我按照以下准则使用了Ansible创建了一个gce集群:https://docs.ansible.com/ansible/latest/scenario_guides/guide_gce.html
在GCE创建结束时,我使用了add_host Ansible模块将所有实例注册到其对应的组中。 e.g. gce_master_ip
但是当我尝试在创建任务之后运行以下任务时,它们将无法工作:
- name: Create redis on the master
hosts: gce_master_ip
connection: ssh
become: True
gather_facts: True
vars_files:
- gcp_vars/secrets/auth.yml
- gcp_vars/machines.yml
roles:
- { role: redis, tags: ["redis"] }
在auth.yml文件中,我已经提供了服务帐户电子邮件,json凭证文件的路径和项目ID。但是显然这还不够。我收到如下错误:
UNREACHABLE! => {"changed": false, "msg": "Failed to connect to the host via ssh: Permission denied (publickey).\r\n", "unreachable": true}
这是不允许或不提供的典型ssh用户名和凭据。在这种情况下,我会说我没有为Ansible将用于进行连接的ssh连接设置用户名和私钥。
我应该做些什么来确保提供了相应的凭据来建立连接吗?
在搜索过程中,我认为一个问题刚刚提到您可以使用gcloud compute ssh...命令。但是,有没有一种方法可以在Ansible中指定不使用经典的ssh而使用gcloud呢?
答案 0 :(得分:6)
要在实例上使用Ansible SSH并对其进行配置,您需要为Ansible实例上的用户接受的匹配公共密钥提供Ansible私钥和用户。 GCP为GCE实例提供了automate and manage key distribution的几种方式。
例如,您可以使用OS Login功能来管理密钥。要使用OS登录:
gcloud compute os-login ssh-keys add --key-file [KEY_FILE_PATH] --ttl [EXPIRE_TIME](其中--ttl指定您希望此公共密钥可以使用多长时间-对于例如--ttl 1d将使其在1天后过期)ansible_user和ansible_ssh_private_key_file库存参数,或将--private-key和--user参数传递到ansible-playbook来完成此操作。