[Infra] IaC Ansible을 이용한 Client(클라이언트) 서버 계정 만들기

 

앤서블 철저 입문:Ansible로 클라우드 구성 관리 자동화하기

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

🚀 IaC Ansible을 이용한 Client(클라이언트) 서버 계정 만들기

    🔽 개요

        📦 소개

이번에 할 작업은 꽤 많은 우분투(Ubuntu) 가상 머신(Virtual Machine)에 Ansible을 이용해서 크루(crew)들의 계정을 만들어 주려고 해요.

우분투 가상 머신이 꽤 많기도 하고, 함께 프로젝트 하는 분들도 많기 때문에 하나하나 수작업으로 만들기엔 너무 할 일도 많고, 그렇게 한다면 진정한 IT인이 아니라고 생각해요!

Ansible에 대한 구축 방법은 이 곳에 남겨 두었으니 많은 관심 부탁드립니다.

 

 

 

    🔽 Ansible

        📦 Client(클라이언트) Server(서버) 연결

Ansible에서 각각의 클라이언트에게 작업을 할당하기 위해서 SSH를 이용해 연결하고, 통신하고, 작업을 하는 방식을 사용하고 있어요. 그렇기 때문에 각 클라이언트와 SSH 통신이 가능하도록 작업 해주어야 해요.

이 때, 매번 계정을 입력하기엔 번거롭기도 하고, 자동으로 연결하게 할 때, 계정을 입력할 수 없기 때문에 이 전에 만들었던SSH Key를 가지고, 각각의 대상 클라이언트 서버에 배포하는 작업을 해 줄 거에요.

이번 글에서는 하나의 클라이언트를 대상으로 작업을 해보려고 해요.

위 서버를 가지고 작업해 볼게요.

최초 대상 클라이언트에 SSH를 통해 root로 접속이 가능하게 작업을 해줘야 해요.

하지만, root는 슈퍼 권한 즉, 슈퍼 유저(Super User)이기 때문에 보안을 조금 신경써 보도록 할거에요.

이 내용은 이 곳에 정성스럽게 준비 해 두었어요. 많은 관심 부탁드립니다.

ssh-copy-id -p <SSH Port 번호> <SSH 접속할 대상 서버 계정>@<SSH 접속할 대상 서버 IP>

 

위와 같이 Ansible에서 대상 클라이언트에게 SSH Key를 전달하기 위해 작업 해 주었어요.

참고로 주니는 SSH Port(포트)를 바꿔 사용하기 있기 때문에 -p Option(옵션)을 주었지만, 기본 포트를 사용한다면 사용하지 않아도 됩니다.

ssh <SSH 접속할 대상 서버 계정>@<SSH 접속할 대상 서버 IP> -p <SSH Port 번호>

 

위와 같이 SSH를 통해 접속 시도를 해보면 계정을 묻지 않고, 바로 로그인이 되는걸 확인할 수 있어요.

ssh-copy-id -p <SSH Port 번호> <SSH 접속할 대상 서버 계정>@<SSH 접속할 대상 서버 IP>

728x90

그런 뒤 Ansible Docker Container(도커 컨테이너) 자신에게도 위와 같이 SSH Key를 전달해 주었어요.

💡 참고 사항
Ansible Module Option

∙ -i (--inventory-file) : 적용 대상 클라이언트들에 대한 파일 정보.
   해당 옵셥 사용 시 /etc/ansible/hosts가 아닌 지정 위치에 파일을 읽어 적용 대상 클라이언트 관리.

∙ -m (--mocule-name) : Module 선택.

∙ -k (--ask-pass): 관리자 암호 요청.

∙ -K (--ask-become-pass) : 관리자 권한 상승.

∙ --list-hosts : 적용 대상 클라이언트 목록 정보.

∙ 멱등성 특징
   - 같은 설정을 여러번 적용하더라도 결과가 달라지지 않고, 한번만 적용되는 성질
   - 예시:) echo -e "[giggalgroup]\n172.20.10.22" >> /etc/ansible/hosts

 

vim /etc/ansible/hosts

 

그리고 위와 같이 대상 클라이언트를 등록해 주었어요.
이 곳을 Ansible Inventory라고 불러요.

대괄호 안에 있는 문자열은 클라이언트들을 묶을 group의 이름을 지정해 준 것이에요.

 

 

 

        📦 Ansible 기초 사용

최초 Ansible Module 관련 문서는 이 곳을 참고해 주시면 좋을 거 같아요.

 

ansible all -m ping

 

위 명령어는 모든 대상 클라이언트에게 ping Test(핑 테스트)를 하라는 명령어에요.

현재 주니는 SSH를 22번 포트로 쓰고 있지 않기 때문에 위와 같이 문제가 발생하였어요.
주니와 같이 22번 포트가 아니라면 ping은 기본적인 기능만 제공하는 Module(모듈)이기 때문에 SSH 포트를 따로 설정할 순 없어요.

 

 

ansible <Group Name> -m ping

 

위와 같이 특정 그룹에만 적용하여 명령어를 날릴 수도 있어요.

vim /etc/ansible/hosts

 

위와 같이 22번 포트가 아닌 다른 번호를 사용함으로 발생하는 문제는 위와 같이 해결할 수 있어요.
ansible_port 라는 것을 이용해서 SSH 포트 번호를 입력해 주면 해결 할 수 있어요.

