如何使用 ansible 授予 MySQL 服务器管理权限（SUPER、RELOAD...）？

Question

有没有办法使用 Ansible mysql_user 模块（或使用任何其他模块）授予 MySQL 管理权限？ 我想为用户设置SUPER 、 RELOAD和SHOW DATABASES权限以及其他一些特定于数据库的权限。

以下基本设置对我来说效果很好：

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ item }}
  with_items:
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'

...结果是：

TASK: [db | Set user privileges]
**********************************************
ok: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)

以下设置一直说“已更改”，并且权限不是人们所期望的：

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ item }}
  with_items:
    - '*.*:SUPER,RELOAD,SHOW\ DATABASES'
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'

（重复）运行：

TASK: [db | Set user privileges]
**********************************************
changed: [dbuser] => (item=*.*:SUPER,RELOAD,SHOW\ DATABASES)
changed: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)

结果是：

mysql> show grants for 'dbuser'@'localhost';
+---------------------------------------------------------------------------------------------------------------+
| Grants for dbuser@localhost                                                                                   |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'dbuser'@'localhost' IDENTIFIED BY PASSWORD '*2046D2DDAE359F311435E8B4D3776EFE13FB584C' |
| GRANT ALL PRIVILEGES ON `somedatabase`.* TO 'dbuser'@'localhost'                                              |
| GRANT ALL PRIVILEGES ON `someotherdatabase`.* TO 'dbuser'@'localhost'                                         |
+---------------------------------------------------------------------------------------------------------------+
3 rows in set (0.00 sec)

有谁知道如何：

设置SUPER 、 RELOAD和SHOW DATABASE admin。 特权？
使配置幂等？

Answer 1

毕竟找到了优雅的解决方案！ 首先，权限应该在某处定义为列表：

$ cat group_vars/dbservers
mysql_privileges:
  - 'somedatabase.*:ALL'
  - 'someotherdatabase.*:ALL'
  - '*.*:SUPER,RELOAD,SHOW\ DATABASES'

那么mysql_user插件不需要附加权限，只需使用文档中提到的权限字符串，格式如下： mydb.*:INSERT,UPDATE/anotherdb.*:SELECT/yetanotherdb.*:ALL 。

唯一的技巧是如何将列表转换为字符串：

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ mysql_privileges|join('/') }}

任务的可重复运行不再说已更改：

TASK: [db | Set user privileges]
**********************************************
ok: [dbuser]

Answer 2

发现当切换权限顺序时，我可以授予提到的管理员。 特权：

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    append_privs=yes
    priv={{ item }}
  with_items:
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'
    - '*.*:SUPER,RELOAD,SHOW\ DATABASES'

权限按预期设置：

mysql> show grants for 'dbuser'@'localhost';
+---------------------------------------------------------------------------------------------------------------------------------------+
| Grants for dbuser@localhost                                                                                                           |
+---------------------------------------------------------------------------------------------------------------------------------------+
| GRANT RELOAD, SHOW DATABASES, SUPER ON *.* TO 'dbuser'@'localhost' IDENTIFIED BY PASSWORD '*2046D2DDAE359F311435E8B4D3776EFE13FB584C' |
| GRANT ALL PRIVILEGES ON `somedatabase`.* TO 'dbuser'@'localhost'                                                                      |
| GRANT ALL PRIVILEGES ON `someotherdatabase`.* TO 'dbuser'@'localhost'                                                                 |
+---------------------------------------------------------------------------------------------------------------------------------------+

尽管任务仍然不是幂等的。 每次跑步都给我：

TASK: [db | Set user privileges]
**********************************************
changed: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)
changed: [dbuser] => (item=*.*:SUPER,RELOAD,SHOW\ DATABASES)

Answer 3

列表不需要技巧，您可以设置多个以斜杠分隔的权限：

- name: Set user privileges
  mysql_user:
    user: {{ mysql_user }}
    password: {{ mysql_password }}
    state: present
    priv: 'somedatabase.*:ALL/someotherdatabase.*:ALL/*.*:SUPER,RELOAD,SHOW DATABASES'

或更短：

- name: Set user privileges
  mysql_user: user={{ mysql_user }} 
  password={{ mysql_password }} 
  state=present
   priv='somedatabase.*:ALL/someotherdatabase.*:ALL/*.*:SUPER,RELOAD,SHOW DATABASES'

如何使用 ansible 授予 MySQL 服务器管理权限（SUPER、RELOAD...）？

问题描述

3 个解决方案

解决方案1
16 已采纳 2014-04-14 08:05:45

解决方案2
8 2014-04-09 10:27:16

解决方案3
4 2016-11-15 14:49:57

如何使用 ansible 授予 MySQL 服务器管理权限（SUPER、RELOAD...）？

问题描述

3 个解决方案

解决方案1 16 已采纳 2014-04-14 08:05:45

解决方案2 8 2014-04-09 10:27:16

解决方案3 4 2016-11-15 14:49:57

解决方案1
16 已采纳 2014-04-14 08:05:45

解决方案2
8 2014-04-09 10:27:16

解决方案3
4 2016-11-15 14:49:57