ansible-vault
您可能已经确定了DevOps的工作流程,但是您应该不断努力提高此类实现的操作成熟度。 我使用的一种工具是Red Hat的Ansible ,它非常适合编排和配置管理。 Ansible的入门门槛低且简单,这就是为什么这么多开始使用Ansible的人学会爱上它的原因。
Ansible中的一个功能是开发人员应该更经常使用的功能是Ansible Vault 。
根据其文档,Ansible Vault(1.5)的最新版本允许将“敏感数据(例如密码或密钥)保留在加密文件中,而不是在剧本或角色中保留为纯文本。然后可以分发或存储这些保管库文件。置于源代码管理中。”
通常,私有SSL证书,API密钥和其他敏感数据会在GitHub上或通过其他一些意外方式公开发布。 Ansible Vault通过AES256加密您的机密,以便您可以将其安全地存储在Ansible Playbook和清单中。
创建文件库很简单:
ansible-vault create vault.yml
系统将提示您输入密码,该密码将与需要访问Vault的其他用户共享。 您输入变量,秘密等,并在完成后保存文件。 如果您尝试在文本编辑器中编辑vault.yml ,您将看到类似以下内容:
编辑库文件就像创建一个库文件一样简单:
ansible-vault edit vault.yml
您可以将Ansible的配置( ansible.cfg )指向存储库外部的Vault密码文件。 该文件中只有Ansible Vault密码。 此步骤使您无需在每次编辑Ansible Vault时都输入密码:
vault_password_file = ~/.ansible_vault
当使用多个库文件(例如host_vars和group_vars时,它还可以提供host_vars group_vars 。 如果您有一个包含文件库文件的目录,则可以将所有文件grep到可能已放错位置的变量中:
ls -1 | while read N ; do echo -n $N: ; ansible-vault --vault-password-file ~/.ansible_vault view $N | grep STRING ; done
另一个不错的技巧是使用Ansible Vault加密SSL / TLS密钥。 这样,您可以将它们及其配置保留在版本控制中。 您可以使用简单的命令对密钥进行加密:
ansible-vault encrypt private.pem
然后,您可以通过查找将键作为变量调用,并将其部署到远程系统上的文件中:
---
- hosts: host.domain.tld
vars:
- private_key: "{{ lookup('file', 'files/private.pem') }}"
tasks:
- name: Place certs on systems
copy: content={{ item.content }} dest=/etc/pki/tls/certs/{{ item.dest }} owner=root group=root mode={{ item.mode }}
with_items:
- { content: "{{ private_key }}", dest: 'private.pem', mode: '0600' }
您解密的私钥将落在系统上,可以立即使用。
如您所见,Ansible Vault的可能性是无限的,您的开发和运营可以从其使用中受益匪浅。
翻译自: https://opensource.com/article/16/12/devops-security-ansible-vault
ansible-vault
扫一扫
9622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
