ansible学习之ansible-vault

有谁看见我的剑了?2024-10-13 12:58

相关文档参考:http://www.ansible.com.cn/docs/playbooks_vault.html#what-can-be-encrypted-with-vault

ansible-vault 功能介绍

Ansible-Vault是一个用于加密和管理Ansible playbook中敏感数据的工具。通过创建、编辑、加密、解密、查看和重置密码,可以安全地存储如用户名和密码等信息。在剧本中,可以使用vars_files加载加密的变量文件,并在运行playbook时使用--ask-vault-pass选项确保安全解密。

ansible-vault 子命令介绍

复制代码 
create              创建新的保险库加密文件
decrypt             解密保险库加密文件
edit                编辑保险库加密文件
view                查看保险库加密文件
encrypt        		加密YAML文件
rekey               重设保险库加密文件的密钥

ansible-vault 子命令 实操演练

使用create 创建一个加密文件

bash 复制代码 
# 对secret.yaml文件访问设置密码
[root@localhost ~]# ansible-vault create secret.yaml
New Vault password: 	
Confirm New Vault password:
bash 复制代码 
# secret.yaml 文件中的内容(被加密)
passwd:123456
bash 复制代码 
# 可以看出是使用 AES256 进行加密
[root@localhost ~]# cat secret.yaml
$ANSIBLE_VAULT;1.1;AES256
37656638623563636332376630303334306531333431373364363061316430663032323961633033
3437633732353534663566323139613939396139666364630a346336653039316665393435663463
61333335346363633966326430356164366235613834303734393461343432383361396462386330
3662666238653165640a366133653230356635666261393632643638393538366665616662323231
6439

使用 view 查看加密内容(需要输入访问密码)

bash 复制代码 
[root@localhost ~]# ansible-vault view secret.yaml 
Vault password: 
passwd:123456

使用 edit 重新编辑 secret.yaml 的内容

bash 复制代码 
[root@localhost ~]# ansible-vault edit secret.yaml 
Vault password:
bash 复制代码 
passwd:654321
bash 复制代码 
[root@localhost ~]# ansible-vault view secret.yaml 
Vault password: 
passwd:654321

使用 encrypt 将已存在的yaml文件加密

bash 复制代码 
[root@localhost ~]# cat foo.yaml
api: 12345678
bash 复制代码 
[root@localhost ~]# ansible-vault encrypt    foo.yaml
New Vault password: 
Confirm New Vault password: 
Encryption successful
bash 复制代码 
[root@localhost ~]# ansible-vault view    foo.yaml
Vault password: 
api: 12345678

使用 rekey 重设访问密码

bash 复制代码 
# 第一遍输入旧密码,第二遍输入新密码,第三遍确定密码
[root@localhost ~]# ansible-vault  rekey    foo.yaml
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful

使用 decrypt 还原加密的文件的内容

bash 复制代码 
[root@localhost ~]# ansible-vault  decrypt foo.yaml
Vault password: 
Decryption successful
[root@localhost ~]# cat foo.yaml 
api: 12345678

子命令都可以对多个文件使用

ansible-vault 在playbook中使用

创建密码库文件,在文件中添加key/value 字典。

bash 复制代码 
[root@localhost ~]# ansible-vault create secret.yaml
New Vault password: 
Confirm New Vault password:
bash 复制代码 
PW: 123456

编写playbook文件,并导入密码库文件,并使用debug模块测试变量。

bash 复制代码 
- hosts: all
  vars_files: 
    - secret.yaml
  tasks:
    - name: Test variable
      debug:
        var: PW

访问密码库文件需要密码,所有需要使用 --ask-vault-pass 提示输入密码。

bash 复制代码 
[root@localhost ~]# ansible-playbook --ask-vault-pass playbook.yaml 
Vault password: 

PLAY [all] **************************************************************************************************************************************************

TASK [Gathering Facts] **************************************************************************************************************************************
ok: [192.168.0.132]

TASK [Test variable] ****************************************************************************************************************************************
ok: [192.168.0.132] => {
    "PW": 123456
}

PLAY RECAP **************************************************************************************************************************************************
192.168.0.132              : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

可以看出已经打印出了 PW 变量的值。

当然可以将密码库密码存放到文件中使用 --vault-password-file 导入就不用输入密码了

bash 复制代码 
[root@localhost ~]# cat passwd.txt 
123456
bash 复制代码 
[root@localhost ~]# ansible-playbook playbook.yaml  --vault-password-file ./passwd.txt 

PLAY [all] **************************************************************************************************************************************************

TASK [Gathering Facts] **************************************************************************************************************************************
ok: [192.168.0.132]

TASK [Test variable] ****************************************************************************************************************************************
ok: [192.168.0.132] => {
    "PW": 123456
}

PLAY RECAP **************************************************************************************************************************************************
192.168.0.132              : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

也可以在配置文件中指定密码存在文件位置,就不用指定了

bash 复制代码 
[root@localhost ~]# cat /etc/ansible/ansible.cfg  | grep vault
# specifying --vault-password-file on the command line.
#vault_password_file = /path/to/vault_password_file
相关推荐
Slow菜鸟36 分钟前
AI学习篇(三) | AI效率工具指南(2026年)
人工智能·学习
qcwl661 小时前
深入理解Linux进程与内存 学习笔记#4
笔记·学习
蒸蒸yyyyzwd2 小时前
后端学习笔记 day4
linux·笔记·学习
笨笨饿3 小时前
20_Git 仓库使用手册 - 初学者指南
c语言·开发语言·嵌入式硬件·mcu·学习
cqbelt4 小时前
Python 并发编程实战学习笔记
笔记·python·学习
智算菩萨4 小时前
【论文复现】Applied Intelligence 2025:Auto-PU正例无标签学习的自动化实现与GPT-5.4辅助编程实战
论文阅读·python·gpt·学习·自动化·复现
老神在在0015 小时前
【Selenium 自动化精讲】浏览器弹窗与登录界面的本质区别 & 实操指南
javascript·学习·selenium·测试工具·自动化
·醉挽清风·5 小时前
学习笔记—Linux—信号阻塞&信号捕捉
linux·笔记·学习
AnalogElectronic6 小时前
uniapp学习5,兼容微信小程序的俄罗斯方块游戏
学习·微信小程序·uni-app
知识分享小能手6 小时前
MongoDB入门学习教程,从入门到精通,MongoDB应用程序设计知识点梳理(9)
数据库·学习·mongodb
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04围棋-html版本05纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!06“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09UV安装并设置国内源10AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南