ฉันจะรันเพลย์บุ๊ค Ansible Azure ในขณะที่หลีกเลี่ยงการจัดเก็บข้อมูลรับรองในไฟล์ได้อย่างไร

พื้นหลัง

1. เราใช้ Ansible เพื่อจัดเตรียมและจัดการโครงสร้างพื้นฐาน Azure ในขณะนี้เราเรียกใช้ Ansible "ด้วยตนเอง" นั่นคือเราเรียกใช้ playbooksสำหรับงานอัตโนมัติต่างๆ ไม่มีโครงสร้างพื้นฐาน CI
2. อาจจะไม่ได้เกี่ยวข้อง azure_rm.pyแต่เราจัดการสินค้าคงคลังของเราใช้สคริปต์แบบไดนามิก
3. เราได้รับการสนับสนุนให้มีความปลอดภัยมากที่สุดเช่น
   1. อย่าเก็บรหัสผ่านห้องนิรภัยใน~/.vault_passหรือในไฟล์ภายในเครื่อง
   2. อย่าเก็บความลับของ Azure ~/.azure/credentials
   3. อย่าเก็บสิ่งที่ปลอดภัย.bashrcไว้

ในสถานการณ์ดังกล่าวฉันมีปัญหาในการหากลยุทธ์ที่สอดคล้องกันเพื่อให้แน่ใจว่า playbooks ของฉันสามารถเข้าถึงความลับของ Azure ได้ในขณะที่ทำตามแนวทางข้างต้น

คำถาม

ฉันจะหลีกเลี่ยงการจัดเก็บข้อมูลประจำตัวของ Ansible Vault และ Azure บนไฟล์ได้อย่างไรในขณะที่ยังมั่นใจได้ว่า playbooks ของฉันสามารถเข้าถึงได้

สิ่งที่ฉันได้ลอง

จนถึงตอนนี้ฉันได้สร้างสคริปต์ตัวคลุมขึ้นมา

1. ขอให้ผู้ใช้รหัสผ่าน Vault
2. ใช้เพื่อถอดรหัส Vaulted Shell script
3. ประเมินสคริปต์ซึ่งโหลดตัวแปรสภาพแวดล้อม Azure ลงในสภาพแวดล้อม
4. เรียกใช้ playbook บนสภาพแวดล้อมที่ตั้งค่าไว้

มีโซลูชัน "Ansible" ที่ดีกว่า (หรูหรากว่าซับซ้อนกว่าหรือน้อยกว่า) ออกไปหรือไม่

รหัสผ่านห้องนิรภัย

ก่อนอื่นคุณควรทำความคุ้นเคยกับความจริงที่ว่าไฟล์รหัสผ่าน vault นั้นสามารถเรียกใช้สคริปต์ได้ ในกรณีนี้ Ansible จะเรียกใช้งานและคาดว่าจะได้รับรหัสผ่านเป็นเอาท์พุท

ตัวอย่างเช่นคุณสามารถใช้gpg-agentหรือkeychainเก็บรหัสผ่านจริงของคุณและปลดล็อคเมื่อจำเป็น อ่านเพิ่มเติมในโพสต์บล็อกนี้: https://benincosa.com/?p=3235

หากคุณเป็นคนหวาดระแวงคุณสามารถเพิ่มการแจ้งเตือนเมื่อมีการเรียกสคริปต์รหัสผ่านของคุณดังนี้:

#!/bin/bash
PARENT_PROCESS=$(ps -p $PPID -o args | tail -n 1)
osascript -e "display notification \"Vault password used by ${PARENT_PROCESS}\" with title \"Ansible\" sound name \"default\""
gpg --batch --use-agent --no-tty --decrypt key.gpg 2>/dev/null

สคริปต์รหัสผ่านห้องนิรภัยนี้ใช้key.gpgเป็นคีย์ห้องนิรภัยจริงและยังแสดงการแจ้งเตือนป๊อปอัพ (สำหรับ MacOS) พร้อมชื่อกระบวนการหลักเมื่อใช้สคริปต์ แคชตัวแทน Gpg ปลดล็อครหัสผ่านบางครั้งดังนั้นจึงไม่จำเป็นต้องป้อนรหัสผ่านทุกครั้งที่คุณเริ่มเล่น

เพียงแค่ตั้งในของคุณvault_password_file = ./vault_pass.shansible.cfg

สิ่งแวดล้อม

คุณบอกว่าคุณใช้azure_rm.pyเป็นสคริปต์คลังโฆษณาแบบไดนามิก ซึ่งหมายความว่าคุณต้องตั้งค่าข้อมูลรับรองลงในตัวแปรสภาพแวดล้อมของคุณก่อนที่คุณจะเริ่มเล่นเพลย์เยอร์ที่สามารถเล่นได้เพื่อให้สามารถใช้งานได้

คุณสามารถสร้างสองไฟล์:

secure_env (เข้ารหัสด้วยห้องนิรภัย):

export AZURE_SECRET=xxx;export AZURE_SUBSCRIPTION_ID=xxx;

set_env (ข้อความธรรมดา):

echo -n "Setting secure vars... "
eval $(ansible-vault view secure_env)
echo "done."

เมื่อคุณเปิดเทอร์มินัลใหม่เพื่อดำเนินงานอัตโนมัติของคุณคุณต้องเรียกใช้:

source set_env

ในขณะนี้ทุบตีประเมินset_envและsecure_env(ถอดรหัสผ่าน ansible-vault) หลังจากคำสั่งนี้คุณมี Azure หนังสือรับรองที่กำหนดไว้สำหรับเปลือกปัจจุบันดังนั้นคุณสามารถดำเนินการ playbooks ตามปกติ:

ansible-playbook provision-my-azure-instances.yml

ดังนั้นเมื่อใช้สองวิธีนี้คุณสามารถจัดเก็บkey.gpgและsecure_envในที่เก็บของคุณ จากนั้นในการโทรเทอร์มินัลใหม่source set_envหนึ่งครั้งให้ป้อนรหัสผ่าน gpg หนึ่งครั้ง (เพื่อปลดล็อคการใช้งาน key.gpg ในอนาคต); จากนั้นโทรansible-playbookหลายครั้งตามที่คุณต้องการโดยไม่มีรหัสผ่านใด ๆ

โปรดอ่านhttps://docs.ansible.com/ansible/2.4/vault.html เนื่องจาก Ansible 2.4 สามารถ--vault-id @promptใช้ได้

เข้ารหัสไฟล์โดยใช้ ansible-vault:

ansible-vault encrypt /path/to/encrypted/file

เรียกใช้ playbook และจะส่งผลให้:

fatal: [localhost]: FAILED! => {"msg": "A vault password or secret must be
specified to decrypt /path/to/encrypted/file"}

มีหลายตัวเลือกในการถอดรหัสไฟล์รวมถึง@prompt:

ansible-playbook some-playbook --vault-id @prompt

จะแจ้งให้:

Vault password (default):

เมื่อป้อนรหัสผ่าน vault แล้ว playbook ควรจะสำเร็จ