如何避免ansible带来的一些操作风险？

1、Ansible使用原生openssh，而openssh是全球范围内最严格审查的程序之一，具有轻量级

安全性高的特点。

2、在生产节点和非生产节点上启动Ansible必须分两批进行。

3、配置较低权限的运维专用帐号，不能通过密码或ssh密钥使用root登录。

4、Ansible 可配置 acl 控制， 输入配置文件中的密码才能向指定机器发布命令和执行playbook
可修改ansible代码实现配置文件的加密。

1、建立Ansible管理流程，确定申请、审批、实施标准以及职能
2、确定主体责任人和技术规范，做好技术培训和整理相关标准文档、自动化脚本
3、梳理使用场景，尽量实现界面化操作，避免主动登录实施
4、严格管控生产环境ID的使用权限，部署监控和审计功能