在使用的shell插件的文档）。

例如，在ansible配置文件（或通过环境变量）中，您可以设置

remote_tmp=$HOME/.ansible/tmp

如何以最佳方式使内容可重用/可重新分发？

如果您尚未这样做，请阅读手册中关于“角色”的所有内容。这有助于您使剧本内容自包含，并与Git子模块等内容一起很好地工作，以便与其他人共享内容。

如果其中一些插件类型看起来很奇怪，请参阅API文档以获取有关Ansible扩展方式的更多详细信息。

配置文件在哪里以及可以在其中配置什么？

请参阅配置Ansible。

如何禁用cowsay？

如果安装了cowsay，Ansible会主动在运行剧本时让您的一天更快乐。如果您决定希望在没有奶牛的专业环境中工作，您可以卸载cowsay，在ansible.cfg中设置nocows=1，或设置ANSIBLE_NOCOWS环境变量

export ANSIBLE_NOCOWS=1

如何查看所有ansible_变量的列表？

Ansible默认情况下会收集受管理机器的“事实”，并且可以在剧本和模板中访问这些事实。要查看有关机器的所有可用事实的列表，您可以将setup模块作为临时操作运行

ansible -m setup hostname

这将打印出所有可用于该特定主机的已知事实的字典。您可能希望将输出通过管道传递到分页器。这**不**包括清单变量或内部“魔术”变量。如果您需要的不只是“事实”，请参阅下一个问题。

如何查看为我的主机定义的所有清单变量？

通过运行以下命令，您可以查看主机的清单变量

ansible-inventory --list --yaml

如何查看我的主机特有的所有变量？

要查看所有主机特定的变量，其中可能包括事实和其他来源

ansible -m debug -a "var=hostvars['hostname']" localhost

除非您使用事实缓存，否则通常需要首先使用收集事实的剧本，以便在上述任务中包含事实。

如何在模板内部循环遍历组中的主机列表？

一个非常常见的模式是在主机组内部迭代主机列表，也许是为了使用服务器列表填充模板配置文件。为此，您只需访问模板中的“$groups”字典，如下所示

{% for host in groups['db_servers'] %}
    {{ host }}
{% endfor %}

如果您需要访问这些主机的事实，例如每个主机名的IP地址，则需要确保已填充事实。例如，确保您有一个与db_servers通信的剧本

- hosts:  db_servers
  tasks:
    - debug: msg="doesn't matter what you do, just that they were talked to previously."

然后，您可以在模板中使用事实，如下所示

{% for host in groups['db_servers'] %}
   {{ hostvars[host]['ansible_eth0']['ipv4']['address'] }}
{% endfor %}

如何以编程方式访问变量名？

可能会出现一个示例，我们需要获取任意接口的ipv4地址，其中要使用的接口可以通过角色参数或其他输入提供。变量名可以通过使用“~”将字符串加在一起构建，如下所示

{{ hostvars[inventory_hostname]['ansible_' ~ which_interface]['ipv4']['address'] }}

遍历hostvars的技巧是必要的，因为它包含变量的整个命名空间的字典。inventory_hostname是一个魔术变量，指示您在主机循环中循环遍历的当前主机。

在上面的示例中，如果您的接口名称包含连字符，则必须将其替换为下划线。

{{ hostvars[inventory_hostname]['ansible_' ~ which_interface | replace('_', '-') ]['ipv4']['address'] }}

另请参阅dynamic_variables。

如何访问组变量？

从技术上讲，您不能，Ansible不会直接使用组。组是主机选择和批量分配变量的标签，它们不是第一类实体，Ansible只关心主机和任务。

也就是说，您可以通过选择属于该组的主机来访问变量，请参阅下面的first_host_in_a_group以获取示例。

如何访问组中第一个主机的变量？

如果我们想要webservers组中第一个web服务器的ip地址会发生什么？好吧，我们也可以做到这一点。请注意，如果我们使用动态清单，哪个主机是“第一个”可能不一致，因此除非您的清单是静态且可预测的，否则您不希望这样做。（如果您使用的是AWX或Red Hat Ansible Automation Platform，它将使用数据库顺序，因此即使您使用基于云的清单脚本，这也不是问题）。

无论如何，这是诀窍

{{ hostvars[groups['webservers'][0]]['ansible_eth0']['ipv4']['address'] }}

请注意，我们是如何提取webservers组中第一台机器的主机名的。如果您在模板中执行此操作，您可以使用Jinja2的“#set”指令来简化此操作，或者在剧本中，您也可以使用set_fact

