ansible 变量,机密

最新推荐文章于 2022-10-26 15:28:59 发布
最新推荐文章于 2022-10-26 15:28:59 发布
阅读量125 收藏
点赞数
分类专栏: ansible自动化运维 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yanghu4112/article/details/118998345
版权

ansible 变量

目录

ansible 变量

命名规范

定义变量

1.Playbook:在play和相关结构中设置的变量

2.在playbook中引用变量

主机变量

通过命令定义变量

机密管理

创建加密文件

查看加密文件

解密加密文件

加密现有文件

更改加密文件密码

命名规范

变量的命名应该符如下合两个规范:

  • 变量应该由字母、数字、下划线组成
  • 变量应该以字母开头

例:

无效的变量名称有效的变量名称
web serverweb_server
remote.fileremote_file
1st filefile_1
file1
remoteserver$1remote_server_1
remote_server1

定义变量

优先级顺序:命令行>主机变量>playbook变量

1.Playbook:在play和相关结构中设置的变量

[root@ansible opt]# cat inventory 
[lamp]
# 192.168.75.128 #php
# 192.168.75.143 #mysql

[apache]   
192.168.75.150 #apache

[apache:vars]
user=yang        //设置apache主机的变量,登录用户为yang

//编写一个脚本文件,测试
[root@ansible opt]# cat test.yml 
---
- hosts: apache
- tasks: create user
    - name: 
      user: 
        name: "{{user}}"   //创建用户,由于变量user=yang,所以最后创建的用户应该是yang
        state: present

//执行
[root@localhost opt]# ansible-playbook /test.yml 

PLAY [192.168.75.150] *********************************************************

TASK [Gathering Facts] *********************************************************
ok: [192.168.75.150]

TASK [install package] *********************************************************
changed: [192.168.75.150]

PLAY RECAP *********************************************************************
192.168.75.150           : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0 

//在受控主机上查看
[root@apache ~]# id yang 
uid=1001(yang) gid=1001(yang) 组=1001(yang)

2.在playbook中引用变量

声明了变量后,可以在任务中使用这些变量。若要引用变量,可以将变量名放在双大括号内。在任务执行时,Ansible会将变量替换为其值。

主机变量

直接应用于主机的清单变量分为两在类:

  • 主机变量,应用于特定主机
  • 组管理,应用于一个主机组或一组主机组中的所有主机

主机变量优先于组变量,但playbook中定义的变量的优先级比这两者更高。

若要定义主机变量和组变量,一种方法是直接在清单文件中定义。这是较旧的做法,不建议采用,但你可能会在未来的工作当中遇到。

定义主机变量

[root@ansible opt]# cat inventory
[lamp]
# 192.168.75.128 #php
# 192.168.75.143 #mysql

[apache]
192.168.75.150 ansible_user=yang #apache //添加apache这台主机的变量

定义组变量

[apache]
192.168.75.150

[apache:vars]
user=yang

通过命令定义变量

清单变量可被playbook中设置的变量覆盖,这两种变量又可通过在命令行中传递参数到ansible或ansible-playbook命令来覆盖。在命令行上设置的变量称为额外变量。

当需要覆盖一次性运行的playbook的变量的已定义值时,额外变量非常有用。例如:

ansible-playbook test.yml -e "user=yang"

定义servers组的user组变量,该组由两个主机组成,每个主机组有两个服务器:

[servers1]
node1.example.com
node2.example.com

[servers2]
node3.example.com
node4.example.com

[servers:children]
servers1
servers2

[servers:vars]
user=joe


此做法存在一些缺点,它使得清单文件更难以处理,在同一文件中混合提供了主机和变量信息,而且采用的也是过时的语法


通过register注册变量

//编写测试文件,使其输出在/root/bai下
---
- hosts: httpd
  tasks:
    - name:
      command: "echo wuhu"
      register: result
      
    - name:
      shell: "echo {{ result['stdout']}} > /root/bai"
      
