ansible加密

最新推荐文章于 2024-05-20 16:20:04 发布
最新推荐文章于 2024-05-20 16:20:04 发布
阅读量1.3k 收藏 21
点赞数 29
分类专栏: Red Hat 文章标签: ansible 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77081516/article/details/135247369
版权

本章主要介绍如何对ansible中的playbook 进行加密。

  • 对整个playbook进行加密
  • 查看加密文件
  • 运行加密的playbook
  • 对playbook进行解密
  • 使用密码文件
  • 对单个字符串进行加密 

前面写了许多playbook,这些playbook都是以明文的方式存在的,有时想对这些 playbook进行加密,可以使用ansible-vault命令来实现。本章实验都在/home/bdqn/demo6下操作,先把demo6目录创建出来并把ansible.cfg 和 hosts拷贝进去,命令如下。 

[bdqn@rhel01 ~]$ mkdir demo6
[bdqn@rhel01 ~]$ cp ansible.cfg hosts demo6/
[bdqn@rhel01 ~]$ cd demo6/
[bdqn@rhel01 demo6]$ ls
ansible.cfg  hosts
[bdqn@rhel01 demo6]$

对整个脚本进行加密 

创建test1.yaml,内容如下。 

[bdqn@rhel01 demo6]$ cat test1.yaml 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: cisco@123
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

 现在这个文件是以明文的方式存储的,对这个文件进行加密,加密的语法如下。

ansible‐vault encrypt file 

这里的意思是对file文件进行加密,需要按提示输人密码。下面对test1.yaml进行加密,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault encrypt test1.yaml 
New Vault password: 
Confirm New Vault password: 
Encryption successful
[bdqn@rhel01 demo6]$

下面查看 testl.yaml的内容,命令如下。 

[bdqn@rhel01 demo6]$ cat test1.yaml 
$ANSIBLE_VAULT;1.1;AES256
33633633653838653963626238306166613732646163343634363430383466356539363664623637
3136393939373439303835366164383862343433313136390a313731636634636131326230323938
30653266373932393665396334633839623033626136313532373638636638303230353438343033
6637346662666532390a633265366161646361666131646336633363303631393633326165363463
30356433386430366434356135353365646435306264353836643861346163633263323933646464
64383030326337326262613432663030666163363265653730636334663631323361666438346232
39653031366239386265323962336231633137356232373434313063383237373636356263633335
30346132656331363766616434313165373665386231313336383431633766346131643735383066
30366634623937386235396437363266323766633434383365373337633634373062646436653634
62636164656164633963623565393831626161343563616566396564316663373530326232343163
353965356638636463366430316235393130
[bdqn@rhel01 demo6]$

可以看到,此文件已经是被加密的了。

查看文件内容 

如果要查看加密文件的内容,可以使用ansible-vault view file命令,需要输入解密密码。下面查看 test1.yaml 的内容,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault view test1.yaml 
Vault password: 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: cisco@123
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

这样就可以看到文件的内容了,但是此文件并没有被解密,依然是加密的文件。 

如果密码输入错误,则看不到文件的内容,如下所示。 

[bdqn@rhel01 demo6]$ ansible-vault view test1.yaml 
Vault password: 
ERROR! Decryption failed (no vault secrets were found that could decrypt) on test1.yaml for test1.yaml
[bdqn@rhel01 demo6]$

运行playbook 

如果直接运行加密后的YAML文件,则会报错,如下所示。 

[bdqn@rhel01 demo6]$ ansible-playbook test1.yaml 
ERROR! Attempting to decrypt but no vault secrets found
[bdqn@rhel01 demo6]$

因为这个playbook是被加密的,要运行它必须输入解密密码才行。在运行时,可以加上- -ask-vault-pass选项提示用户输入解密密码,命令如下。 

[bdqn@rhel01 demo6]$ ansible-playbook --ask-vault-pass test1.yaml 
Vault password: 

PLAY [server2] *******************************************************************************************************************************************

TASK [打印一个变量] ********************************************************************************************************************************************
ok: [server2] => {
    "msg": "cisco@123"
}

