Как настроить host_key_checking==false, когда прыгаем через хост при помощи ProxyJump?

Question

[ksvdon]

Мне нужно делать настройки на вложенной виртуалке. Т.е. имеется некая машина, на которой работает контейнер. Я хожу в контейнер через эту машину (напрямую не могу), на которой контейнер развёрнут.

ssh команда выглядит примерно так:

ssh -J root@{IP машины_на_которой_развёрнут_контейнер} root@{IP контейнера}

для ансибл использую такую штуку:
ansible.cfg выглядит примерно так:

[defaults]                                                                                                                            
host_key_checking = False                                                                                                             
[ssh_connection]                                                                                                                      
ssh_args = -o StrictHostKeyChecking=False -o UserKnownHostsFile=/dev/null -C -F ./ssh.cfg

а тут как раз и прописан ProxyJump
-F ./ssh.cfg

выглядит ssh.cfg так:
Host {IP контейнера}
ProxyJump root@{IP машины_на_которой_развёрнут_контейнер}

и всё бы хорошо, ансибл ходит туда и всё разворачивает, но при первичном обращении просит подтверждения

The authenticity of host '{IP машины_на_которой_развёрнут_контейнер}' can't be established.
ECDSA key fingerprint is SHA256...
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

В общем не срабатывает получается host_key_checking = no в ансибловском конфиге...

Кто в курсе как прописать настройки чтобы всё таки не требовался ручной шаг, чтобы host_key_checking был отключён?

Answer 1

[mureevms]

У меня на проекте работало так, строки из инвентори файла:

bastion_server=x.x.x.x
ansible_user=user
ansible_ssh_common_args='-o ProxyCommand="ssh -o StrictHostKeyChecking=accept-new -W %h:%p -q {{ ansible_user }}@{{ bastion_server }}"'

Comments

[ksvdon]

Откровенно говоря так и не пойму, тут в примере 1 IP используется. Это уже целевой, куда мы собираемся сходить? А где указан промежуточный, через который мы "прыгаем"? Т.к. я именно для промежуточного сталкиваюсь с этой проблемой HostKeyChecking, для него эти ключики не срабатывают...

[mureevms]

ksvdon, Тут указывается именно промежуточный. Целевые указаны в инвентори.

[mureevms]

Вот более полный инвентори файл для понимания:

[servers]
server-1 ansible_host=10.255.0.40
server-2 ansible_host=10.255.0.41

[all:vars]
bastion_server=x.x.x.x
ansible_user=user
ansible_ssh_common_args='-o ProxyCommand="ssh -o StrictHostKeyChecking=accept-new -W %h:%p -q {{ ansible_user }}@{{ bastion_server }}"'

[ksvdon]

mureevms, блин, я не сразу врубил т.к. у меня частенько инвентори файл состоит вообще из списка IPшников и всё :-D прописал аналогично с твоим примером - всё взлетело! Спасибо огромное, этот способ мне нравится!

Answer 2

[MaxKozlov]

а в ssh.cfg StrictHostKeyChecking добавить ?
хотя почему не сразу
ssh_args = -o StrictHostKeyChecking=False -J root@{IP машины_на_которой_развёрнут_контейнер} ?

Comments

[ksvdon]

Попробовал, прикольно кстати. Просто я не хотел бы хардкодить айпишник в ansible.cfg. А вот ssh.cfg я генерирую налету. Но у меня всё равно затребовало потдверждение

The authenticity of host '{IP машины_на_которой_развёрнут_контейнер} (<no hostip for proxy command>)' can't be established.

увы :-(

[MaxKozlov]

я использую через host_vars:
ansible_ssh_common_args: '-J myusername@mygatewayhost,com