[root@localhost opt]# ansible-playbook playbook/test.yml 

PLAY [httpd] *******************************************************************

TASK [Gathering Facts] *********************************************************
ok: [192.168.75.150]

TASK [command] *****************************************************************
changed: [192.168.75.150]

TASK [shell] *******************************************************************
changed: [192.168.75.150]

PLAY RECAP *********************************************************************
192.168.75.150            : ok=3    changed=2    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

//在apache主机上查看结果
[root@www ~]# cat bai 
wuhu

机密管理


Ansible可能需要访问密码或API密钥等敏感数据,以便能配置受管主机。通常,此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。但若如此,任何有权访问Ansible文件的用户或存储这些Ansible文件的版本控制系统都能够访问此敏感数据。这显示存在安全风险。

Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault,可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件,或者Ansible角色中定义的变量。


创建加密文件

[root@ansible opt]# ansible-vault create ang.yml //创建机密文件ang.yml
New Vault password: 
Confirm New Vault password: 
[root@ansible opt]# cat a
ang.yml      ansible.cfg  apache/      
[root@ansible opt]# cat ang.yml  //测试是否加密成功
$ANSIBLE_VAULT;1.1;AES256
35336163333631613433636165656163653437633063383737653163663934633236353236333738
6630653861343030663364663864386361353533363338650a333538646439636638613364663734
33326133636365643861336435383338363765393461333235646137373432303564333066336462
3537313566666239350a353866616161353138386238613862643535653463306439663930656335
35393430353931343334303066636366323366366132643335623634636131633633306362376435
6437366261363130626334393862313366393339653434333464

查看加密文件

//查看加密文件,输入密码后即可查看
[root@ansible opt]# ansible-vault view ang.yml 
Vault password: 
江月何年初照人。江人何年初见月

解密加密文件

[root@ansible opt]# ansible-vault decrypt ang.yml 
Vault password: 
Decryption successful
[root@ansible opt]# cat ang.yml 
江月何年初照人。江人何年初见月
[root@ansible opt]#

加密现有文件

[root@ansible opt]# ansible-vault encrypt ang.yml 
New Vault password: 
Confirm New Vault password: 
Encryption successful
[root@ansible opt]# cat ang.yml 
$ANSIBLE_VAULT;1.1;AES256
36636335643732316365623633646438653131376262363538623635323838613939393436326637
3333646166306530323563356338373033323465666262310a356463633666363239646638343037
63636634336164616164623562343861353864303035656564323436393930663831663963373331
3762646136633737300a363136623730303030343630333264633331653933663131616433613435
32643330646466653835393132613231353461373130376364316336303533373465313866636231
3535613134386136616333303733366335646634333730313035
[root@ansible opt]#

更改加密文件密码

[root@ansible opt]# ansible-vault rekey ang.yml 
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful
[root@ansible opt]#

