变量与机密

最新推荐文章于 2024-10-01 22:54:40 发布
最新推荐文章于 2024-10-01 22:54:40 发布
阅读量98 收藏
点赞数
分类专栏: Ansible 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanghx2/article/details/118998674
版权
本文介绍了Ansible中的变量使用,包括变量定义、在Playbook中的应用,以及如何通过目录结构管理主机和组变量。此外,还详细阐述了AnsibleVault的功能,它是Ansible用来加密敏感数据如密码和API密钥的工具,确保了配置文件的安全性。
摘要由CSDN通过智能技术生成

变量与机密

1、变量

1.1、Ansible变量简介

Ansible支持利用变量来存储值,并在Ansible项目的所有文件中重复使用这些值。这可以简化项目的创建和维护,并减少错误的数量。

通过变量,可以轻松地在Ansible项目中管理给定环境的动态值。例如,变量可能包含下面这些值:

要创建的用户
要安装的软件包
要重新启动的服务
要删除的文件
要从互联网检索的存档

变量的名称必须以字母开头,并且只能包含字母、数字和下划线。

1.2、定义变量

可以在Ansible项目中的多个位置定义变量。不过,这些变量大致可简化为三个范围级别:

  • 全局范围:从命令行或Ansible配置设置的变量
  • Play范围:在play和相关结构中设置的变量
  • 主机范围:由清单、事实收集或注册的任务,在主机组和个别主机上设置的变量

如果在多个xeklh定义了相同名称的变量,则采用优先级别最高的变量。窄范围优先于更广泛的范围:由清单定义的变量将被playbook定义的变量覆盖,后者将被命令行中定义的变量覆盖。
清单变量可被playbook中设置的变量覆盖,这两种变量又可通过在命令行中传递参数到ansible或ansible-playbook命令来覆盖。在命令行上设置的变量称为额外变量。
变量在Ansible Playbook中发挥着重要作用,因为它们可以简化playbook中变量数据的管理。

1.3、 在Playbook中定义变量

编写playbook时,可以定义自己的变量,然后在任务中调用这些值。例如,名为web_package的变量可以使用值httpd来定义。然后,任务可以使用yum模块调用该变量来安装httpd软件包。

Playbook变量可以通过多种方式定义。一种常见的方式是将变量放在playbook开头的vars块中:

- hosts: all
  vars:
    user: joe
    home: /home/joe

也可以在外部文件中定义playbook变量。此时不使用playbook中的vars块,可以改为使用vars_files指令,后面跟上相对于playbook位置的外部变量文件名称列表:

- hosts: all
  vars_files:
    - vars/users.yml

1.4、 在Playbook中使用变量

声明了变量后,可以在任务中使用这些变量。若要引用变量,可以将变量名放在双大括号内。在任务执行时,Ansible会将变量替换为其值。

vars:
  user: joe
  
tasks:
  - name: Creates the user {{ user }}
    user:
      name: "{{ user }}"

注意:当变量用作开始一个值的第一元素时,必须使用引号。这可以防止Ansible将变量引用视为YAML字典的开头。

1.5、使用目录填充主机和组变量

定义主机和主机组的变量的首选做法是在与清单文件或目录相同的工作目录中,创建group_vars和host_vars两个目录。这两个目录分别包含用于定义组变量和主机变量的文件。

建议的做法是使用host_vars和group_vars目录定义清单变量,而不直接在清单文件中定义它们。

为了定义用于servers组的组变量,需要创建名为group_vars/servers的YAML文件,然后该文件的内容将使用与playbook相同的语法将变量设置为值
类似的,为了定义用于特定主机的主机变量,需要在host_vars目录中创建名称与主机匹配的文件来存放主机变量。

下面的示例更加详细的说明了这一做法。例如在一个场景中,需要管理两个数据中心,并在~/project/inventory清单文件中定义数据中心主机:

[root@localhost ~]# mkdir ~/project
[root@localhost ~]# vim ~/project/inventory
[datacenter1]
node1.example.com
node2.example.com

