Documentation

18. bubblewrap 功能和变量

Ansible Tower 中的 bubblewrap 功能限制了 Tower 文件系统上哪些目录在 playbook 运行时可以被 playbook 查看和使用。在某些情况下,您可能会需要自定义 bubblewrap 设置。您可以使用一些变量来对 bubblewrap 的使用进行微调。

要禁用或启用运行任务的 bubblewrap 支持(仅限于运行 playbook),请确保您以 Admin 用户身份登录:

  1. 点击左侧导航栏中的 Settings (settings) 图标。

  2. 点击 Jobs 标签。

  3. Enable Job Isolation 中,将切换按钮选择改为 OFF 来禁用 bubblewrap 支持,或者选择 ON 来启用它。

_images/configure-tower-jobs-disable-proot-job-isolation.png

默认情况下,Tower 将使用系统的 tmp 目录(默认为``/tmp``)作为其临时区域。这可以在 Configure tower 界面的 Job Execution Path 字段中进行修改,也可以在设置文件中更新以下条目:

AWX_PROOT_BASE_PATH = "/opt/tmp"

如果系统中还有其他敏感且应该隐藏的信息,您可以在 Configure Tower 界面的 ** Paths to Hide From Isolated Jobs** 中指定,或者在设置文件中更新以下条目:

AWX_PROOT_HIDE_PATHS = ['/list/of/', '/paths']

如果系统中有需要特别公开的目录,您可以在 Configure Tower 界面的 Paths to Expose to Isolated Jobs 中指定,或者在设置文件中更新以下条目:

AWX_PROOT_SHOW_PATHS = ['/list/of/', '/paths']

注解

如果 playbook 需要使用在 /var/lib/awx/.ssh 中定义的密钥或设置,则需要把它做为主文件添加到 AWX_PROOT_SHOW_PATHS

以上字段可在 Jobs Settings 窗口中找到:

_images/configure-tower-jobs-isolated-jobs-fields.png

如果您更改了设置文件,请确定在保存了更改后使用 ansible-tower-service restart 命令重启服务。