凤箫声动.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ansible的管理变量机密和事实
Gf19991225的博客
07-22 570
管理变量机密和事实 1.管理变量 1.1Ansible变量简介 1.1.1 1.1.2 1.12 定义变量 1.2.1 1.2.2 1.3 主机变量和组变量 1.3.1 1.4 从命令行覆盖变量 1.5 使用数组作为变量 1.6 使用已注册变量捕获命令输出 2.管理机密 2.1 Ansible Vault 2.1.1 创建加密的文件 2.1.2 查看加密的文件 2.1.3 编辑现有的加密文件 2.1.4 加密现有的文件 2.1.5 解密现有的文件 2.1.6 更加加密文件的密码 2.2
ansible变量及加密
ltsazx的博客
09-16 327
ansible变量及加密变量命名变量级别变量设定和使用方式ansible文件加密 变量命名 1.只能包含数字下划线字母 2.只能用下划线字母开头 变量级别 1.全局: 从命令行或配置文件设定的 2.paly: 在play和相关结构设定的 3.主机: 由清单,事实收集或注册的任务 4.变量优先级设定:狭窄范围有限与广域范围 变量设定和使用方式 1.在playbook直接定义变量 --- - name: test var hosts: all vars: USER: westo
Ansible系列(五):各种变量定义方式和变量引用
weixin_34187822的博客
09-21 1222
Ansible系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html 1.1 ansible facts facts组件是用来收集被管理节点信息的,使用setup模块可以获取这些信息。 ansible-doc -s setup - name: Gathers facts about remote host...
Ansible 变量使用详解(一)
小楼一夜听春雨,深巷明朝卖杏花
10-24 1018
ansible使用变量,能让我们的工作变得更加灵活,在ansible变量的使用方式有很多种,我们慢慢聊。 先说说怎样定义变量变量名应该由字母数字下划线组成变量名需要以字母开头ansible内置的关键字不能作为变量名。 由于之前的几篇文章都是在通过剧本举例,所以我们先聊聊怎样在playbook使用变量。 PlayBook变量定义 如果我们想要在某个play定义变量,可以借助vars关键字,示例如下: --- -hosts:test70 vars: te...
Ansible变量及加密
qq_46490950的博客
06-13 168
变量命名 1.只能包含数字下划线字母! 2.只能用下划线字母开头! 变量级别 全局: 从命令行或配置文件设定的 play: 在play和相关结构设定的 主机: 由清单,事实收集或注册的任务 变量优先级设定: 狭窄范围有限与广域范围 变量设定和使用方式 1.在playbook直接定义变量 例如: --- - name: test var hosts: all vars: USER: westosuser tasks: - name: create us
ansible变量机密
qq_58733916的博客
10-26 174
ansible变量机密
Ansible加密和解密的使用 (2).docx
08-05
Ansible-Vault 可以加密任何 Ansible 使用的文件,包含 Inventory 变量、Playbook 调用的变量文件、通过参数传递给 Playbook 的变量文件、Ansible-Roles 定义的变量文件。 Ansible-Vault 使用的是外部的 Python ...
ansible-role-hedgedoc
05-26
Cookie会话机密,用于对会话Cookie进行签名 ThisIsSecret!Do_not_useMe 数据库(必填) 变量名 功能 默认 评论 hedgedoc_db_dialect 数据库的方言 postgres mysql , postgres , sqlite和mssql hedgedoc_db_...
Ansible-Tower-3.0-安装配置及使用指南2.rar
01-30
3. 安全性:对敏感数据使用Ansible Vault加密,保护机密信息。 4. 自动化测试:编写测试套件,确保Ansible配置的正确性和稳定性。 总结,Ansible Tower 3.0为CentOS用户提供了一套强大而直观的自动化工具,通过深入...
ansible-playbook-vault-dynamic-secrets:显示保险柜的动态机密如何工作
04-16
显示保险柜的动态机密如何工作。 概述 此设置包括: 1台运行Vault的计算机。 2台机器运行MySQL。 要求 将Digital Ocean API密钥保存在环境变量TF_VAR_do_token 。 安装了Terraform。 安装了Ansible。 准备 ...
ansible-role-software:为您的开发人员机器配置的无痛软件
02-08