[datacenter2]
node3.example.com
node4.example.com

[datacenters:children]
datacenter1
datacenter2

如果需要为两个数据中心的所有服务器定义一个通用值,可以为datacenters主机组设置一个组变量:

[root@localhost ~]# mkdir ~/project/groupo_vars
[root@localhost ~]# vim ~/project/groupo_vars/datacenters
package: httpd
如果要为每个数据中心定义不同的值,可以为每个数据中心主机组设置组变量:

[root@localhost ~]# vim ~/project/groupo_vars/datacenter1
package: httpd
[root@localhost ~]# vim ~/project/groupo_vars/datacenter2
package: apache2

如果要为每一数据中心的各个主机定义不同的值,则在单独的主机变量文件中定义变量:

[root@localhost ~]# mkdir ~/project/host_vars
[root@localhost ~]# vim ~/project/host_vars/node1.example.com
package: httpd
[root@localhost ~]# vim ~/project/host_vars/node2.example.com
package: apache2
[root@localhost ~]# vim ~/project/host_vars/node3.example.com
package: mariadb-server
[root@localhost ~]# vim ~/project/host_vars/node4.example.com
package: mysql-server

2.机密

2.1 Ansible Vault

Ansible可能需要访问密码或API密钥等敏感数据,以便能配置受管主机。通常,此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。但若如此,任何有权访问Ansible文件的用户或存储这些Ansible文件的版本控制系统都能够访问此敏感数据。这显示存在安全风险。

Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault,可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件,或者Ansible角色中定义的变量。

2.2、 创建加密的文件

要创建新的加密文件,可使用ansible-vault create filename命令。该命令将提示输入新的vault密码,然后利用默认编辑器vi打开文件。我们可以设置和导出EDITOR环境变量,通过设置和导出指定其他默认编辑器。

[root@localhost ~]# ansible-vault create secret.yml
New Vault password: 
Confirm New Vault password:

我们还可以用vault密码文件来存储vault密码,而不是通过标准输入途径输入vault密码。这样做需要使用文件权限和其他方式来严密保护该文件。

[root@localhost ~]#ansible-vault create --vault-password-file=vault-pass secret.yml

2.3、查看加密文件:

[root@localhost ~]# ansible-vault view secret.yml
Vault password:

2.4、编辑加密文件:

[root@localhost ~]# ansible-vault edit secret.yml
passwd=yyyhhhxxx
~                                                                                                    
~

2.5、 加密现有的文件

要加密已存在的文件,请使用ansible-vault encrypt filename命令。此命令可取多个欲加密文件的名称作为参数。

[root@localhost ~]# ansible-vault encrypt secret1.yml secret2.yml
New Vault password: 
Confirm New Vault password:

使用–output=OUTPUT_FILE选项,可将加密文件保存为新的名称。只能通过–output选项使用一个输入文件。

2.6、解密现有的文件

现有的加密文件可以通过ansible-vault decrypt filename命令永久解密。在解密单个文件时,可使用–output选项以其他名称保存解密的文件。

[root@localhost ~]# ansible-vault decrypt secret1.yml --output=secret1-decrypted.yml
Vault password:

2.7、 更改加密文件的密码

使用ansible-vault rekey filename命令更改加密文件的密码。此命令可一次性更新多个数据文件的密钥。它将提示提供原始密码和新密码。

[root@localhost ~]# ansible-vault rekey secret.yml
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful
快乐风男!
关注
专栏目录
ansible自动化运维(3)
FYRXP的博客
04-27 390
4.管理变量和事实 将playbook中的某些值使用变量代替,从而 简化playbook的编写 ######管理变量###### #ansible变量简介 变量可能包含下面这些值: 要创建的用户、 要安装的软件包、 要重启的服务、 要删除的文件、 要从互联网检索的文档 #命名变量 变量名称必须以字母开头,并且只能含有字母、数字和下划线 错误正确 webserverweb_server westos...
Ansible中变量机密
HyyyyYUe的博客
09-04 586
Ansible-变量 1.使用项目清单文件里面配置控制主机的ip和密码执行ping命令 [root@ansible jay]# vi inventory 192.168.10.129 ansible_password=123456 [root@ansible jay]# ansible 192.168.10.129 -i inventory -m ping 192.168.10.129 | SUCCESS => { "ansible_facts": { "discover
内网离线 k3s Rancher 高可用安装部署流程
小康子的博客
08-02 7326
内网离线 k3s 安装高可用 Rancher v2.5.14 并部署下游集群。
管理变量机密和事实
爱情买卖
07-22 160
文章目录管理变量机密和事实1.Ansible变量简介2.命令变量3.定义变量4.playbook中的变量5.在playbook中定义变量6.在playbook中使用变量7.主机变量和组变量8.使用目录填充主机和组变量9.从命令行覆盖变量10.使用数组作为变量11.使用已注册变量捕获命令输出12.管理机密(ansible vault)13.创建加密文件14.查看加密的文件15.编辑现有加密的文件16.加密现有文件17.解密现有文件18.更改加密文件的密码18.更改加密文件的密码 管理变量机密和事实 1
ansible之playbook
weixin_43834060的博客
04-19 237
实施playbook 1.1 编写和运行playbook yaml 格式通常以yml 为扩展名,yaml 对于缩进量没有严格要求,但是有两个基本原则: 1.处于同一层次结构中同一级别的数据元素必须具有相同的缩进量 2.如果项目属于其他项目的子项,其缩进量必须大于父项 示例1: 查看指定用户的临时命令 ansible -m user -a "name=student uid=1000 state=p...
Ansible变量机密、事实
weixin_60012466的博客
07-25 771
文章目录ansible变量机密、事实变量简介:变量名的定义:变量定义的范围playbook中的变量在Playbook中使用变量主机变量和组变量使用数组做为变量从命令行覆盖变量使用已注册变量捕获命令输出机密简介创建加密文件查看加密的文件编辑现有的机密文件加密现有的文件解密现有的文件更改加密文件的密码运行加密的playbook文件管理变量文件的推荐做法事实事实简介将事实作为变量注入关闭事实收集创建自定义事实魔法变量 ansible变量机密、事实 variables :变量 vaults :机密
undercover:将您的环境变量机密安全地存储在 git 中
07-24
将您的环境变量机密安全地存储在 git 中。 这个脚本是一个单文件纯 nodejs 脚本。 快速使用(无需安装) npx zx https://raw.githubusercontent.com/a7ul/undercover/main/undercover.mjs help 安装 您可以通过...
ansible变量机密
qq_58733916的博客
10-26 194
ansible变量机密
Ansible的管理变量机密和事实
Gf19991225的博客
07-22 612
管理变量机密和事实 1.管理变量 1.1Ansible变量简介 1.1.1 1.1.2 1.12 定义变量 1.2.1 1.2.2 1.3 主机变量和组变量 1.3.1 1.4 从命令行覆盖变量 1.5 使用数组作为变量 1.6 使用已注册变量捕获命令输出 2.管理机密 2.1 Ansible Vault 2.1.1 创建加密的文件 2.1.2 查看加密的文件 2.1.3 编辑现有的加密文件 2.1.4 加密现有的文件 2.1.5 解密现有的文件 2.1.6 更加加密文件的密码 2.2
学习playbook 2 管理变量和事实
qq_46094902的博客
04-15 308
