ansible 加密

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/wang725/article/details/79966934

当我们使用ansible完全自动化地运维服务器的是时候,运行某些任务时,不可避免的会接触到一些密码或其他敏感数据,这些数据可能是管理员密码/SSH私钥或远程主机的认证信息。
大部分情况下,ansible自带的vault功能能满足加密的需求。
ansible vault的工作方式与现实生活中的保险柜的工作方法很像:
1. 把ansible任务中用到的任意文件放入vault保险柜中
2. ansible vault 会使用密码来加密这些文件,与用钥匙把保险柜的门锁起来一样
3. 把密码(钥匙)保存在一个只有我们自己知道或有权限访问的地方,与playbook独立分开存储
4. 在需要运行playbook的时候,拿出密码(钥匙),解密敏感数据(打开保险柜,拿出数据),就能正常执行playbook任务了

1. 文件加密

文件:

wfq@ubuntu:~/playbook$ cat key.yml
---
test
wfq@ubuntu:~/playbook$

加密:

wfq@ubuntu:~/playbook$ ansible-vault encrypt key.yml 
Vault password: 
Confirm Vault password: 
Encryption successful
wfq@ubuntu:~/playbook$ cat key.yml 
$ANSIBLE_VAULT;1.1;AES256
31363436356265643434363066376538626131346534353061356636633739623030336230343261
6361643530666336343336383466323233353932626437620a646337376232363134636536653933
61666638393939633134393031373665323766646166323361363033346432343063333633353231
6338363864333632380a306137383532343337663939336464636630313535303662323732363135
3461
wfq@ubuntu:~/playbook$

2. 解密:

2.1. 手动解密

wfq@ubuntu:~/playbook$ ansible-vault decrypt key.yml 
Vault password: 
Decryption successful
wfq@ubuntu:~/playbook$ cat key.yml 
---
test
wfq@ubuntu:~/playbook$

2.2. 文件解密

除了手动输入密码进行解密以外,ansible还提供了以密码文件的形式来解密的认证方式,着类似SSH的密钥认证。SSH将密钥放于~/.ssh目录下面,ansible vault将密码文件放置于~/.ansible,对于这个文件必须要有严格的权限控制,需设置权限为600.
例如:
需要加密的敏感数据:

wfq@ubuntu:~/playbook$ cat key.yml 
---
test
wfq@ubuntu:~/playbook$

加密的密码保存在~/.ansible/vault_pass,密码为test

wfq@ubuntu:~/playbook$ echo 'test' >  ~/.ansible/vault_pass

加密

wfq@ubuntu:~/playbook$ ansible-vault encrypt key.yml
Vault password: 
Confirm Vault password: 
Encryption successful

查看加密过的文件

wfq@ubuntu:~/playbook$ cat key.yml                  
$ANSIBLE_VAULT;1.1;AES256
39393130653534313334313061653839643764336633333963393565343564633536316664626162
3836396265663466333635393139323239666237373738300a646566383534653863613639336239
30366137363230346339623761623962353565383861373866346532383135333134613166656363
6232623936613830640a633737663038396263333331373265653361313638366434363733393839
3932
wfq@ubuntu:~/playbook$

通过密码文件来解密

ansible-vault decrypt key.yml --vault-password-file ~/.ansible/vault_pass
wfq@ubuntu:~/playbook$ ansible-vault decrypt key.yml --vault-password-file ~/.ansible/vault_pass
Decryption successful
wfq@ubuntu:~/playbook$ cat key.yml 
---
test
wfq@ubuntu:~/playbook$
注:

ansible vault采用AES-256加密算法对文件进行加密,这种加密算法极为安全。使用目前世界上运算速度最快的集群来7*24小时解密一个通过该算法加密的文件,也需要数十亿年的时间才能完成破解。

阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页