安装受影响的软件的任何人都应覆盖的机密(请参阅vars/secrets.yml )。 依存关系 没有。 剧本范例 - hosts : localhost roles : - painless.software 用法 理想情况下,您可以将此角色与自动配置配合使用(例如,...
ansible playbook使用
Yanghu4112的博客
07-20 1110
简介: ansbile-playbook是一系统ansible命令的集合,其利用yaml 语言编写,运行过程,ansbile-playbook命令根据自上而下的顺序依次执行。同时,playbook开创了很多特性,它可以允许你传输某个命令的状态到后面的指令,如你可以从一台机器的文件抓取内容并附为变量,然后在另一台机器使用,这使得你可以实现一些复杂的部署机制 playbook通过ansible-playbook命令使用,它的参数和ansible命令类似,如参数-k(–ask-pass) 和 -K (–a
ansible 条件判断 循环 handlers 任务失败
Yanghu4112的博客
07-27 723
条件判断 有条件地运行任务 Ansible可使用conditionals在符合特定条件时执行任务或play。例如,可以利用一个条件在Ansible安装或配置服务前确定受管主机上的可用内存。 我们可以利用条件来区分不同的受管主机,并根据它们所符合的条件来分配功能角色。Playbook变量、注册的变量Ansible事实都可通过条件来进行测试。可以使用比较字符串、数字数据和布尔值的运算符。 以下场景说明了在Ansible使用条件的情况: 可以在变量定义硬限制(如min_memory)并将它与受管主
在受控主机上创建文件或目录
Yanghu4112的博客
07-27 566
修改文件并将其复制到主机 描述文件模块 Files模块库包含的模块允许用户完成与Linux文件管理相关的大多数任务,如创建、复制、编辑和修改文件的权限和其他属性。下表提供了常用文件管理模块的列表: 常用文件模块 模块名称 模块说明 blockinfile 插入、更新或删除由可自定义标记线包围的多行文本块 copy 将文件从本地或远程计算机复制到受管主机上的某个位置。 类似于file模块,copy模块还可以设置文件属性,包括SELinux上下文件。 fetch .
系统角色的使用和角色构建创建方式
Yanghu4112的博客
08-05 457
系统角色的使用和角色构建创建方式 1.控制执行顺序 对于playbook的每个play,任务按照任务列表的顺序来执行。执行完所有任务后,将执行任务通知的处理程序 在角色添加到play后,角色任务将添加到任务列表的开头。如果play包含第二个角色,其任务列表添加到第一个角色之后。 角色处理程序添加到play的方式与角色任务添加到play相同。每个play定义一个处理程序列表。角色处理程序先添加到处理程序列表,后跟play的handlers部分定义的任何处理程序。 在某些情形,可能需要在角
ansible 使用playbook部署lamp
Yanghu4112的博客
07-20 381
部署环境 ip 需要安装的服务 192.168.75.142 ansible 192.168.75.143 mysql 192.168.75.150 apache 192.168.75.128 php 思路: 1.在/opt/palybook目录下分别创建mysql,apache,php的yml文件,编写脚本 2..在ansible主机上安装httpd服务,更改配置文件,然后复制一份移动到/opt/playbook/apache目录下备用 3
使用ansible分离式部署lamp
Yanghu4112的博客
07-20 303
LNMP是什么? LNMP是指一组通常一起使用来运行动态网站或者服务器的自由软件名称首字母缩写。L指Linux,N指Nginx,M一般指MySQL,也可以指MariaDB,P一般指PHP,也可以指Perl或Python。 为什么使用LNMP、LNMP有什么特点? LNMP动态网站部署架构是一套由Linux + Nginx + MySQL + PHP组成的动态网站系统解决方案,具有免费、高效、扩展性强且资源消耗低等优良特性。用于部署轻量级动态网站,其功能丰富、稳定性源自于采用了分阶段的资源分配技术,降低了C
ansible部署
Yanghu4112的博客
07-15 298
1.清单文件位置: 1.1清单文件定义 清单定义ansible将要管理的一批主机,这些主机可以分配到组,进行集管理,组里可以包含子组,主机也可以是多个组的成员。清单还可以设置应用到它所定义的主机和组的变量。 可以通过两种方式定义主机清单: 静态主句可以通过文本文件定义。动态主机清单可以根据需要使用的外部信息提供程序,通过脚本或其他程序来生成 1.2通过静态文件管理受管主机 静态清单文件里是受管...
ansible 变量
最新发布
10-10
您可以在 Ansible 使用多种类型的变量,包括全局变量、主机变量和组变量。 全局变量:全局变量在所有主机和组之间共享。您可以将全局变量定义在 Ansible 的配置文件,也可以在命令行上通过 `-e` 参数传递。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值