本文概述
- 使用Ansible Vault
- 加密现有文件
- 创建一个加密的文件
- 编辑加密文件
- 重新加密加密文件
- 加密未加密的文件
- 解密加密文件
- 查看加密文件
为了将这些秘密与常规的Ansible数据集成在一起,分别用于执行临时任务和结构化的Playbook的Ansible和Ansible-playbook命令都支持在运行时解密Vault加密的内容。
Ansible Vault是通过文件级粒度实现的;这意味着文件是完全加密或未加密的。它使用AES256算法来提供以用户提供的密码为密钥的对称加密。
【ansible vault命令用法】这意味着使用相同的密码来加密和解密内容,从可用性的角度来看这很有帮助。 Ansible可以识别和解密在执行任务或剧本时找到的任何由Vault加密的文件。
尽管有人建议对此进行更改,但是在撰写本文时,用户只能将一个密码传递给Ansible。这意味着所涉及的每个加密文件必须共享一个密码。
使用Ansible VaultAnsible保管库的简单用法是对变量文件进行加密。它可以加密任何YAML文件,但是要加密的最常见文件是:
- 角色的默认值/ main.yml文件
- 角色的vars / main.yml文件
- group_vars目录中的文件
- 用于存储变量的任何其他文件
#encrypt a role's defaults/main.yml file
ansible-vault encrypt defaults/main.yml
>New vault password:
>Confirm new vault password:
>Encryption successful
ansible-vault命令将提示你输入两次密码。之后,文件将被加密。
创建一个加密的文件要创建加密的数据文件,请使用ansible-vault创建命令,并传递文件名。
$ansible-vault create <
file name>
系统将提示你创建一个密码,然后通过重新输入密码进行确认。
确认密码后,将创建一个新文件,并打开一个编辑窗口。默认情况下,Ansible保管库的编辑器为VI。你可以添加数据,保存数据并从中退出。
编辑加密文件如果要编辑加密的文件,则可以使用ansible-vault edit命令对其进行编辑。此命令会将文件解密为临时文件,并允许你编辑文件。
$ansible-vault edit <
file name>
系统将提示你插入库密码。解密后的文件将在VI编辑器中打开,然后你可以进行所需的更改。保存更改并删除临时文件。
重新加密加密文件如果要更改文件库加密文件上文件库的密码,可以使用rekey命令来进行更改。
$ansible-vault rekey <
file1> <
file2> <
file3>
上面的命令可以立即重新密钥多个数据文件,并要求提供原始密码和新密码。
加密未加密的文件如果你有要加密的现有文件,请使用ansible-vault crypto命令。此命令可以一次处理多个文件。
$ansible-vault encrypt <
file1> <
file2> <
file3>
解密加密文件如果你有不再需要加密的现有文件,则可以通过运行ansible-vault解密命令将其永久解密。此命令会将它们未加密保存到磁盘。
$ansible-vault decrypt <
file1> <
file2> <
file3>
查看加密文件如果要在不编辑的情况下查看加密文件的内容,则可以使用ansible-vault view命令。
$ansible-vault view <
file1> <
file2> <
file3>
推荐阅读
- ansible windows使用
- ansible文件模块用法
- ansible命令模块用法
- ansible复制模块
- ansible lineinfile模块
- ansible apt模块
- ansible调试模块用法
- ansible使用库存
- ansible yaml语法