在Vagrant+Chef设置中使用带有密码的SSH密钥

正如您所指出的那样，在初始运行期间更新sudoers已经为时过晚，因为此时chef已在sudo下运行。

相反，我编写了一个hacky食谱，它找到适当的ssh套接字并更新SSH_AUTH_SOCK环境以适应。它还禁用了严格的主机密钥检查，因此初始的出站连接会自动批准。

将其保存为一个食谱，并在第一次ssh连接之前执行（在Ubuntu上进行了测试，但应该适用于其他发行版）：

Directory "/root/.ssh" do
  action :create
  mode 0700
end

File "/root/.ssh/config" do
  action :create
  content "Host *\nStrictHostKeyChecking no"
  mode 0600
end

ruby_block "Give root access to the forwarded ssh agent" do
  block do
    # find a parent process' ssh agent socket
    agents = {}
    ppid = Process.ppid
    Dir.glob('/tmp/ssh*/agent*').each do |fn|
      agents[fn.match(/agent\.(\d+)$/)[1]] = fn
    end
    while ppid != '1'
      if (agent = agents[ppid])
        ENV['SSH_AUTH_SOCK'] = agent
        break
      end
      File.open("/proc/#{ppid}/status", "r") do |file|
        ppid = file.read().match(/PPid:\s+(\d+)/)[1]
      end
    end
    # Uncomment to require that an ssh-agent be available
    # fail "Could not find running ssh agent - Is config.ssh.forward_agent enabled in Vagrantfile?" unless ENV['SSH_AUTH_SOCK']
  end
  action :create
end

你也可以创建一个已包含sudoers更新的盒子，并以此为基础创建未来的VM。

这可能不是你想要的答案，但一个简单的解决方法是生成一个没有密码的专用部署 SSH 密钥。我更喜欢为每个应用程序使用单独和专用的部署密钥，而不是一个密钥用于多个应用程序。

您可以使用Vagrant运行多个配置程序（即使是相同类型的），每个配置程序都在自己的SSH连接上执行。我通常通过使用Shell配置程序来解决此问题，该程序将Added Defaults env_keep = "SSH_AUTH_SOCK"添加到vm上的/etc/sudoers中。

这是我用来执行此操作的Bash脚本：

#!/usr/bin/env bash

# Ensure that SSH_AUTH_SOCK is kept
if [ -n "$SSH_AUTH_SOCK" ]; then
  echo "SSH_AUTH_SOCK is present"
else
  echo "SSH_AUTH_SOCK is not present, adding as env_keep to /etc/sudoers"
  echo "Defaults env_keep+=\"SSH_AUTH_SOCK\"" >> "/etc/sudoers"
fi

我还没有使用过Chef provisioner进行测试，只是使用了额外的Shell provisioners...但据我所知，对于您的用例，这应该可以达到相同的效果。