我试图弄清楚 Ansible-Vault 密码将如何在生产环境中使用。我看过无数关于如何使用“Ansible-Vault”的视频和教程,他们都得出了同样的结论:
使用敏感变量加密您的文件ansible-vault encrypt
将您的保险库密码存储在一个文本文件中,并在运行 playbook 时使用它:
ànsible-playbook --vault-password-file passwordFile myPlaybook.yml
我似乎不明白的问题是:
以明文形式存储的保险库密码是一个安全问题
如何将密码文件集成到脚本中(如果需要)。如果我加密密码文件,它会产生需要解决的新问题。
这可能是我的无知,但对我来说,这一切似乎更像是一个麻烦......
谢谢。
只是为这个问题添加一个注释:
我同意必须在某个时候公开 Ansible-vault 密码。对此的解决方案可能是:(pass标准Unix 密码管理器)。每个密码都存在于 GPG 加密文件中,该文件又可以在 Linux 管理员等内部共享。
在 Ansible-Engine 中,密码将不惜一切代价公开。在 Ansible-Engine 或 Ansible OpenSource 版本中还没有处理这种情况的机制。Ansible Tower 已经为此提供了解决方案,它将加密保管库密码并将其存储在主节点中。
如果您使用任何 DevOps 管道 - 从 Jenkins 创建环境变量以获取密码文件路径或实际值。
如果您在 AWS 或任何云平台上 - 使用任何加密机制来加密值。