Ansible-Semaphore容器中ansible.cfg配置失效问题分析与解决方案

问题背景

在使用Ansible-Semaphore的Docker容器部署时，用户遇到一个典型的SSH主机密钥验证问题。当通过Semaphore控制重新安装系统的被控节点时，由于SSH已知主机记录（known_hosts）中保存的旧密钥与新系统密钥不匹配，导致Ansible任务执行失败，错误提示主机密钥验证未通过。

问题现象

具体表现为执行Playbook时出现以下关键错误信息：

UNREACHABLE! => {"changed": false, "msg": "Failed to connect to the host via ssh: ... host key verification failed ..."}

尽管用户已在容器内的/home/semaphore/ansible.cfg中明确配置了：

[defaults]
host_key_checking = False
ansible_ssh_pass = True

但配置未生效，Ansible仍然严格检查主机密钥。

技术分析

1. 配置加载机制：Ansible会按照特定顺序查找配置文件，默认搜索路径包括当前目录下的ansible.cfg、用户主目录下的.ansible.cfg以及/etc/ansible/ansible.cfg。在容器环境中，配置文件的加载可能受到容器用户权限和挂载卷的影响。

2. 环境隔离性：Docker容器中的root用户与宿主机root用户环境隔离，known_hosts文件位于容器内的/root/.ssh/目录，这导致SSH客户端仍然执行严格的主机密钥验证。

3. 配置优先级：可能存在更高优先级的配置文件覆盖了用户的设置，或者环境变量影响了Ansible的行为。

解决方案

临时解决方案

通过SSH命令手动清除旧的主机密钥记录：

ssh-keygen -R 目标IP地址

持久化解决方案

1. 正确挂载配置文件：

docker run ... -v /path/to/custom/ansible.cfg:/etc/ansible/ansible.cfg ...

2. 使用环境变量覆盖：

docker run ... -e ANSIBLE_HOST_KEY_CHECKING=False ...

3. 修改SSH客户端配置： 在容器内创建/root/.ssh/config文件并添加：

StrictHostKeyChecking no
UserKnownHostsFile /dev/null

最佳实践建议

1. 对于生产环境，建议保持主机密钥检查开启，通过自动化工具预先注册新主机密钥。

2. 在容器部署时，建议将SSH配置和Ansible配置通过卷挂载的方式持久化。

3. 考虑使用Ansible的--ssh-extra-args参数临时禁用密钥检查：

- hosts: all
  gather_facts: no
  tasks:
    - command: echo "test"
      vars:
        ansible_ssh_extra_args: "-o StrictHostKeyChecking=no"

版本更新说明

该问题已在Ansible-Semaphore 2.13.1版本中修复。升级到最新版本可以获得更稳定的容器化运行体验。

总结

容器环境中的配置管理需要特别注意文件路径和权限问题。对于Ansible-Semaphore这类自动化工具，理解其配置加载机制和SSH客户端行为是解决问题的关键。通过合理的配置挂载和环境变量设置，可以确保安全策略和自动化需求之间的平衡。