Ansible(ansible-vault)的加密与解密

已于 2024-03-17 00:06:49 修改
阅读量1.4k 收藏 3
点赞数
文章标签: ansible 运维
于 2023-03-29 20:20:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Huihuizaizi/article/details/129843971
版权

目录

📜1.创建加密文件

📜2.使用密码文件创建

📜3.给现有文件加密

📜4. 编辑加密文件

📜5. 查看加密文件

📜6. 更改密码

📜7. 取消加密(解密)

📜8. playbook与ansible vault

Ansible是很火的一个自动化部署工具,在ansible控制节点内,存放着当前环境服务的所有服务的配置信息,其中自然也包括一些敏感的信息,例如明文密码、IP地址等等。
从安全角度来讲,这些敏感数据的文件不应该以明文的形式存在。

Ansible官方已经考虑到了这种情况,当我们的playbook中含有不能明文展示的文本时,ansible通过命令行「ansible-vault」给你目标文件/字符串进行加密。在执行playbook时,通过指定相应参数来给目标文件解密,从而实现ansible vault的功能。

ansible可以加密任何部署相关的文件数据,例如:

主机/组变量等所有的变量文件
tasks、hanlders等所有的playbook文件
命令行导入的文件(eg : -e @file.yaml ,-e @file.json)
copy,template的模块里src参数所使用的文件,甚至是二进制文件。
playbook里用到的某个字符串参数也可以加密(Ansible>=2.3
————————————————
 

 那究竟应该如何操作呢?先来看看命令上的常规操作:

以下示范以Ansible的hosts主机列表文件为例:

1.创建加密文件

ansible-vault create hosts

2.使用密码文件创建

ansible-vault create --vault-password-file=vault-pass hosts

3.给现有文件加密

ansible-vault encrypt hosts

4. 编辑加密文件
 

ansible-vault edit hosts
# 这个命令会将该文件解密,并放到一个临时文件,编辑完后再保存到原文件。

5. 查看加密文件

ansible-vault view hosts 
# 一行命令可以查看多个加密文件。

6. 更改密码

ansible-vault rekey hosts
# 先交互式输入旧的密码,然后再交互式输入两次新密码,即更改密码成功。

7. 取消加密(解密)

ansible-vault decrypt hosts
# 交互式输入密码,即取消加密成功。

8. playbook与ansible vault

ansible执行playbook时,可以通过交互式或指定密码文件的方式来解密文件。

  • 交互式

执行playbook时在终端以交互式的形式输入密码,示例:

ansible-playbook --ask-vault-pass site.yaml
  • 指定密码文件

另外一种使用方式,是将密码放在某个文件(password)内,执行playbook时,通过指定该密码文件进行解密。

可以使用「–vault-password-flie」参数:

ansible-playbook --vault-password-file=password site.yaml

注:
从ansible2.4版本开始,官方不再推荐使用”–vault-password-file”选项,官方开始推荐使用”–vault-id”选项代替”–vault-password-file”选项指定密码文件,也就是说,如下两条命令的效果是一样的。(推荐使用,不代表不能使用。_)

ansible-vault decrypt --vault-id=passwordfile site.yaml
ansible-vault decrypt --vault-password-file=passwordfile site.yaml
# 可不写等于号的,即 --vault-id passwordfile & --vault-password-file passwordfile

