1

部分木偶到 ansible 迁移。当前的 puppet 配置使用 eyaml:

:eyaml:
  :datadir: /opt/puppet/yamls
  :pkcs7_private_key: /opt/puppet/secure/keys/eyaml_private_key.pkcs7.pem
  :pkcs7_public_key:  /opt/puppet/public/eyaml_public_key.pkcs7.pem
  :extension: 'yaml'

Ansible 有实现加密的保险库,但据我所知,它需要将密码作为纯文本存储在文件中。

我可以为 ansible vault 使用类似于 eyaml 的组合键吗?

4

2 回答 2

1

你是对的,ansible-vault 只支持使用密码作为加密密钥。

Hashicorp Vault具有可插入的身份验证系统,其中一个内置选项使用 PEM 格式的证书。有一个简单的插件可以将 Vault 与 Ansible 集成。与共享加密文件方法相比,Vault 还提供了许多其他优势,但这是一个不适合这里的更大主题。

于 2016-09-13T17:43:59.043 回答
1

据我所知,它需要将密码作为纯文本存储在文件中。

不太正确。您可以将可执行路径作为--vault-password-file值传递。
因此,您可以使用一些脚本来执行任何类型的密码管理,只需将密钥打印到标准输出(将作为保管库密码通过管道传输到 Ansible)。

于 2016-09-13T21:10:51.247 回答