- set_fact: headnode={{ groups['webservers'][0] }}

- debug: msg={{ hostvars[headnode].ansible_eth0.ipv4.address }}

请注意，我们如何将方括号语法替换为点 - 这可以在任何地方完成。

如何将文件递归复制到目标主机？

copy模块有一个递归参数。但是，如果您想对大量文件执行更有效的操作，请查看synchronize模块。synchronize模块包装了rsync。请参阅模块索引以获取有关这两个模块的信息。

如何访问shell环境变量？

**在控制节点机器上：**访问来自控制节点的现有变量，使用env查找插件。例如，要访问管理机器上HOME环境变量的值

---
# ...
  vars:
     local_home: "{{ lookup('env','HOME') }}"

**在目标机器上：**环境变量可通过ansible_env变量中的事实获得。

{{ ansible_env.HOME }}

如果您需要为TASK执行设置环境变量，请参阅设置远程环境（在高级剧本部分）。有几种方法可以在目标机器上设置环境变量。您可以使用template、replace或lineinfile模块将环境变量引入文件。要编辑的确切文件因您的操作系统、发行版和本地配置而异。

如何为user模块生成加密密码？

Ansible临时命令是最简单的选择

ansible all -i localhost, -m debug -a "msg={{ 'mypassword' | password_hash('sha512', 'mysecretsalt') }}"

大多数Linux系统上都可用的mkpasswd实用程序也是一个不错的选择

mkpasswd --method=sha-512

如果您的系统上未安装此实用程序（例如，您使用的是macOS），那么您仍然可以使用Python轻松生成这些密码。首先，确保已安装Passlib密码哈希库

pip install passlib

库准备就绪后，可以按如下方式生成SHA512密码值

python -c "from passlib.hash import sha512_crypt; import getpass; print(sha512_crypt.using(rounds=5000).hash(getpass.getpass()))"

使用集成的字符串和密码的哈希和加密生成密码的哈希版本。您不应在剧本或host_vars中放置纯文本密码；而应使用使用加密变量和文件加密敏感数据。

在OpenBSD中，基本系统中提供了类似的选项，称为encrypt (1)

Ansible允许使用点表示法和数组表示法表示变量。我应该使用哪种表示法？

点表示法来自Jinja，对于没有特殊字符的变量来说效果很好。如果您的变量包含点(.)、冒号(:)或连字符(-)，如果键以两个下划线开头和结尾，或者如果键使用任何已知的公共属性，则使用数组表示法更安全。请参阅使用变量以获取已知公共属性的列表。

item[0]['checksum:md5']
item['section']['2.1']
item['region']['Mid-Atlantic']
It is {{ temperature['Celsius']['-3'] }} outside.

此外，数组表示法允许动态变量组合，请参阅dynamic_variables。

“点表示法”的另一个问题是，某些键可能会导致问题，因为它们与python字典的属性和方法发生冲突。

• item为字典时，语法错误示例

item.update

此变体导致语法错误，因为update()是字典的Python方法。

• 正确语法示例

item['update']

何时不建议从变量批量设置任务参数？

您可以从字典类型的变量设置任务的所有参数。此技术在某些动态执行场景中可能很有用。但是，它引入了安全风险。我们不建议这样做，因此当您执行类似操作时，Ansible会发出警告

#...
vars:
  usermod_args:
    name: testuser
    state: present
    update_password: always
tasks:
- user: '{{ usermod_args }}'

此特定示例是安全的。但是，构建这样的任务存在风险，因为传递给usermod_args的参数和值可能会被受损目标机器上的host facts中的恶意值覆盖。为了降低这种风险

• 在优先级顺序高于host facts的级别设置批量变量，优先级顺序请参见变量优先级：我应该在哪里放置变量？（上面的示例是安全的，因为 playbook 变量优先于 facts）

• 禁用INJECT_FACTS_AS_VARS配置设置，以防止 fact 值与变量冲突（这也会禁用原始警告）

我可以获得关于 Ansible 的培训吗？

是的！请参阅我们的服务页面，了解我们的服务和培训产品。发送邮件至info@ansible.com以获取更多详细信息。

我们还会定期提供免费的网络培训课程。请参阅我们的网络研讨会页面，了解即将举行的网络研讨会的更多信息。

是否有 Web 界面/REST API/GUI？

是的！开源 Web 界面是 Ansible AWX。支持的 Red Hat 产品使 Ansible 更加强大和易于使用，是Red Hat Ansible Automation Platform。

