Ansible

Теория: Ansible Vault

Полный доступ к материалам

Зарегистрируйтесь и получите доступ к этому и десяткам других курсов

Ansible Vault - механизм шифрования переменных и файлов, который помогает спрятать секретные данные, такие как пароли или ключи к разнообразным сервисам. У Ansible Vault множество вариантов использования, о которых можно подробно прочитать в документации. Здесь мы остановимся на одном, наиболее простом и универсальном. Пример этой схемы можно подсмотреть тут

Подготовка

Создайте директорию group_vars/all в той директории, откуда вы запускаете ansible (где хранится inventory файл). Yaml-файлы внутри этой директории автоматически подгружаются Ansible во время выполнения плейбуков
Создайте файл group_vars/all/vault.yml. В этом файле мы будем хранить зашифрованные переменные
Добавьте туда переменную с именем my_secret_key и значением lala

Теперь перейдем непосредственно к шифрованию. Для этого выполните следующую команду:

ansible-vault encrypt group_vars/all/vault.yml
New Vault password:
Confirm New Vault password:
Encryption successful

Перед шифрованием Ansible запросит пароль, который нужно запомнить или где-то записать, например, в менеджере паролей наподобие keepass. После установки пароля файл окажется зашифрованным. Вот как теперь выглядит его содержимое:

$ANSIBLE_VAULT;1.1;AES256
66353133343061653262393732666166313962303936626431303464363563663534386534373237
3034636362613338353739323131616465303762333431300a383838383937623565666436616162
63623934323662313466643839643466623635366138666136333361316432376464633639333862
3938323664663435310a336666666565376562363565643965346231643133333937376238326537
3539

Однажды зашифровав файл, его больше никогда не нужно расшифровывать самостоятельно. Ключевая фишка безопасности здесь в том, что файл всегда остается зашифрован. Расшифровкой занимается сам Ansible и только тогда, когда это нужно. Например во время запуска плейбука:

ansible-playbook -i inventory --ask-vault-pass playbook.yml

Для этого нужно указать опцию --ask-vault-pass. Затем Ansible запросит пароль, которым выполнялось шифрование и расшифрует данные файла. Сам файл останется зашифрованным.

Постоянное копирование пароля может утомить, поэтому существует еще один способ указания пароля. Достаточно положить его в какой-то файл, который исключен из контроля версий и указать к нему путь:

# внутри файла должен быть только пароль
ansible-playbook --vault-password-file /path/to/my/vault-password-file ...

Для изменения зашифрованного файла нужно набрать команду:

ansible-vault edit group_vars/all/vault.yml

Она откроет редактор по умолчанию (значение переменной окружения $EDITOR в системе), в котором отобразится расшифрованное содержимое файла. Файл, при этом, останется зашифрованным. Все это защищает от случайного попадания чувствительных данных в репозиторий в открытом виде.