3.管理变量和事实 主机变量和组变量 直接应用于主机的清单变量分为两大类: 1.主机变量:应用于特定主机 2.组变量:应用于一个主机组或一组主机组中的所有主机 主机变量优先于组变量,但是 playbook 中定义的变量比这两者更高 dbservers 主机组的 user 组变量: 管理变量的练习 创建 playbook,来安装 apache 并开启,使可被访问,playbook 查询...
ansible管理变量
m0_46289146的博客
07-22 241
管理变量ansible管理变量1、ansible变量(variables)简介1.1 命名变量1.2 定义变量1.3 变量的作用1.4 playbook中的变量1.4.1 在play开头定义变量1.4.2 文件方式定义变量1.5 主机变量与组变量1.5.1 定义主机变量和组变量1.5.2 使用目录填充主机和组变量1.6 从命令行覆盖变量1.7 使用数组作为变量1.8 变量捕捉 ansible管理变量 1、ansible变量(variables)简介 Ansible支持利用变量来存储值,并在Ansible项目
31.ansible自动化运维
weixin_44754697的博客
06-05 206
一、ansible简介 (1)什么是ansible ansible是一款开源自动化平台,是一个配置管理工具,自动化运维工具 (2)ansible的优点 1.跨平台支持 2.人类可读自动化: ansible提供linux,Windows,unix和网络设备的无代理支持,适用于物理、虚拟、云和容器环境 3.完美描述应用:playbook 4.轻松管理版本控制:playbook是纯文本,可视作源代码 5...
Ansible——管理变量机密、事实
NeaWalke的博客
07-22 385
管理变量 ansbile变量概述 ansible支持利用变量来存储值,并在ansible项目的所有文件中重复使用这些值,这可以简化项目的创建和维护,并减少错误的数量。 通过变量,可以轻松地在Ansible项目中管理给定环境的动态值。 变量命名 变量的名称必须以字母开头,并且只能包含字母、数字和下划线。 变量命名 Ansible项目中可以在多个位置定义变量 Ansible变量的三大范围: 全局范围:从命令行或Ansible配置设置的变量 Play范围:在playbook和相关结构中设置的变量 之际范围:
ansible中的管理变量和事实
Aimee_c的博客
04-10 859
文章目录1.管理变量1.1 ansible变量简介1.2 在playbook中定义变量1.在playbook开头的vars块中定义变量(常见方式)2.在外部文件定义playbook变量1.3 在playbook中使用变量1.4 变量的分类1.定义主机变量和组变量:2.管理机密3.管理事实 1.管理变量 将playbook中的某些值使用变量代替,从而简化playbook的编写 。 1.1 ansib...
Playbook特殊用法、变量的使用
m0_46516861的博客
07-23 324
Playbook特殊用法、变量的使用 1 playbook语法变化 YAML注释 注释可以用于提高可读性,在yaml中 编号或井号字符(#)右侧的所有内容都是注释,如果注释的左侧有内容,请在该编号符合前面加个空格 # 注释内容 编辑内容 编辑内容 # 注释内容 (不建议使用这种注释) YAML字符串 YAML中的字符串通常不需要放在引号里,即使字符串中包含空格。字符串可以用双引号或单引号括起。 编写多行字符串有两种方式。可以使用管道符表示要保留字符串中的换行字符 [root@ansible pla
ansible——管理变量机密和事实
qq_45225437的博客
04-29 435
文章目录一、ansible变量简介二、playbook中的变量1. 定义变量2. 使用变量 一、ansible变量简介 为什么要设定变量:将 playbook 中的某些值使用变量代替,从而简化 playbook 的编写 变量包含的值:要创建的用户、要安装的软件包、要重启的服务、要删除的文件、要从互联网检索的文档 命令变量的格式:变量名称必须以字母开头,并且只能含有字母、数字和下划线 示例:web...
Linux 性能优化之CPU 多级缓存
山河已无恙
09-30 1050
博文内容为 Linux CPU 多级缓存认知内容涉及:什么是CPU多级缓存认知,CPU 硬件缓存信息,缓存流程写入策略,映射算法认知CPU 缓存分析,使用 valgring 和 Perf 分析CPU 缓存命中情况编码方面 CPU 缓存优化,数据指令缓存,多核缓存命中率优化方式理解不足小伙伴帮忙指正 😃,生活加油哦99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。
Linux 再入门整理:详解 /etc/fstab 文件
最新发布
一只奋斗的猪
10-01 1242
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
信息论基础:随机变量与信源编码解析
"信息论与编码理论复习资料" 在信息论中,随机变量和随机矢量...至于密码编码,它是信息安全的一部分,用于保护信息的机密性和完整性,通常不直接与信源编码和信道编码合并,而是作为额外的一层保障存在于通信系统中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值