Ansible 实战案例--Ansible-vault 管理机密

最新推荐文章于 2023-11-19 16:37:37 发布
最新推荐文章于 2023-11-19 16:37:37 发布
阅读量559 收藏 1
点赞数 1
分类专栏: 自动化运维 文章标签: 运维 ansible
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XY0918ZWQ/article/details/108929864
版权

Ansible-vault管理机密

前言

管理加密/解密yml(palybook)文件工具
有时编写的playbook文件中会存在重要信息,考虑到安全,可以使用此工具进行加密

提示:本篇文章所使用的环境为centos-8.2基于ansible-2.8.0 搭建
具体环境搭建,请参考:ansible-2.8.0 搭建链接

一、获取Ansible-vault 命令帮助

  • Ansible-vault 命令帮助
[root@ansible-server ansible]# ansible-vault --help
usage: ansible-vault [-h] [--version] [-v]
                     {create,decrypt,edit,view,encrypt,encrypt_string,rekey}
                     ...

encryption/decryption utility for Ansible data files

positional arguments:
  {create,decrypt,edit,view,encrypt,encrypt_string,rekey}
    create              Create new vault encrypted file
    decrypt             Decrypt vault encrypted file
    edit                Edit vault encrypted file
    view                View vault encrypted file
    encrypt             Encrypt YAML file
    encrypt_string      Encrypt a string
    rekey               Re-key a vault encrypted file

optional arguments:
  --version             show program's version number, config file location,
                        configured module search path, module location,
                        executable location and exit
  -h, --help            show this help message and exit
  -v, --verbose         verbose mode (-vvv for more, -vvvv to enable
                        connection debugging)

See 'ansible-vault <command> --help' for more information on a specific
command.
  • create 功能的命令帮助
[root@ansible-server ansible]# ansible-vault create --help
usage: ansible-vault create [-h] [--encrypt-vault-id ENCRYPT_VAULT_ID]
                            [--vault-id VAULT_IDS]
                            [--ask-vault-pass | --vault-password-file VAULT_PASSWORD_FILES]
                            [-v]
                            [file_name [file_name ...]]

positional arguments:
  file_name             Filename

optional arguments:
  -h, --help            show this help message and exit
  --encrypt-vault-id ENCRYPT_VAULT_ID
                        the vault id used to encrypt (required if more than
                        vault-id is provided)
  --vault-id VAULT_IDS  the vault identity to use
  --ask-vault-pass      ask for vault password
  --vault-password-file VAULT_PASSWORD_FILES
                        vault password file
  -v, --verbose         verbose mode (-vvv for more, -vvvv to enable
                        connection debugging)

二、创建加密文件

[root@ansible-server ansible]# ansible-vault create user_file
New Vault password: 
Confirm New Vault password: 
user_name: bob
[root@ansible-server ansible]# cat user_file 
$ANSIBLE_VAULT;1.1;AES256
39303734363366613735306537356562346330666431353263383030393663313638346339626232
6534366330323163353431326561303066623132623365310a326331626362623739343163636435
64656538346261636133373037303838633931313334313838666462336432616561366138393961
3234643064396561640a643937383537613862633839353064363231376339333138376532356534
3135

#编辑playbook
[root@ansible-server ansible]# vim add_user.yml
---
- hosts: all
  vars_files:
    user_file
  tasks:
  - name: create user
    user:
      name: '{{ user_name }}'
      state: present

#执行playbook
[root@ansible-server ansible]# ansible-playbook add_user.yml --ask-vault-pass
Vault password: 

PLAY [all] *********************************************************************************************************

TASK [Gathering Facts] *********************************************************************************************
ok: [node02]
ok: [node03]
ok: [node04]
ok: [node01]

TASK [create user] *************************************************************************************************
ok: [node02]
ok: [node01]
ok: [node04]
ok: [node03]

PLAY RECAP *********************************************************************************************************
node01                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node02                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node03                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node04                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0  


##另外,还可以创建密码文件,用于playbook的执行和用户文件的查看、编辑以及更改
#常见密码文件
[root@ansible-server ansible]# echo '123' > passwdfile
#执行playbook
[root@ansible-server ansible]# ansible-playbook add_user.yml --vault-password-file passwdfile 

