EEAA's questions

我一直在使用 Ansible 并取得了巨大的成功，大约 3 年了，用于管理不断增长的 linux 系统群。在深入探讨我的问题之前，我需要设置一些上下文。

作为我日常工作的一部分，我为各种公司进行系统设计、部署和维护，这些公司都在一个风险/孵化器公司的保护伞下运营。我们的投资组合公司之间有很多交叉授粉，因此，我们不能说只有用户 A、B 和 C 需要访问公司 X 的系统。他们可能还需要访问 Y 公司的系统。由于每家公司的 ansible 环境都存在于不同的 git 存储库中，这使情况变得复杂。这意味着将用户部署到不同公司的系统时存在大量代码重复。我最终复制/粘贴这样的代码块，以将用户部署到某个公司的系统：

- name: add several users
  user: >
    name={{ item.name }}
    state=present
    groups={{ item.groups }}
    uid={{ item.uid }}
    password={{ item.password }}
    shell=/bin/bash
  with_items:
    - { name: 'user1', groups: 'ssh-access,sudo', uid: '501', password: '<redacted>' }
    - { name: 'user2', groups: 'ssh-access,sudo', uid: '502', password: '<redacted>' }
  tags: users

- name: authorized_keys - user1 
  action: authorized_key user=user1 key="{{ lookup('file', 'pubkeys/user1') }}" manage_dir=yes
  tags:
    - pubkeys
    - users

- name: authorized_keys - user2 
  action: authorized_key user=user2 key="{{ lookup('file', 'pubkeys/user2') }}" manage_dir=yes
  tags:
    - pubkeys
    - users

当我有一个 <5 个用户要管理时，这工作正常，但随着用户群的增长，通过密钥轮换、新密码等来保持最新状态变得越来越繁重。

设置了背景故事和背景，继续我的问题：

假设使用集中式身份验证系统（LDAP 等）不是一种选择，我该如何解决创建各种 ansible playbook 可以使用的集中式用户数据库的问题？我希望能够维护一个包含用户、uid、密码哈希和公钥的中央列表，然后能够将用户（具有自定义的每个主机组成员资格）部署到每个公司的主机。

我正在设想某种游戏结构，例如：

- name: Deploy users
  user_management:
    - { name: "user1", groups: "sudo" }
    - { name: "user1", groups: "sudo" }

...每个用户的 uid、哈希和公钥将从中央列表中提取并照常部署。

那么，我有哪些选择？我已经考虑了很长一段时间，并且无法想出比我已经在做的更好的事情。我可以使用自定义事实文件来保存我的用户数据库吗？

我有一个 cfn 堆栈（除其他外），它创建了一个 VPC、几个安全组和一些 EC2 实例。将在堆栈中创建的安全组分配给也由堆栈创建的实例很简单。但是，我对默认的 VPC SG 很感兴趣。

创建 VPC 时（无论是通过 GUI 手动、通过 cloudformation 还是任何其他方式），AWS 都会为该组中的任何实例创建一个带有“全部允许”规则的默认安全组。

我要做的是将此默认安全组与其他几个 SG 一起分配给堆栈创建的实例。事实证明，这比我预期的要困难得多。以下是一些片段，显示了我正在做的事情：

"AllowSSHSecGroup":{
      "Type":"AWS::EC2::SecurityGroup",
      "Properties":{
        "GroupDescription":"Allow SSH from anywhere",
        "VpcId":{
          "Ref":"DevVPC"
        },
        "SecurityGroupIngress":[
          {
            "IpProtocol":"tcp",
            "FromPort":"22",
            "ToPort":"22",
            "CidrIp":"0.0.0.0/0"
          }
        ]
      }
},
"Instance001" : {
      "Type" : "AWS::EC2::Instance",
      "Properties" : {
        "ImageId" : "ami-7eab224e",
        "InstanceType" : "m1.large",
        "AvailabilityZone" : "us-west-2a",
        "PrivateIpAddress" : "10.22.0.110",
        "SecurityGroupIds" : [ {"Ref" : "AllowSSHSecGroup"} ],
        "SubnetId" : { "Ref" : "PublicSubnet" },
        "KeyName" : "erik-key",
        "DisableApiTermination" : "false",
        "Tags" : [ { "Key": "Name", "Value": "Instance001"} ]
      }
}

在上面的代码片段中，我创建了一个“允许 ssh”安全组并将其分配给一个实例。如前所述，我的堆栈还创建了一个 VPC（此实例在其中启动），这反过来又创建了一个默认安全组。不幸的是，由于这个组是由 AWS 自动创建的，它的组 ID 对堆栈不可用，因此无法通过 ID 引用。我最初认为该SecurityGroups属性将是一个选项，因为这将允许我通过其名称引用默认 SG default，. 但是，这不起作用，因为该SecurityGroups属性仅适用于 EC2 安全组，而不适用于 VPC 安全组。

所以我被困住了。我已经在这方面向 AWS 支持提出了一个案例，但到目前为止，他们并没有提供帮助。关于我如何做到这一点的任何想法？