Как использовать сохраненные пароли Ansible Vault

Question

Я пытаюсь выяснить, как пароли Ansible-Vault могли бы использоваться в производственной среде. Я смотрел бесчисленное множество видео и руководств по использованию «Ansible-Vault», все они заканчиваются одним и тем же:

1. Зашифруйте ваш файл с помощью чувствительных переменных, используя ansible-vault encrypt

2. Сохраните свой пароль хранилища в текстовом файле и используйте его при запуске playbook: ànsible-playbook --vault-password-file passwordFile myPlaybook.yml

Проблемы, которые я не делаюКажется, вы понимаете:

1. Пароль хранилища хранится в незашифрованном виде, что является проблемой безопасности

2. Как интегрировать файл паролей всценарий (если это необходимо). Если я зашифрую файл паролей, это создаст новые проблемы, которые необходимо решить. '

Возможно, это мое невежество, но для меня все это больше похоже на стычку ...

Спасибо.

Answer 1

В Ansible-Engine пароль будет выставлен любой ценой. Пока еще нет механизма для обработки этого сценария в версии Ansible-Engine или Ansible OpenSource. Для этого в Ansible Tower есть решение, которое зашифрует и сохранит пароль хранилища в главных узлах.

Если вы используете какой-либо конвейер DevOps - создайте переменные среды из Jenkins для пути к файлу пароля или фактического значения.

Если вы используете AWS или любую облачную платформу - используйте любой механизм шифрования для шифрования значения.