PLAY [all] *********************************************************************************************************

TASK [Gathering Facts] *********************************************************************************************
ok: [node01]
ok: [node02]
ok: [node03]
ok: [node04]

TASK [create user] *************************************************************************************************
ok: [node01]
ok: [node03]
ok: [node02]
ok: [node04]

PLAY RECAP *********************************************************************************************************
node01                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node02                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node03                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
node04                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

三、解密密码文件

[root@ansible-server ansible]# ansible-vault decrypt user_file 
Vault password: 
Decryption successful
[root@ansible-server ansible]# cat user_file 
user_name: bob

四、加密密码文件

[root@ansible-server ansible]# ansible-vault encrypt user_file --vault-password-file passwdfile
Encryption successful
[root@ansible-server ansible]# cat user_file 
$ANSIBLE_VAULT;1.1;AES256
61393833343530313039613366613035366462373230323165663163623434393162363764393163
3966303535336435323066373564303134396138663761340a336363313437303130303739383433
32616439366363613234643863363131313834353461623233333435613833646661396139663065
3134663162393231660a306265383932313636306565346266653936313338626664653436376437
3064

五、查看密码文件

[root@ansible-server ansible]# ansible-vault view user_file --vault-password-file passwdfile
user_name: bob

六、编辑密码文件

#更改文件内容
[root@ansible-server ansible]# ansible-vault edit user_file --vault-password-file passwdfile
user_name: tom
user_name: tom
#查看文件内容
[root@ansible-server ansible]# ansible-vault view user_file --vault-password-file passwdfile
user_name: tom
user_name: tom

