Ansible Tower 中的 bubblewrap 功能限制了 Tower 文件系统上哪些目录在 playbook 运行时可以被 playbook 查看和使用。在某些情况下,您可能会需要自定义 bubblewrap 设置。您可以使用一些变量来对 bubblewrap 的使用进行微调。
要禁用或启用运行任务的 bubblewrap 支持(仅限于运行 playbook),请确保您以 Admin 用户身份登录:
点击左侧导航栏中的 Settings () 图标。
点击 Jobs 标签。
向下滚动,直到看到 "Enable Job Isolation",使用切换按钮设置为 OFF**以禁用 bubblewrap 支持,或选择 **ON 启用它。
默认情况下,Tower 将使用系统的 tmp
目录(默认为``/tmp``)作为其临时区域。这可以在 Configure tower 界面的 Job Isolation Execution Path 字段中进行修改,也可以在设置文件中更新以下条目:
AWX_PROOT_BASE_PATH = "/opt/tmp"
如果系统中还有其他敏感且应该隐藏的信息,您可以在 Configure Tower 界面的 ** Hide to Isolated Jobs** 中指定,或者在设置文件中更新以下条目:
AWX_PROOT_HIDE_PATHS = ['/list/of/', '/paths']
如果系统中有需要特别公开的目录,您可以在 Configure Tower 界面的 Paths to Expose to Isolated Jobs 中指定,或者在设置文件中更新以下条目:
AWX_PROOT_SHOW_PATHS = ['/list/of/', '/paths']
注解
如果 playbook 需要使用在
/var/lib/awx/.ssh
中定义的密钥或设置,则需要把它做为主文件添加到AWX_PROOT_SHOW_PATHS
。
如果您更改了设置文件,请确定在保存了更改后使用 ansible-tower-service restart
命令重启服务。