 

위에서 실패했던 것들을 위와 같이 해결한 모습이에요.

 

ansible all -m shell -a "free -h"

 

이렇게 대상 클라이언트에게 명령어를 입력하게 할 수도 있어요.

# free -h 명령어는 Memory 정보를 GB단위로 확인할 수 있는 명령어에요.

        📦 Ansible을 이용하여 클라이언트(Linux - 리눅스) 사용자 계정 만들기

이번에는 연결된 클라이언트에 사용자 계정을 만들어 보려고 해요.

그 전에 사용자들이 소속될 Group(그룹)을 만들어 줄건데, 그룹은 한번만 만들면 되기 때문에 따로 먼저 작업을 해보려고 해요.

vim /etc/ansible/roles/make_backend_crew/create_crew_group.yml

반응형

최초 위와 같이 yml 파일 하나를 만들어 그룹을 만들 Playbook(플레이 북)을 만들어 주었어요.

2번째 줄은 Inventory(인벤토리) 내에 저장된 클라이언트 그룹명을 의미하는 거에요.

그리고, 4 ~ 5 번째 줄을 통해서 작성된 내용을 긁어와서 매개 변수 형식으로 값들을 가져오게 되는데, 이 때, 11, 12 번째 줄과 같이 item.매개 변수명을 입력해 주면 그 값을 가져와서 Mapping 되는 방식이에요.

마지막 with_items 옵션으로 인해 item에 내용이 들어오게 된답니다.

vim /etc/ansible/roles/make_backend_crew/crew_group_list.yml

 

이 곳에서 바로 그룹 정보를 넣어 주었어요. 위에서 item.매개 변수명이 바로 이 곳에 각각의 변수 이름들이 Mapping 되는 거에요.

2번째 줄 내용으로 인해 위의 create_crew_group.yml의 with_items 옵션으로 인해 item에 내용이 들어오게 된답니다.

 

vim /etc/ansible/roles/make_backend_crew/Inventory

 

만약 위에서 만들었던 /etc/ansible/hosts에 공용으로 사용하게 될 클라이언트 정보 말고, 개별로 사용할 인벤토리를 만들고 싶다면 위와 같이 만들면 됩니다.

ansible-playbook -i <Inventory Path>/<Inventory Name> <Playbook Path>/<Playbook Name>.yml

 

만약 인벤토리를 따로 지정하여 사용하고 싶다면 위와 같이 -i 옵션을 통해 이용할 수 있어요.

주니는 공용 인벤토리 사용을 위해 아래와 같이 진행할 거에요.

ansible-playbook <Playbook Path>/<Playbook Name>.yml

 

위와 같이 클라이언트에 그룹이 만들어 졌다고 나왔어요.

이렇게 대상 클라이언트에 그룹이 잘 만들어진걸 확인할 수 있어요.


이번에는 사용자 계정을 만들어 볼게요.

vim /etc/ansible/roles/make_backend_crew/make_crew/crewlist.yml

 

최초 해당 클라이언트에 접속 가능하게 할 크루들에 계정 정보를 만들어 주었어요.

backend_crew_list:  
  - {id: '<사용자 계정(ID)>', uid: <사용자 UID>, groups: ['<사용자 소속 그룹 이름>', '<사용자 소속 그룹 이름>', ...], password: '<사용자 계정 비밀번호>', comment: '<사용자 계정 별칭 혹은 메모>'}

 

주니는 한 계정을 여러 그룹에 등록하기 위해 위와 같이 작성을 해 주었어요.

vim /etc/ansible/roles/make_backend_crew/make_crew/create_crew.yml

 

그룹을 만들었을 때와 마찬가지로 계정 관련해서도 매개 변수로 가져와서 담을 수 있도록 작업해 주었어요.

password 부분에 password_hash('sha512') 이 부분은 Hashing 하여 비밀번호를 저장하게 하기 위해 넣어준 부분이에요.

여기서 주목할 점은 update_password 부분이에요. 옵션으로 on_create와 always가 대표적인데, on_create는 계정 생성 중 딱 한번만 비밀번호 수정이 가능한 것이고, always는 기존 계정에서 비밀번호 수정이 가능한 옵션이에요.

그렇기 때문에 always를 사용하는 걸 추천해요.

또한, Expiere Date Time Password for Crew 작업에 shell 부분은 계정들의 만료 기간을 설정할 수 있는 리눅스 명령어를 넣어 주었어요. 최소 1일 이상 패스워드를 사용해야 하고, 90일 동안만 사용할 수 있게 해 주었어요. 

ansible-playbook <Playbook Name>

 

위와 같이 정상적으로 계정 생성과 설정이 완료된걸 확인할 수 있어요.

클라이언트에서 확인해 보니 그룹도 잘 만들어 졌고, 사용자 계정도 모두 만족스럽게 설정된걸 확인할 수 있어요.

 

 

 

🧐 참고 자료

[DevOps] Jenkins를 이용한 CI/CD Pipeline 구축 - Jenkins + Infrastructure as Code 와의 연동 - Ansible

 

Linux ssh-copy-id

 

[Ansible] host 순회하면서 custom variable 참조하기

 

[ansible] 여러 서버에 동일한 유저계정 생성하기

 

 

 

앤서블 철저 입문:Ansible로 클라우드 구성 관리 자동화하기

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."