อะไรคือรูปแบบของ Ansible ที่เทียบเท่ากับ `--vault-password-file`?

ตามความช่วยเหลือของ ansible-playbook เราสามารถใช้--user=REMOTE_USERเพื่อกำหนดผู้ใช้ ssh แต่สามารถกำหนดได้ansible_ssh_user: REMOTE_USERใน host- หรือ group_vars

คำถาม

สิ่งที่จำเป็นต้องมีตัวแปรที่จะกำหนดไว้ในกลุ่มการอย่างใดอย่างหนึ่งหรือ host_vars ไดเรกทอรีเพื่อป้องกันการที่--vault-password-fileจะต้องมีการกำหนดไว้ในขณะที่ทำงานansible-playbook?

ความพยายามในการ

• เมื่อansible_vault_password_file: ~/.vault_pass.txtมีการกำหนดไว้ในการกำหนดค่าการถอดรหัสล้มเหลว:

  ERROR! Decryption failed on /path/to/vault
  

• ไม่พบตัวแปร vault ที่เชื่อมโยงในเอกสารนี้

นี่คือคำจำกัดความ:

DEFAULT_VAULT_PASSWORD_FILE = get_config(p, DEFAULTS, 'vault_password_file', \
'ANSIBLE_VAULT_PASSWORD_FILE', None, value_type='path')

หมายความว่าคุณใส่ ansible.cfg หรือ playbook:

vault_password_file: ~/.vault_pass.txt

หรือในเปลือกของคุณกำหนดตัวแปรนี้:

export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt

คุณสามารถตั้งค่าตัวแปรสภาพแวดล้อมที่ANSIBLE_VAULT_PASSWORD_FILEจัดเก็บพา ธ ไฟล์รหัสผ่าน vault วิธีนี้คุณจะไม่ใช้--vault-password-fileสวิตช์เสมอเมื่อเรียกใช้ playbook

นี้จะอธิบายในเอกสาร Vault เบิ้ลของที่มีอยู่ที่นี่

ให้เพิ่มexport ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txtที่คุณ~/.bash_profileแหล่งที่มาจากมันและคุณพร้อมที่จะไป

หากคุณต้องการรหัสผ่านห้องนิรภัยที่แตกต่างกันสำหรับกลุ่มโฮสต์ที่ต่างกันคุณควรทำสิ่งต่อไปนี้:

ภายในไดเรกทอรีย่อยนี้สร้างสองไฟล์ชื่อ vars และ vault ภายในไฟล์ vars ให้กำหนดตัวแปรทั้งหมดที่จำเป็นรวมถึงตัวแปรที่มีความอ่อนไหว จากนั้นคัดลอกตัวแปรที่ละเอียดอ่อนทั้งหมดไปยังไฟล์ vault และนำหน้าตัวแปรเหล่านี้ด้วย vault_ คุณควรปรับตัวแปรในไฟล์ vars ให้ชี้ไปที่ตัวแปร vault_ ที่ตรงกันและตรวจสอบให้แน่ใจว่าไฟล์ vault นั้นถูกเข้ารหัส vault

นี่คือตัวอย่างสำหรับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการข้อมูลที่ละเอียดอ่อนในแต่ละกลุ่ม ข้อมูลเพิ่มเติมมีอยู่ในเอกสารของ Ansible ที่นี่ (ข้อความข้างต้นถูกคัดลอกมาจากที่นั่น)