PLAY RECAP ***********************************************************************************************************************************************
server2                    : ok=1    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

[bdqn@rhel01 demo6]$

这样playbook就可以正常地运行了。

如果要修改加密密码,可以使用ansible-vault rekey file命令来实现,需要先输入一次解密密码,然后输入两次新密码,如下所示。 

[bdqn@rhel01 demo6]$ ansible-vault rekey test1.yaml 
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful
[bdqn@rhel01 demo6]$

这样test1.yaml的加密密码就被更改了。

对脚本进行解密 

如果要对文件进行解密,可以使用ansible-vault decrypt file命令,然后输人解密密码即可对加密文件进行解密。下面对test1.yaml进行解密,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault decrypt test1.yaml 
Vault password: 
Decryption successful
[bdqn@rhel01 demo6]$

输入密码之后提示解密成功。下面查看test1.yaml的内容,命令如下。 

[bdqn@rhel01 demo6]$ cat test1.yaml 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: cisco@123
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

已经可以正常查看了。

使用密码文件 

加密、解密、查看等操作都需要输入密加里扣密码写人一个文件中,在执行 ansible-vault命令时加上“--vault-id密码文件”选项,即可不需要输人密码了 

先把密码写入aa.xt中,命令如下。

[bdqn@rhel01 demo6]$ echo huawei@123 > aa.txt
[bdqn@rhel01 demo6]$ cat aa.txt 
huawei@123
[bdqn@rhel01 demo6]$

对test1.yaml进行加密,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault encrypt --vault-id aa.txt test1.yaml 
Encryption successful
[bdqn@rhel01 demo6]$

 这里显示加密成功。然后查看test1.yaml的内容,命令如下。

[bdqn@rhel01 demo6]$ cat test1.yaml 
$ANSIBLE_VAULT;1.1;AES256
36383230313333343062656632633761646433383133366464373166336631356661313332643535
3461373630633530373235653035323939623537633533640a393962363937383938383735326463
62373263333065353965633631386335353866383162663534383064363863393065646565366265
3634623630386565370a636139346665356664363837643765376663383166383764653434393562
38323432333665393432623231646333383933363936623836363237663437643932653534356636
39626532643234623961616361396531343935656565373062333935653339376232393636613531
31343164666630323961323237616436346332373634393131663664396133353831393862396335
32316431663234666462326639613030616532643865636330343435363131613539616364616461
66633931353265323062663265356162313362666632616662396636633630396437373138356439
63616633646335393464336566383534393935323335646362616239623639643330656630353036
323532623961386232323431306337646434
[bdqn@rhel01 demo6]$

可以看到,已经被加密了。下面通过ansible-vault view查看test1.yaml的内容,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault view --vault-id aa.txt test1.yaml 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: cisco@123
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

这里会直接读取密码文件中的密码,所以不需要我们再次输入密码。 

加上-vault-id aa.txt选项运行playbook,命令如下。 

[bdqn@rhel01 demo6]$ ansible-playbook --vault-id aa.txt test1.yaml 

PLAY [server2] *******************************************************************************************************************************************

TASK [打印一个变量] ********************************************************************************************************************************************
ok: [server2] => {
    "msg": "cisco@123"
}

PLAY RECAP ***********************************************************************************************************************************************
server2                    : ok=1    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

[bdqn@rhel01 demo6]$

此时 playbook也可以正常运行了。解密test1.yaml,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault decrypt --vault-id aa.txt test1.yaml 
Decryption successful
[bdqn@rhel01 demo6]$

可以看到,不需要输入密码,就解密完成了。

对单个字符串进行加密 

可以不对整个文件进行加密,只加密某个字符串,命令如下。 

[bdqn@rhel01 demo6]$ cat test1.yaml 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: cisco@123
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

这里变量aa的值为cisco@123,是一个明文,可以单独对字符串cisco@123进行加密,命令如下。 

[bdqn@rhel01 demo6]$ ansible-vault encrypt_string --vault-id aa.txt cisco@123
!vault |
          $ANSIBLE_VAULT;1.1;AES256
          38393565386132613333383462623834396230323132306565356663333837663161383432613966
          6162396131623737356234626436633831663439333832660a333064313438666339376563313936
          38663563323232363130333163323538643632306131323039356530663338626139656364653738
          3537393733323832640a323236643934666536656432373034303364326638363261363637313238
          6239
Encryption successful
[bdqn@rhel01 demo6]$

