DevOps 지식 허브
DevOps 지식 허브

파일 안전 전송: Ansible의 Copy 및 Fetch 모듈 활용

Ansible 애드혹 명령을 사용해 파일을 빠르고 안전하게 전송하는 방법을 알아보세요. 이 실용적인 가이드에서는 제어 머신에서 원격 노드로 파일을 푸시하는 핵심 `copy` 모듈과, 구성 및 로그를 로컬 워크스테이션으로 다시 가져오는 `fetch` 모듈에 중점을 둡니다. `src`, `dest`, `mode`와 같은 주요 인수들과 `fetch` 모듈로 생성되는 고유한 대상 구조를 익혀, 인프라 전반에서 효율적이고 정확한 파일 관리를 보장하세요.

44 조회수

파일을 안전하게 전송하기: Ansible copyfetch 모듈 사용

Ansible은 구성 관리 기능으로 잘 알려져 있지만, 제어 머신과 관리 노드 간에 파일을 효율적으로 이동하는 것은 모든 배포 전략의 기본 요구 사항입니다. 사용자 지정 구성 파일을 배포하거나, 배포 아티팩트를 푸시하거나, 시스템 로그를 검색해야 할 때마다 이 프로세스는 빠르고 안정적이며 안전해야 합니다.

이 문서는 파일 전송을 위한 두 가지 주요 모듈인 copyfetch에 중점을 둡니다. Ansible의 강력한 애드혹(ad-hoc) 명령 구조를 사용하여 이러한 모듈을 활용하는 방법을 보여줄 것입니다. 이를 통해 전체 플레이북을 작성할 필요 없이 빠르고 일회성 파일 작업을 수행할 수 있습니다. 이 가이드의 끝에 도달하면 로컬 파일을 원격 시스템으로 안전하게 푸시하고 필요한 파일을 Ansible 제어 노드로 다시 가져오는 데 능숙해질 것입니다.

전제 조건

아래 예제를 실행하기 전에 다음 사항이 갖춰져 있는지 확인하십시오:

  1. Ansible 제어 노드: Ansible이 설치된 머신.
  2. 인벤토리 파일: 관리 노드를 정의하는 작동 중인 인벤토리 파일(예: /etc/ansible/hosts).
  3. 연결성: 원격 호스트에 SSH 키 액세스가 구성되어 있어야 합니다.

모든 예제는 인벤토리에서 대상 그룹 이름이 webservers라고 가정합니다.

파일 전송을 위한 애드혹 명령 이해

애드혹 명령은 터미널에서 직접 실행되는 단일 라인 명령으로, 영구적인 플레이북이 필요 없는 빠른 작업에 이상적입니다. 기본 구조는 다음과 같습니다:

ansible <호스트 그룹> -m <모듈 이름> -a "key=value key2=value2 ..."

파일 전송의 경우 -m copy 또는 -m fetch 모듈 이름을 사용하고, -a 플래그를 사용하여 필요한 인수를 전달합니다.

copy 모듈: 원격 노드로 파일 푸시

copy 모듈은 Ansible 제어 머신에 있는 파일을 하나 이상의 관리 노드로 전송하는 데 사용됩니다. 이는 구성 파일, 스크립트 또는 작은 자산을 배포하는 표준 방법입니다.

copy의 주요 인수

copy 모듈은 두 가지 필수 인수를 필요로 하며, 구성 관리를 위해 여러 선택적 인수를 허용합니다:

인수 설명 필수 여부 예시 값
src Ansible 제어 머신에 있는 파일의 절대 경로. /tmp/config.conf
dest 원격 관리 노드에 파일이 배치될 절대 경로. /etc/app/config.conf
owner 원격 노드에서 파일의 소유자가 될 사용자 이름. 아니요 nginx
group 원격 노드에서 파일의 소유 그룹이 될 그룹 이름. 아니요 www-data
mode 대상 파일에 설정할 권한(8진수). 아니요 0644
backup yes인 경우, 원본을 덮어쓰기 전에 백업 파일을 생성합니다. 아니요 yes

예제 1: 간단한 파일 배포

로컬에 사용자 지정 Message of the Day (motd) 파일이 있고 모든 웹 서버에 푸시하려고 한다고 가정해 봅시다.

# 로컬 파일 경로: /home/user/ansible/motd_banner
# 원격 대상: /etc/motd

ansible webservers -m copy -a "src=/home/user/ansible/motd_banner dest=/etc/motd"

예제 2: 권한 및 소유권 설정

보안 구성 파일을 배포하는 경우, 소유자, 그룹 및 제한된 권한(예: 소유자만 읽기/쓰기 가능)을 지정해야 합니다.

# 'app_user'가 소유하고 'devops' 그룹에 속하며
# 소유자만 읽기/쓰기 권한(0600)을 갖는 애플리케이션 구성 파일 배포.

ansible webservers -m copy -b -a "src=/tmp/app_settings.yaml dest=/etc/app/settings.yaml owner=app_user group=devops mode=0600"

-b에 대한 참고: 원격 대상이 (예: /etc에 쓰기처럼) 높은 권한을 요구하는 경우 -b (또는 --become) 플래그가 필요합니다.

fetch 모듈: 원격 노드에서 파일 검색

fetch 모듈은 copy와 반대되는 작업을 수행합니다: 관리 노드에서 Ansible 제어 머신으로 파일을 가져옵니다. 이는 구성 파일 백업, 로그 검색 또는 진단 정보 수집에 유용합니다.

fetch의 주요 인수

fetch 모듈은 원격 노드의 소스 파일과 제어 머신의 대상 디렉터리를 필요로 합니다.

