Was ist Ansibles Konfigurationsäquivalent zu "--vault-password-file"?

Entsprechend der Hilfe von ansible-playbook könnte --user=REMOTE_USERman den ssh-Benutzer definieren, aber man könnte auch ansible_ssh_user: REMOTE_USERentweder in den host- oder group_vars definieren.

Frage

Welche Variable muss entweder im Verzeichnis group- oder host_vars --vault-password-filedefiniert werden , um zu verhindern, dass diese während der Ausführung definiert werden muss ansible-playbook?

Versuche

• Wenn ansible_vault_password_file: ~/.vault_pass.txtin der Konfiguration definiert, schlägt die Entschlüsselung fehl:

  ERROR! Decryption failed on /path/to/vault
  

• In dieser Dokumentation wurden keine zugeordneten Tresorvariablen gefunden

Hier ist die Definition:

DEFAULT_VAULT_PASSWORD_FILE = get_config(p, DEFAULTS, 'vault_password_file', \
'ANSIBLE_VAULT_PASSWORD_FILE', None, value_type='path')

Dies bedeutet, dass Sie entweder ansible.cfg oder Playbook eingeben:

vault_password_file: ~/.vault_pass.txt

Oder in Ihrer Shell diese Variable definiert:

export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt

Sie können eine Umgebungsvariable festlegen, in der ANSIBLE_VAULT_PASSWORD_FILEder Pfad der Tresorkennwortdatei gespeichert wird. Auf diese Weise müssen Sie den --vault-password-fileSchalter nicht immer verwenden , wenn Sie ein Playbook ausführen.

Dies wird in der Vault-Dokumentation von Ansible beschrieben, die hier verfügbar ist .

Fügen Sie also export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txtIhre ~/.bash_profileQuelle hinzu und Sie können loslegen.

Wenn Sie unterschiedliche Tresorkennwörter für verschiedene Hostgruppen benötigen, sollten Sie folgende Schritte ausführen:

Erstellen Sie in diesem Unterverzeichnis zwei Dateien mit dem Namen vars und vault. Definieren Sie in der vars-Datei alle benötigten Variablen, einschließlich aller vertraulichen. Kopieren Sie als Nächstes alle vertraulichen Variablen in die Tresordatei und stellen Sie diesen Variablen vault_ voran. Sie sollten die Variablen in der vars-Datei so anpassen, dass sie auf die übereinstimmenden vault_-Variablen verweisen, und sicherstellen, dass die vault-Datei vault-verschlüsselt ist.

Dies ist ein Beispiel für einen Best-Practice-Ansatz zum Verwalten vertraulicher Informationen auf Gruppenbasis. Weitere Informationen finden Sie in der Dokumentation von Ansible hier (Der obige Text wird von dort kopiert).