如何在 playbook 中保存秘密数据？

如果您希望在 Ansible 内容中保存秘密数据，并将其公开共享或保存在源代码控制中，请参阅使用加密变量和文件。

如果您有一个任务，您不希望在使用 -v（详细）模式时显示其结果或给定的命令，则以下任务或 playbook 属性可能会有用

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

这可以用来保留详细输出，但隐藏对其他人（他们可能希望能够查看输出）的敏感信息。

no_log 属性也可以应用于整个 playbook

- hosts: all
  no_log: True

尽管这会使 playbook 难以调试。建议仅在 playbook 完成后将其应用于单个任务。请注意，使用no_log属性不会阻止在通过ANSIBLE_DEBUG环境变量调试 Ansible 本身时显示数据。

我应该何时使用 {{ }}？另外，如何插值变量或动态变量名？

一个不变的规则是“始终使用{{ }}，除非when:”。条件始终通过 Jinja2 运行以解析表达式，因此when:、failed_when:和changed_when:始终是模板化的，您应该避免添加{{ }}。

在大多数其他情况下，您应该始终使用括号，即使以前您可以在不指定的情况下使用变量（例如loop或with_子句），因为这使得难以区分未定义变量和字符串。

另一个规则是“胡须不能叠加”。我们经常看到这样

{{ somevar_{{other_var}} }}

如果需要使用动态变量，则上述方法不会按预期工作，请根据需要使用以下方法

{{ hostvars[inventory_hostname]['somevar_' ~ other_var] }}

对于“非主机变量”，您可以使用vars 查找插件

{{ lookup('vars', 'somevar_' ~ other_var) }}

要确定某个关键字是否需要{{ }}甚至是否支持模板化，请使用ansible-doc -t keyword <name>，这将返回有关该关键字的文档，包括一个template字段，其值可以是explicit（需要{{ }}）、implicit（假设{{ }}，因此不需要）或static（不支持模板化，所有字符都将按字面解释）

当我委托任务时，如何获取原始 ansible_host？

如文档所述，连接变量取自delegate_to主机，因此ansible_host被覆盖，但您仍然可以通过hostvars访问原始主机。

original_host: "{{ hostvars[inventory_hostname]['ansible_host'] }}"

这适用于所有被覆盖的连接变量，例如ansible_user、ansible_port等。

在获取文件时如何修复“协议错误：文件名与请求不匹配”？

从 OpenSSH 的7.9p1版本开始，SCP 客户端中存在一个错误，当使用 SCP 作为文件传输机制时，该错误可能会在 Ansible 控制节点上触发。

错误

无法将文件传输到 /tmp/ansible/file.txtrnprotocol 错误：文件名与请求不匹配

在这些版本中，SCP 尝试验证要获取的文件路径是否与请求的路径匹配。如果远程文件名需要使用引号转义其路径中的空格或非 ASCII 字符，则验证将失败。为避免此错误

• 确保您使用的是 SFTP，它是安全、速度和可靠性的最佳传输方法。检查您是否正在执行以下操作之一

  • 依赖于默认设置，即smart - 如果ssh_transfer_method未在任何地方显式设置，则此方法有效

  • 在清单中设置主机变量或组变量：ansible_ssh_transfer_method: smart

  • 在控制节点上设置环境变量：export ANSIBLE_SSH_TRANSFER_METHOD=smart

  • 在运行 Ansible 时传递环境变量：ANSIBLE_SSH_TRANSFER_METHOD=smart ansible-playbook

  • 修改您的ansible.cfg文件：在[ssh_connection]部分添加ssh_transfer_method=smart。smart设置尝试使用sftp进行传输，然后回退到scp，然后是dd。如果希望在 SFTP 不可用时传输失败，请在[ssh_connection]部分添加ssh_transfer_method=sftp。

• 如果必须使用 SCP，请设置-T参数以告诉 SCP 客户端忽略路径验证。您可以通过以下三种方式之一执行此操作

  • 设置主机变量或组变量：ansible_scp_extra_args=-T，

  • 导出或传递环境变量：ANSIBLE_SCP_EXTRA_ARGS=-T

  • 修改您的ansible.cfg文件：在[ssh_connection]部分添加scp_extra_args=-T

注意

如果您在使用-T时看到invalid argument错误，则您的 SCP 客户端未执行文件名验证，并且不会触发此错误。

Ansible 是否支持多因素身份验证 2FA/MFA/生物识别/指纹/USB 密钥/OTP/…

不，Ansible 旨在对多个目标执行多个任务，最大程度地减少用户交互。与大多数自动化工具一样，它与旨在处理人工交互的交互式安全系统不兼容。大多数这些系统都需要每个目标的二次提示，这会阻止扩展到数千个目标。它们还往往具有非常短的到期时间，因此需要频繁重新授权，这也是许多主机和/或长时间任务存在的问题。