上面的加粗字就是加密后的密码,因为输出太长,这里用了省略号。 

修改 test1.yaml的内容,把cisco@123换成加密后的密文,内容如下。

[bdqn@rhel01 demo6]$ cat test1.yaml 
---
- hosts: server2
  gather_facts: false
  vars:
    aa: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          38393565386132613333383462623834396230323132306565356663333837663161383432613966
          6162396131623737356234626436633831663439333832660a333064313438666339376563313936
          38663563323232363130333163323538643632306131323039356530663338626139656364653738
          3537393733323832640a323236643934666536656432373034303364326638363261363637313238
          6239
  tasks:
  - name: 打印一个变量
    debug: msg="{{aa}}"
 
[bdqn@rhel01 demo6]$

需要注意的是,aa后面的这个值不能用引号引起来。

运行此 playbook,并指定密码文件,命令如下。 

[bdqn@rhel01 demo6]$ ansible-playbook --vault-id aa.txt test1.yaml 

PLAY [server2] *******************************************************************************************************************************************

TASK [打印一个变量] ********************************************************************************************************************************************
ok: [server2] => {
    "msg": "cisco@123"
}

PLAY RECAP ***********************************************************************************************************************************************
server2                    : ok=1    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

[bdqn@rhel01 demo6]$

可以看到,已经正常运行起来了。 

王鹏程@123
关注
  • 29
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ansible加密和解密的使用 (2).docx
08-05
ansible加解密的方法,提供基于playbook的加密方法,提供playbook中变量的机密方法,提供对于普通文件的加密的方法
ansible 加密
wang725的专栏
04-16 2268
当我们使用ansible完全自动化地运维服务器的是时候,运行某些任务时,不可避免的会接触到一些密码或其他敏感数据,这些数据可能是管理员密码/SSH私钥或远程主机的认证信息。 大部分情况下,ansible自带的vault功能能满足加密的需求。 ansible vault的工作方式与现实生活中的保险柜的工作方法很像: 1. 把ansible任务中用到的任意文件放入vault保险柜中 2. an...
ansible加密模块ansible-vault
识途老码
10-18 2207
ansible-vault加密
Ansible加密
S483374558的博客
12-28 1121
本章主要介绍如何对ansible的 playbook 进行加密。对整个playbook进行加密查看加密文件运行加密的playbook对playbook进行解密使用密码文件对单个字符串进行加密前面写了许多playbook,这些playbook都是以明文的方式存在的,有时想对这些playbook进行加密,可以使用ansible-vault命令来实现。本章实验都在/home/demo6下操作,先把 demo6目录创建出来并把ansible.cfg 和 hosts拷贝。
Ansible-ansible-role-certbot.zip
09-18
Ansible-ansible-role-certbot.zip,ansible role-certbot(用于加密ansible role:certbot(用于加密),ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
Ansible-vscode-ansible-vault.zip
09-18
Ansible-vscode-ansible-vault.zip,用于使用ansible vault vscode ansible vault扩展进行加密/解密的vscode插件,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
Ansible-ansible-vault-automator.zip
09-18
