问题标签 [ansible-vault]

我正在尝试在 .net core 3.0 和 Azure KV 中实现/理解 SQL Always Encrypted。

我能够使用 MSFT 自己提供的文档https://docs.microsoft.com/en-us/azure/sql-database/sql-database-always-encrypted-azure-key-vault成功实施一个可行的解决方案VS2019 和完整的 .NET。

但是，对于我的用例，我希望使用 .net 核心来完成。

我已经看到现在有这个预览，https://devblogs.microsoft.com/dotnet/introducing-the-new-microsoftdatasqlclient/。

// 创建一个 SqlConnectionStringBuilder。SqlConnectionStringBuilder connStringBuilder = new SqlConnectionStringBuilder(connectionString);

根据文档，这应该可行。https://docs.microsoft.com/en-us/dotnet/api/system.data.sqlclient.sqlconnectionstringbuilder?view=netcore-3.0

但事实并非如此。我做错了什么？

如何将存储在环境变量中的 ansible-vault 的密码传递给命令

我无法传递文件或使用交互式 shell 来输入密码，因为这些命令是从不支持它们的管道运行的。

我尝试了类似的东西

但这没有用。

我阅读了文档https://docs.ansible.com/ansible/latest/user_guide/vault.html但在那里找不到解决方案。

我对如何使用 ansible 管理多个环境（产品/开发）感到非常困惑。我也在使用分子在本地进行测试。

所以这是我现在的项目布局。

这是根据文档的目录结构

现在我有我的分子文件，我可以像这样链接开发目录

因此，Molecule 可以很好地使用 vagrant 驱动程序进行本地测试，例如，我还可以将其设置为使用 EC2 驱动程序在云中对其进行测试。到目前为止，一切都很好。

但是如何启动 my_playbook.yml？当我使用ansible-playbook my_playbook.ymlthen 它不知道在哪里寻找变量，因为有两个环境。如何告诉 Ansible 查看 inventory/prod/group_vars 和 inventory/prod/host_vars，然后通过主机和组名进一步解析，就像在 hosts.yml 中定义的那样，而不影响我的分子设置？

当我在根目录中设置 group_vars/ 和 host_vars/ 时，它可以工作

我想将密码传递给ansible.

该通行证使用 ansible vault 加密，我将其保存在一个文件中，并且我有可用于解密的 ansible vault pass。

我需要使用解密后的密码作为 ansible_password。

到目前为止，我有：

run.sh: sh 脚本来运行我需要运行的 ad_hoc 命令

和

someenv_vault.yaml带有 Vault 加密通行证的文件

和

~/.vault_pass

如何将解密的保管库密码获取到 ansible ad hoc 命令中？

当我运行 ansible 剧本时

我设置的密码发送给所有人module_args：

那很不好。它甚至没有被编辑。

更新 1

运行剧本时，环境变量设置为：

它们实际上是模块参数......

我正在使用 ansible 2.7.16。

ansible 文档说：

我有以下 .yml 文件：

我想得到一个解密的文件，然后我尝试了命令：

ansible-playbook --vault-password-file pass.txt config.yml

但我收到以下错误：

我怎样才能获得解密变量的 .yml 文件？

我已经成功设置了一个vault_password_file包含从 Bitwarden 读取密码的脚本。

我想对“成为密码”做同样的事情，但不知道在哪里以及如何实现。

ansible.cfg 是：

Ansible-vault-pass 如下，虽然细节无关紧要，但这有效：

我有一个类似的脚本来查找并返回成为密码，但找不到如何将其挂钩到要使用的配置中，而不是提示用户。

我知道将其设置为group_vars/all/clear.yml，例如如下：

然后将密码存储在保险库中。这种方法的问题在于，保管库在可以在服务器队列上运行 ansible 的系统管理员之间共享。但我不希望任何这样的 syadmin 能够读取他们同事的 sudo 密码。因此使用 Bitwarden/script 的方法。

我使用 ansible Vault 创建了一个加密文件，如下所示：

似乎 ansible 在这里创建了一个新的保险库，因为它要求我提供新的保险库密码。没关系，我为要创建的新 Vault 提供了密码。这一切似乎都很好，我提供了密码以在 playbook 运行期间解密文件。

现在我想创建另一个加密文件，我想将它存储到我之前创建的同一个保管库中，这样我就不需要为第二个文件设置单独的密码了。怎么做？我试图重复命令：

但问题是它再次询问新的保险库密码，这表明它希望我创建另一个保险库？我不想那样做。那么如何为新的加密文件应用现有的 ansible 保险库？我尝试阅读 ansible 文档，但没有找到任何有关如何操作的指南。

最近我使用“用户”模块创建用户，密码在 vars/main.yml 中提供

一旦运行剧本，它就会给我这个警告

然后我使用 ansible-vault encrypt_string 命令"pamuser_pass"通过将明文替换为 ansible-vault 给我的保险库密码来仅加密特定变量

/vars/main.yml 中的内容

然后我删除当前的pamuser并使用命令重新运行剧本

随着正在运行的进程，它仍然显示警告

id pamuser 的结果似乎很好，但是一旦使用 ssh pamuser@example.com 登录然后输入常规密码，密码就不起作用了。我不能用那个pamuser登录。

有什么我错过的吗？

我是ansible的新手。我正在尝试通过使用 jenkins 的 ansible 的帮助在 142.23.9.23 中执行一些部署任务。我遇到错误失败！=> {"msg": "'become_pass' 字段的值无效，其中包含未定义的变量。错误是：'tomcat_password' 未定义"}。

我也愿意接受新的建议。

下面是详细信息

目录

我的剧本.yml

主机详细信息.yml

ansible-vault 编辑 vault.yml