七、更改密码文件的密码

[root@ansible-server ansible]# ansible-vault rekey user_file 
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful
Wan@Technology Stack
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、Ansible剧本、变量、Vault
pass_x的博客
04-16 368
一、Playbook 1. Ansible playbook和临时命令 临时命令可以作为一次性命令对一组目标主机运行一项简单的任务 play是针对清单中选定的主机运行的一组有序任务。playbook是一个文本文件,其中包含由一个或多个按特定顺序运行的play组成的列表 2. playbook介绍 以.yml结尾的yaml格式的文件,不可以使用tab,建议使用2个空格 每个playbook是由若干play组成,每个大多play由三个键值对组成:name,hosts,tasks Playbook
Ansible-ansible-vault.zip
09-18
Ansible-ansible-vault.zip,存储在保险库中的机密ansible查找插件(由hashicorp提供)ansible保险库查找模块,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
ansible lookup例子
攻城狮JasonLong的博客
01-03 556
lookup 读取csv 通过lookup方式,将用户密码把独立到credentials.csv文件中 credentials.csv # Credentials File Hostname,Password web_server,Passw0rd db_server,Passw0rd inventory db_server web_server playbook.yml - name: Test Connectivity hosts: web_server vars: ansib
ansible自动化运维工具--ansible-vaultansible-playbook实例:ansible+haproxy,ansible+haproxy+keepalived
lijua9794的博客
09-01 251
一. 二.ansible+haproxy 三.ansible+haproxy+keepalived 1.实验环境 haproxy:server12:172.25.13.12 server15: 172.25.13.15 后台server:server13:172.25.13.13 server14: 172.25.13.14 方法一: 2.编写playbook文件 3.编写hosts文件 4.运行 5.测试:访问172.25.13.100 (2)关闭server12上的keepalive
Ansible安全机制(Anisble Vault-Keeping secrets secret )
Ian_安安
08-01 651
It’s better to treat passwords and sensitive data specially, and there are two primary ways to do this: 1. Use a separate secret management service,such as Vault⁶⁵by HashiCorp,Keywhiz⁶⁶by Square,or a...
几个Vault的案例分析讲座
CAD定制乐园
03-07 1197
Vault的API专家Doug最近作了几个Case研究讲座,他的博客中提供了所有讲座的链接。你可以从我的博客中右下方找到他的博客地址: It's all just once and zeros--Doug的Vault API博客 然后找到标题为 Webinar Videos的文章。 直间的下载地址是: http://justonesandzeros.typepad.com/blog/2011/01/webinar-videos.html    
ansible-playbook-vault-dynamic-secrets:显示保险柜中的动态机密如何工作
04-16
显示保险柜中的动态机密如何工作。 概述 此设置包括: 1台运行Vault的计算机。 2台机器运行MySQL。 要求 将Digital Ocean API密钥保存在环境变量TF_VAR_do_token 。 安装了Terraform。 安装了Ansible。 准备 ...
terraform-provider-ansiblevault:从Terraform读取ansible保险库
01-30
terraform-provider-ansiblevault 通过此Terraform提供程序,您可以从Terraform访问Ansible Vault中的机密。 用 :red_heart_selector: 由谢谢感谢存储库完成了最困难的部分。安装地形0.13 该提供程序可在。 对于本地...
Ansible加密和解密的使用 (2).docx
08-05
ansible加解密的方法,提供基于playbook的加密方法,提供playbook中变量的机密方法,提供对于普通文件的加密的方法
forge-deploy-public:伪造多节点部署
02-05
应该适用于ubuntu / centos(您需要手动安装诸如ansible,yarn等工具),但不确定是否适用于Windows。 Makefile目标 有几个目标: 进行部署:执行部署任务 make Vault:创建或编辑机密配置(请首先使用make gen-...
ansible查询模块
weixin_43466725的博客
05-08 1714
https://docs.ansible.com/ansible/latest/modules/yum_module.html#id3
ansible自动化运维数据库
03-22 827
通过ansible简单对数据库主机检查和数据库表空间的检查,前提数据库主机有统一的用户名和密码. 运维环境:rhel 7.2,ansible 1.9 数据库环境:Oracle 11.2.0.4, Suse ...
ansible
光明小学王小雨的博客
04-28 249
主机IP 主机 IP linux-node1-19 10.0.0.19 linux-node2-25 10.0.0.25 linux-node3-26 10.0.0.26 linux-node4-27 10.0.0.27 一、ansible简介 ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、chef、func、fab...
python 读取数据库中数据到csv文件 ansible下发到各个agent上
啦啦啦啦的博客
02-22 341
1.创建数据库连接 def get_postgres_connect(): import psycopg2 import psycopg2.extensions psycopg2.extensions.register_type(psycopg2.extensions.UNICODE) u"""从配置文件获得数据库 connect 对象.""" conf...
使用ansible结合keepalived高可用,nginx反向代理部署小型企业环境
weixin_34348805的博客
11-29 567
前言:ansible作为一款灵活、高效、功能丰富的自动化部署工具在企业运维管理中备受推崇。本文演示使用ansible部署小型企业服务框架,实现高可用、负载均衡的目标。如有错误敬请赐教。目标环境拓扑:环境介绍:前端代理层由两台nginx实现,并安装keepalived实现地址滑动达成高可用。web层由两套Apache+PHP+WordPress 构建应用...
ansible常用命令 速查手册
lu07ya的博客
03-09 3407
目录1.1          编写目的... 41.2          适用范围... 41.3          名词解释... 41.4          格式约定... 41.5          集群信息记录... 52       集群日常管理... 52.1          集群信息备份与还原... 52.2          新增节点或资源... 52.2.1         新...
Vault从入门到精通系列之一:深入了解安全工具Vault、Vault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 3300
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault。
ansible的lookup插件
JackLiu16的博客
11-11 2083
ansible的lookup插件可以用来从外部数据读取信息,然后付给一个变量。获取外部数据信息的种类包括:读取文件内容、随机生成password、执行shell命令、读取redis键值等等。 注意,lookup的所有运算都是在ansible中控机上完成的,而不是在远程目标机上。 --- - hosts: test_server remote_user: root tasks: -...
Ansible的lookup,query,with_xxx
duke_ding2的博客
11-19 403
Ansible的lookup,query,with_xxx
ansible-galaxy collection install ansible-posix-1.4.0.tar.gz
最新发布
05-07
ansible-galaxy collection install ansible-posix-1.4.0.tar.gz 是用于安装 Ansible 的集合(collection)的命令。Ansible 集合是一组相关的 Ansible 角色、模块和插件的打包形式,可以方便地共享和重用。 具体来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值