渣渣珲一枚
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Ansible中的变量及加密
qq_47656380的博客
09-16 198
变量命名 只能包含数字,下划线,字母 只能用下划线或字母开头 变量级别 全局:从命令行或配置文件中设定的 play:在play和相关结构中设定的 主机:由清单,事实或注册的任务 变量优先级:狭窄范围与广域范围 变量设定和使用方式 在playbook中直接定义变量 编写playbook vim user.yml 在文件中定义变量 定义变量 vim userlist vim user.yml 设定主机变量和清单变量 在定义主机变量和清单变量时使用 vim inventory vim user.yml
5.4 Ansible中的变量及加密
m0_48569984的博客
08-28 332
编辑westos.yml文件,指定变量linuxfile,在编辑test.yml文件,如下运行后即可在/mnt/中创建linuxfile。
ansible管理机密
qq_56216604的博客
04-14 691
ansible加密文件 ansible-vault
Ansible更安全:使用Vault进行加密
最新发布
mengmeng_921的博客
04-18 1106
管理目标节点时,有些操作需要使用密码才允许访问,但Ansible是一个自动化配置管理工具,在自动化操作的阶段中要求交互式输入密码的行为应该是一件让人败兴的事。通常,实现非交互式的方案有:(1).将敏感数据写入文件(比如写入变量文件),然后读取,这种方案不安全;(2).定义敏感数据对应的环境变量,缺点是有些客户端工具不一定支持这种方式,且这种方案不够方便;(3).使用命令行选项,但缺点是不安全,且Ansible不支持这种功能;(4).expect类工具,缺点是不方便。
ansible免密管理主机
weixin_65562581的博客
06-26 1299
ansible免密管理主机
ansible-vault_使用Ansible Vault改善您的DevOps安全游戏
cuml0912的博客
06-22 170
ansible-vault 您可能已经确定了DevOps的工作流程,但是您应该不断努力提高此类实现的操作成熟度。 我使用的一种工具是Red Hat的Ansible ,它非常适合编排和配置管理。 Ansible的入门门槛低且简单,这就是为什么这么多开始使用Ansible的人学会爱上它的原因。 Ansible中的一个功能是开发人员应该更经常使用的功能是Ansible Vault 。 根据其文...
ansible中的变量及加密
m0_61086860的博客
08-01 542
playbook
Ansible-ansible-vault-automator.zip
09-18
Ansible-ansible-vault-automator.zip,通过finder(而不是命令行)轻松地加密、编辑和解密文件。选择编辑加密文件时,可以直接在Sublime Text 3中编辑,而不是在nano或vim.ansible-vault自动机中编辑。,ansible是一...
ansible-filter-vault:内联密码加密替代ansible-vault
05-15
允许在不使用ansible-vault或不加密整个文件的情况下,删除ansible存储库中的纯文本密码。 此版本适用于Ansible 2.5+ 配置 ansible.cfg配置选项。 请注意部分名称vault_filter : [vault_filter] key = vault....
Ansible-vscode-ansible-vault.zip
09-18
Ansible-vscode-ansible-vault.zip,用于使用ansible vault vscode ansible vault扩展进行加密/解密的vscode插件,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
atom-ansible-vault:用于创建和修改ansible-vault文件的Atom程序包
01-31
Atom软件包,用于解密加密ansible-vault文件。 按ctrl-alt-0加密解密文件。 注意:在首次安装时,程序包将在/ usr / local / bin / ansible-vault中搜索ansible-vault二进制文件。 如果不在该目录中,则必须...
Ansible加密解密的使用 (2).docx
08-05
ansible解密的方法,提供基于playbook的加密方法,提供playbook中变量的机密方法,提供对于普通文件的加密的方法
ansible-vault:一个适用于节点的Ansible Vault兼容的加密解密
05-10
Ansible Vault Ansible Vault兼容JavaScript加密解密库用法加密const { Vault } = require ( 'ansible-vault' )const v = new Vault ( { password : 'pa$$w0rd' } )v . encrypt ( 'superSecret123' ) . then ( ...
Ansible Vault
m0_56801312的博客
05-31 201
yAnsible Vault 加密敏感数据 encrypt(加密)、decrypt(解密)、view(查看),rekey(重置密码) 1.加密文件 ●Ansible有时需要访问一些敏感数据,如密码、Key等 ●使用ansible-vault可以加密解密数据 [root@control ansible]# echo 123456 > data.txt #新建测试文件 [root@control ansible]# ansible-vault encrypt data...
Ansible playbook文件中指定SSH密钥文件
会哭的雨@的博客
11-28 7414
Ansible playbook可以在命令行上使用--key-file指定用于ssh连接的密钥。 ansible-playbook -i hosts playbook.yml --key-file "~/.ssh/mykey.pem" 是否可以在playbook文件中指定此键的位置,而不是在命令行上使用--key-file? 因为我想将这个键的位置写入var.yaml文件,该文件将由vars_files:playbook用vars_files:。 以下是我配置的一部分: vars.yml...
Ansible数据加密
孔小发
07-03 410
ansible-vault 如何保护数据 ansible-vault能够加密什么? ansible-vault能够加密任何结构化数据,包括yaml文件. 加密变量 role中的变量文件,例如vars和defaults 资源清单变量,例如host_vars和group_vars 包含include_vars和vars_files的变量文件 通过-e参数传递给ansbile-playbook...
Ansible——40.playbook 使用ansible-vault加密数据
blueicex2017的博客
03-30 2108
————Blueicex 2020/3/30 09:40 blueice1980@126.com
ansible-navigator
11-03
Ansible-navigator 是什么?它有哪些命令?如何使用 ansible-navigator 命令下载 EE 镜像? Ansible-navigator 是一个命令行工具,用于替代 Ansible Playbook 的多个命令,包括 ansibleansible-vaultansible-config、ansible-inventory 等。它提供了一种更加简单和直观的方式来管理 Ansible Playbook。 ansible-navigator 命令包括以下命令: - exec:用于执行 Ansible Playbook。 - builder:用于构建 Ansible Playbook。 - config:用于管理 Ansible 配置。 - doc:用于查看 Ansible 模块文档。 - inventory:用于管理 Ansible 主机清单。 - lint:用于检查 Ansible Playbook 的语法和风格。 - run:用于执行 Ansible Playbook。 - 下载 EE 镜像:使用 ansible-navigator 命令下载 EE 镜像的具体步骤如下: 1. 打开终端并输入以下命令:`ansible-navigator exec -- ee_download.yml` 2. 等待 EE 镜像下载完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值