인수 설명 필수 여부 예시 값
src 원격 관리 노드에 있는 파일의 절대 경로. /var/log/nginx/error.log
dest 제어 머신에서 파일이 저장될 디렉터리의 절대 경로. /tmp/backups/logs
flat yes인 경우, 결과 파일 이름에 호스트 이름 구조가 포함되지 않습니다 (여러 호스트에서 가져올 때는 권장되지 않음). 아니요 no (기본값)

중요한 차이점: 대상 구조

copy 모듈과 달리, fetch 모듈은 여러 서버에서 파일을 검색할 때 파일 이름 충돌을 방지하기 위해 원격 호스트 이름을 기반으로 구조화된 하위 디렉터리 경로를 자동으로 생성합니다.

제어 머신의 결과 경로는 다음과 같습니다:

<대상>/<호스트이름>/<소스>

예를 들어, host1에서 /etc/nginx/nginx.conf/tmp/backups로 가져오면 다음과 같은 결과가 됩니다:

/tmp/backups/host1/etc/nginx/nginx.conf

예제 3: 원격 구성 백업 검색

모든 웹 서버에서 실행 중인 구성 파일을 로컬 백업 디렉터리로 검색하려면:

# 모든 웹 서버에서 nginx.conf를 로컬 디렉터리 /tmp/config_backups로 가져오기

ansible webservers -m fetch -a "src=/etc/nginx/nginx.conf dest=/tmp/config_backups"

이 명령을 실행한 후, webserver1webserver2를 대상으로 했다면 로컬 디렉터리 구조는 다음과 같을 것입니다:

/tmp/config_backups/
├── webserver1
│   └── etc
│       └── nginx
│           └── nginx.conf
└── webserver2
    └── etc
        └── nginx
            └── nginx.conf

예제 4: 호스트 구조 없는 단일 파일 검색 (flat=yes)

단일 호스트에서만 파일을 가져오는 것이 확실하거나, 파일의 내용만 필요하고 원본 구조는 필요 없는 경우 flat=yes를 사용할 수 있습니다. 이 경우 파일은 대상 폴더에 직접 배치되며, 원래 원격 파일의 이름으로 저장됩니다.

# 단일 호스트에서 로컬 상태 보고서를 가져와 직접 저장.

ansible webserver1 -m fetch -a "src=/tmp/health_status.txt dest=/tmp/reports flat=yes"

# 결과 경로: /tmp/reports/health_status.txt

경고: flat=yes는 단일 호스트를 대상으로 할 때 또는 후속 실행 시 파일을 덮어쓸 의도가 있는 경우에만 사용하십시오. Ansible은 충돌을 방지하지 않습니다.

모범 사례 및 보안 고려 사항

Ansible을 사용하여 파일을 관리할 때 보안과 멱등성은 가장 중요합니다:

1. copy 사용 시 항상 권한 설정

modeowner를 명시적으로 정의하지 않고 구성 파일을 푸시하지 마십시오. 원격 시스템의 기본 umask에 의존하면 (SSH 키 또는 데이터베이스 자격 증명과 같은) 민감한 파일이 과도하게 허용적인 액세스 권한을 갖게 될 수 있습니다.

# 나쁜 관행 (umask에서 파생된 모드)
- name: 안전하지 않은 키 배포
  ansible.builtin.copy:
    src: private.key
    dest: /etc/app/private.key

# 좋은 관행 (명시적으로 액세스 제한)
- name: 안전한 키 배포
  ansible.builtin.copy:
    src: private.key
    dest: /etc/app/private.key
    mode: '0600'
    owner: root

2. 중요한 변경 사항에는 backup=yes 사용

기존의 중요한 파일(예: /etc/sudoers)을 덮어쓰기 위해 copy를 사용할 때는 backup=yes를 포함하십시오. Ansible은 파일을 덮어쓰기 전에 원격 노드에 타임스탬프가 지정된 백업 사본을 생성하여 쉬운 롤백 옵션을 제공합니다.

3. 대용량 전송에는 synchronize 모듈 고려

copyfetch는 빠른 애드혹 작업과 작은 구성 파일에 탁월하지만, 대용량 디렉터리 구조를 전송하거나 효율적인 델타 전송(변경 사항만 전송)이 필요한 경우, synchronize 모듈(rsync를 활용)이 뛰어난 성능과 관리를 위해 권장되는 도구입니다.

요약

copyfetch 모듈은 Ansible 관리자의 도구 키트에서 없어서는 안 될 도구이며, 인프라 전체에서 파일을 조작하기 위한 견고하고 안전한 방법을 제공합니다. 애드혹 명령 구문을 익히고 주요 인수를 이해함으로써, 간단한 작업을 위해 전체 플레이북을 생성하는 오버헤드 없이 배포 아티팩트를 효율적으로 관리하고 필요한 데이터 검색 작업을 수행할 수 있습니다.

모듈 방향 애드혹 명령 예시
copy 제어 노드 -> 관리 노드 ansible all -m copy -a "src=/local/file dest=/remote/path mode=0644"
fetch 관리 노드 -> 제어 노드 ansible all -m fetch -a "src=/remote/file dest=/local/dir"