在这样的环境中，我们建议围绕 Ansible 的执行进行安全保护，但仍允许它使用不需要此类措施的“自动化用户”。使用 AWX 或Red Hat Ansible Automation Platform，管理员可以设置对清单的 RBAC 访问权限，以及管理凭据和作业执行。

“validate”选项不能满足我的需求，我该怎么办？

许多用于创建或更新文件的 Ansible 模块都具有一个 validate 选项，允许您在验证命令失败时中止更新。这使用 Ansible 在进行最终更新之前创建的临时文件。在许多情况下，这不起作用，因为特定应用程序的验证工具需要特定的名称、多个文件或此简单功能中不存在的其他因素。

对于这些情况，您必须自己处理验证和恢复。以下是使用 block/rescue 和备份执行此操作的简单示例，大多数基于文件的模块也支持这些功能。

- name: maintain config and backout if validation after change fails
  block:
    - name: do the actual update, works with copy, lineinfile and any action that allows for `backup`.
      template: src=template.j2 dest=/x/y/z backup=yes moreoptions=stuff
      register: updated

    - name: run validation, this will change a lot as needed. We assume it returns an error when not passing, use `failed_when` if otherwise.
      shell: run_validation_commmand
      become: true
      become_user: requiredbyapp
      environment:
        WEIRD_REQUIREMENT: 1
      when: updated is changed
 rescue:
    - name: restore backup file to original, in the hope the previous configuration was working.
      copy:
         remote_src: true
         dest: /x/y/z
         src: "{{ updated['backup_file'] }}"
      when: updated is changed
 always:
    - name: We choose to always delete backup, but could copy or move, or only delete in rescue.
      file:
         path: "{{ updated['backup_file'] }}"
         state: absent
      when: updated is changed

为什么 regex_search 过滤器返回 None 而不是空字符串？

在 Jinja2 2.10 版本之前，Jinja 只能返回字符串，但在某些情况下 Ansible 需要 Python 对象。Ansible 使用 safe_eval，并且仅通过此函数发送看起来像某些类型 Python 对象的字符串。对于 regex_search 未找到匹配项的情况，结果 (None) 会转换为字符串“None”，这在非原生 Jinja2 中没有用处。

以下单个模板操作的示例显示了此行为

{{ 'ansible' | regex_search('foobar') }}

此示例不会导致 Python None，因此 Ansible 在历史上将其转换为“” (空字符串)。

原生的 Jinja2 功能实际上允许我们返回完整的 Python 对象，这些对象始终在任何地方都表示为 Python 对象，因此使用 regex_search 的单个模板操作的结果可能导致 Python None。

注意

当 regex_search 用作中间结果，然后与 Jinja2 none 测试进行比较时，不需要原生的 Jinja2 功能。

{{ 'ansible' | regex_search('foobar') is none }}

如何提交文档更改？

Ansible 的文档保存在主项目 Git 存储库中，贡献的完整说明可以在 docs README 中找到 在 GitHub 上查看。谢谢！

ansible.legacy 和 ansible.builtin 集合有什么区别？

两者都不是真正的集合。它们是由核心引擎虚拟构建的（合成集合）。

ansible.builtin 集合仅指与 ansible-core 一起提供的插件。

ansible.legacy 集合是 ansible.builtin 的超集（您可以通过 ansible.legacy 引用内置插件）。您还可以将“自定义”插件添加到 配置的路径和相邻目录 中，并能够覆盖具有相同名称的内置插件。

此外，当您未指定 FQCN 时， ansible.legacy 是默认获得的。所以这个

- shell: echo hi

实际上等同于

- ansible.legacy.shell: echo hi

但是，如果您没有覆盖 shell 模块，您也可以将其编写为 ansible.builtin.shell，因为 legacy 将解析为内置集合。

我在这里没有看到我的问题

如果您没有找到问题的答案，请咨询社区！访问 Ansible 通信指南 获取详细信息。

另请参阅

使用剧本

剧本简介

Ansible 提示和技巧

剧本技巧

沟通

有问题？需要帮助？想分享您的想法？访问 Ansible 通信指南