Считайте файл материально-технических ресурсов Ansible подобным следующему примеру:
[san_diego]
host1
host2
[san_francisco]
host3
host4
[west_coast]
san_diego
san_francisco
[west_coast:vars]
db_server=foo.example.com
db_host=5432
db_password=top secret password
Я хотел бы сохранить часть Вара (как db_password
) в хранилище Ansible, но не всем файле.
Как может зашифрованный хранилищем ansible файл быть импортированным в незашифрованный файл материально-технических ресурсов?
Я создал зашифрованный файл Вара и попытался импортировать его с:
include: secrets
К которому ansible-playbook
отвеченный:
ERROR: variables assigned to group must be in key=value form
Вероятно, потому что это пыталось проанализировать include
оператор как переменная.
Если Ваша проблема должна и не зашифровать и зашифровать файлы Вара на group_hosts.
можно использовать эту ansible функцию: http://docs.ansible.com/ansible/playbooks_best_practices.html#best-practices-for-variables-and-vaults
group_vars/
san_diego/
vars.yml # unencrypted yaml file
vault.yml # encrypted yaml file
Ansible будет читать автоматически vault.yml, как зашифровано yaml файл.
Обновление: решением ниже является также хорошее решение (начиная с Ansible 2.3)
Начиная с Ansible 2.3 можно зашифровать Единственная Зашифрованная Переменная . IMO, пошаговая демонстрация необходима, поскольку doco's кажется довольно кратким.
, Учитывая пример: mysql_password: password123
(в main.yml)
Выполнение команда, такая как:
ansible-vault encrypt_string password123 --ask-vault-pass
Это произведет:
!vault |
$ANSIBLE_VAULT;1.1;AES256
66386439653236336462626566653063336164663966303231363934653561363964363833
3136626431626536303530376336343832656537303632313433360a626438346336353331
Encryption successful
вставка это в Ваш main.yml:
mysql_password: !vault |
$ANSIBLE_VAULT;1.1;AES256
66386439653236336462626566653063336164663966303231363934653561363964363833
3136626431626536303530376336343832656537303632313433360a626438346336353331
выполненный сборник пьес:
Т.е., ansible-playbook -i hosts main.yml --ask-vault-pass
Проверяют через отладку:
- debug:
msg: "mysql Pwd: {{ mysql_password }}"
В это время с Ansible 2.3 возможно иметь в плоскости yaml и зашифрованные и незашифрованные переменные. Формат зашифрованных переменных похож на это:
dbServer: PlainDatabaseServer
dbName: PlainDatabaseName
dbUser: PlainUser
dbPasswd: !vault |
$ANSIBLE_VAULT;1.1;AES256
63633363616165656538656537323835343634633063386137353637646663333939623464666437
6263383933656635316436313934366564316337623435350a386362613838373363393534383232
39663162363066313431623466363763356466376538613532333731613538373431623239626330
6463373238366630360a623566616535376339326431363465663431623462356238636333306663
6439
можно зашифровать переменную с помощью пароля или файла паролей с оператором:
ansible-vault encrypt_string "dummy" --vault-password-file pass-ansible.txt
Этот оператор возвращает текст, показанный в dbPasswd переменной в yaml выше.
Для выполнения сборника пьес, который использует зашифрованную переменную просто, добавляют следующий var:
ansible-playbook playbooks/myplaybook --vault-password-file pass-ansible.txt
Или можно сделать то же с - ask-vault-pass, которые просят у Вас пароль при выполнении сборника пьес:
ansible-playbook playbooks/myplaybook --ask-vault-pass
Можно сделать что-то подобное этому.
Создают ansible.cfg
в Вашей ansible папке проекта
[defaults]
vault_password_file = <path/to/your/password/file>
, Создают файл сборника пьес (например, playbook.yml
)
- name: my ansible playbook
hosts: 127.0.0.1
vars_files:
- 'vars.yml'
tasks:
- name: print secure variable
debug: msg="my secure variable '{{ my_secure_variable }}'"`
Создают переменный файл (например, vars.yml
)
my_secure_variable: "X_my_secret_X"
Шифруют переменный файл (от ansible местоположения проекта с ansible.cfg
)
ansible-vault encrypt vars.yml
Выполнение Ваш сборник пьес (от ansible местоположения проекта с ansible.cfg
)
ansible-playbook -i "localhost," playbook.yml
, Вы должны быть произведены подобные:
$ ansible-playbook playbook.yml -i 'localhost,'
PLAY [my ansible playbook] ****************************************************
GATHERING FACTS ***************************************************************
ok: [127.0.0.1]
TASK: [print secure variable] *************************************************
ok: [127.0.0.1] => {
"msg": "my secure variable 'X_my_secret_X' "
}
PLAY RECAP ********************************************************************
127.0.0.1 : ok=2 changed=0 unreachable=0 failed=0
Это зависит от Вашего рабочего процесса. Можно использовать group_vars
файл согласно предложению Sebastian Stigler или если Вы хотите использовать файл материально-технических ресурсов, можно просто добавить другой "подобный ini" файл в каталоге материально-технических ресурсов и зашифровать его.
$ mkdir my_inventory/
$ cat >> hosts << EOF
[san_diego]
host1
host2
[san_francisco]
host3
host4
[west_coast]
san_diego
san_francisco
EOF
$ cat >> inventory_crypted_vars << EOF
[west_coast:vars]
db_server=foo.example.com
db_host=5432
db_password=top secret password
EOF
Затем используйте -i my_inventory/
в Вашей командной строке или создайте локальное ansible.cfg
содержащий:
[defaults]
hostfile = ./my_inventory/
и Вы должны быть установлены. Ansible объединит оба файла во время выполнения.
Использование ansible-vault encrypt my_inventory/inventory_crypted_vars
прежде, чем фиксировать и Вы установлены.
Вы, вероятно, хотите, чтобы рычаг перед фиксацией гарантировал, что Вы не фиксируете незашифрованной версии файла. Например рычаг перед фиксацией как это добился бы цели (корректируйтесь FILES_PATTERN
соответственно).
Можно использовать group_vars (см. http://docs.ansible.com/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable ).
Создают подкаталог в Вашем сборнике пьес, названном group_vars
.
Там Вы создаете файл, названный west_coast
, и помещаете следующие записи в него:
---
db_server: foo.example.com
db_host: 5432
db_password: top secret password
Этот файл может затем быть преобразован в хранилище ansible.