2

我试图弄清楚 Ansible-Vault 密码将如何在生产环境中使用。我看过无数关于如何使用“Ansible-Vault”的视频和教程,他们都得出了同样的结论:

  1. 使用敏感变量加密您的文件ansible-vault encrypt

  2. 将您的保险库密码存储在一个文本文件中,并在运行 playbook 时使用它: ànsible-playbook --vault-password-file passwordFile myPlaybook.yml

我似乎不明白的问题是:

  1. 以明文形式存储的保险库密码是一个安全问题

  2. 如何将密码文件集成到脚本中(如果需要)。如果我加密密码文件,它会产生需要解决的新问题。

这可能是我的无知,但对我来说,这一切似乎更像是一个麻烦......

谢谢。

4

2 回答 2

0

只是为这个问题添加一个注释:

我同意必须在某个时候公开 Ansible-vault 密码。对此的解决方案可能是:(pass标准Unix 密码管理器)。每个密码都存在于 GPG 加密文件中,该文件又可以在 Linux 管理员等内部共享。

于 2020-02-12T11:53:17.620 回答
0

在 Ansible-Engine 中,密码将不惜一切代价公开。在 Ansible-Engine 或 Ansible OpenSource 版本中还没有处理这种情况的机制。Ansible Tower 已经为此提供了解决方案,它将加密保管库密码并将其存储在主节点中。

如果您使用任何 DevOps 管道 - 从 Jenkins 创建环境变量以获取密码文件路径或实际值。

如果您在 AWS 或任何云平台上 - 使用任何加密机制来加密值。

于 2019-10-01T14:49:17.247 回答