Ansible-ansible-vault-automator.zip,通过finder(而不是命令行)轻松地加密、编辑和解密文件。选择编辑加密文件时,可以直接在Sublime Text 3中编辑,而不是在nano或vim.ansible-vault自动机中编辑。,ansible是一...
ansible-vault:一个适用于节点的Ansible Vault兼容的加密和解密库
05-10
Ansible Vault Ansible Vault兼容JavaScript加密和解密库用法加密const { Vault } = require ( 'ansible-vault' )const v = new Vault ( { password : 'pa$$w0rd' } )v . encrypt ( 'superSecret123' ) . then ( ...
5.3_Ansible中的playbook
weixin_46927961的博客
05-15 363
(5)YAML的字典 两种写法等价 ##5.vim 设定技巧##
Ansible自动化运维工具
misakivv的博客
05-19 688
Ansible是一款自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统部署、批量程序部署,批量运行命令等功能。
Ansible 详细介绍
m0_59744084的博客
05-17 256
**调试**:如果playbook没有按预期工作,可以使用`-v`(或`-vvv`)选项运行ansible-playbook命令以获取详细的调试信息。- **Tags**:为playbook中的任务打标签,允许通过ansible-playbook命令的--tags选项有选择地运行任务。- **Ansible Tower**:是Ansible的GUI版本,提供了额外的功能,如项目和库存管理、用户认证和访问控制。- **变量**:在Ansible中,变量用于存储可重复使用的数据。
5.5_Ansible中的任务执行控制
weixin_46927961的博客
05-19 343
循环迭代任务#
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 858
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
[每周一更]-(第97期):认识Podman,并对比Docker
hmx224_2014的专栏
05-19 520
Podman 和 Docker 都是流行的容器引擎,用于创建、运行和管理容器。此外,Podman 还支持 SELinux 和 AppArmor 等安全功能,可以进一步增强容器的安全性。在使用 Docker 之前,您需要先启动 Docker 守护进程,守护进程在后台运行,并负责容器的生命周期管理。例如,您可以使用 Buildah 构建自定义容器镜像,然后使用 Podman 运行这些镜像。Podman 的使用与 Docker 非常相似。例如,在内存不足的设备上运行容器时,Podman 可以提供更好的性能。
mysql事务(原理)
m0_74347016的博客
05-19 513
mysql事务原理
尝试使用官方jailhouse-images仓库运行jailhouse
ScilogyHunter的博客
05-15 1008
通过jailhouse 的官方 demo 演示仓库,可以直接编译出带有部署有jailhouse程序的Linux镜像,有多个目标平台的Linux镜像可选,也有在qemu下的镜像。参考文档:https://bbs.csdn.net/topics/615164494。
下一代Docker会让部署更丝滑吗
最新发布
csdn565973850的博客
05-20 593
简述什么是Docker,优缺点以及一些遐想
jenkins插件之xunit
made4971的博客
05-17 297
填写一下命令,这个命令是docker中执行phpunit单元测试,请根据你的实际情况调整php执行文件路径。一章中phpunit.xml中配置的junit生成结果的地址需要保持一致。在测试报告列填写reports/junit.xml , 注意此处地址和。您的项目 - 配置 - Build Steps, 新增。您的项目 - 配置 - 构建后操作, 新增。Build Step选择 执行SHELL。超时时间根据实际情况配置。搜索xunit并安装。
配置通配符证书流程
2301_82229513的博客
05-16 321
例如,如果你拥有一个名为123456.com的域名,并且申请了一个通配符证书*.123456.com,那么这个证书不仅会保护主域名123456.com的安全连接,还会自动覆盖与之相关的所有。JoySSL通配符DV证书能够用一张证书保护主域名以及所有的下级子域名,并对该级子域名数量没有限制,且添加新的该级子域名无需重新审核和另外付费。填写好自己所需要的部署的主域名,主域名可以是一级域名也可以是二级三级域名等。该证书可以绑定无限多的域名,以一个主域名为首,则可以关联无限多的相关次级子域名,
ansible的组件
03-10
Ansible是一种自动化工具,用于配置管理、应用程序部署和任务自动化。它由多个组件组成,包括: 1. Ansible Core:Ansible的核心引擎,负责执行任务和管理主机。 2. Inventory:Ansible的清单文件,用于定义要管理的主机和主机组。 3. Playbook:Ansible的剧本文件,用于描述任务和配置的执行顺序。 4. Modules:Ansible的模块,用于执行具体的任务操作,如文件操作、软件包管理等。 5. Roles:Ansible的角色,用于组织和复用剧本和任务。 6. Ad-hoc命令:Ansible的临时命令行工具,用于在不使用Playbook的情况下执行简单任务。 7. Ansible Vault:Ansible加密工具,用于保护敏感数据,如密码和私钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值