ansible基础-加密

最新推荐文章于 2024-01-24 09:09:45 发布
最新推荐文章于 2024-01-24 09:09:45 发布
阅读量372 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MaueiceWei999/article/details/88178782
版权

ansible基础-加密

一 简介

注:本文demo使用ansible2.7稳定版

众所周知,ansible是很火的一个自动化部署工具,在ansible控制节点内,存放着当前环境服务的所有服务的配置信息,其中自然也包括一些敏感的信息,例如明文密码、IP地址等等。

从安全角度来讲,这些敏感数据的文件不应该以明文的形式存在。此时就用到了ansible加密的特性。

ansible通过命令行「ansible-vault」给你目标文件/字符串进行加密。在执行playbook时,通过指定相应参数来给目标文件解密,从而实现ansible vault的功能。

ansible可以加密任何部署相关的文件数据,例如:

  • 主机/组变量等所有的变量文件
  • tasks、hanlders等所有的playbook文件
  • 命令行导入的文件(eg : -e @file.yaml  ,-e @file.json)
  • copy,template的模块里src参数所使用的文件,甚至是二进制文件。
  • playbook里用到的某个字符串参数也可以加密(Ansible>=2.3)

本节主要介绍下ansible数据文件/字符串的加解密及加密文件的使用方法等知识点。

二 给文件加密 

创建加密文件

ansible-vault create foo.yml

执行该命令后,交互式输入两次相同的密码,则创建加密文件成功。

给现有文件加密

ansible-vault encrypt foo.yml bar.yml baz.yml

如示例所示,该命令可以为多个文件同时加密,同样需要输入两次相同的密码,则加密成功。

案例分析

很多情况下,我们需要给主机(组)部分变量文件进行加密,而不是全加密。这里介绍下加密和非加密需要同时存在时推荐的用法。以创建组变量为例:

定义了一个「nodes」主机组

➜  inventory cat hosts.yaml
---
# inventory/hosts
nodes:
  hosts:
    node1:
    node2:
    node3:

组变量文件我们这样创建,目录结构如下:

➜  inventory tree group_vars
group_vars
└── nodes
    ├── vars.yaml
    └── vault.yaml

文件「inventory/group_vars/nodes/vault.yaml」内容如下:

---
vault_db_name: test
vault_db_host: 127.0.0.1

上面示例中,我们为「nodes」主机组创建了一个「group_vars/nodes」目录用于存放该主机组的变量文件,其中「vars.yaml」和「vault.yaml」文件分别存放不加密和加密变量通过这种拆分变量的方法,实现了加密和非加密同时存在的功能。

另外,为了便于识别,「vault.yaml」文件里的所有key值建议使用「vault_」开头,这样再playbook调用这些变量时,可以有很高的辨识度。

三 编辑加密文件

对加密过的文件进行编辑也是我们常遇到的,命令为:

ansible-vault edit foo.yml

这个命令会将该文件解密,并放到一个临时文件,编辑完后再保存到原文件。

四 查看加密文件

有时我们不是想编辑文件,而是简单查看下文件内容,命令为:

ansible-vault view foo.yml bar.yml baz.yml

从示例中我们可以看出,一行命令可以查看多个加密文件。 

五 更改密码

给加密文件更改密码,命令为:

ansible-vault rekey foo.yml bar.yml baz.yml

先交互式输入旧的密码,然后再交互式输入两次新密码,即更改密码成功。

 六 取消加密

取消加密的命令为:

ansible-vault decrypt foo.yml bar.yml baz.yml

交互式输入密码,即取消加密成功。

七 encypt_string创建加密变量

Vault ID和多密码

ansible2.4版本以后,新增了Vault ID和多密码的特性。Vault ID可以理解为为一个密码设置一个标签,用于管理员识别使用的是哪个密码,例如dev,prod,cloud等等;多密码指执行一次playbook时可以指定多个密码文件。

注:vault_id不会影响加密文件的解密,只是为了便于管理员识别是哪个密码。

encypt_string创建加密变量

在plabook文件中,我们也可以为某个字符串加密,从而达到加密变量嵌套在未加密YAML文件内的效果。

「ansible-vault encrypt_string」命令用于给某个字符串加密。

不设置vault_id,示例如下:

➜  lab-ansible ansible-vault encrypt_string --vault-id playbooks/test_vault.yaml  'maurice' --name 'the_name'
the_name: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          ...
          ...

设置vault_id为「dev」(给密码打标签)(加密参数也会有「dev」的标识):

➜  lab-ansible ansible-vault encrypt_string --vault-id dev@playbooks/test_vault.yaml  'maurice' --name 'the_name'
the_name: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          ...
          ...

从stdin读取密码:

➜  lab-ansible echo -n 'maurice' | ansible-vault encrypt_string --vault-id dev@playbooks/test_vault.yaml --stdin-name 'the_name'
Reading plaintext input from stdin. (ctrl-d to end input)
the_name: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          ...
          ...

交互式设置密码,设置完密码后按Ctrl+d:

➜  lab-ansible ansible-vault encrypt_string --vault-id dev@playbooks/test_vault.yaml --stdin-name 'the_name'
Reading plaintext input from stdin. (ctrl-d to end input)
maurice
the_name: !vault |
          $ANSIBLE_VAULT;1.2;AES256;dev
          ...
          ...

八 使用加密文件

上面我们主要介绍了密码文件/变量的创建方式,接下来介绍下如何使用。

ansible执行playbook时,可以通过交互式或指定密码文件的方式来解密文件。

交互式

执行playbook时在终端以交互式的形式输入密码,示例:

ansible版本<=2.4,该方式只支持一个密码,不能指定vault_id

ansible-playbook --ask-vault-pass site.yml

ansible2.4版本后,对应命令行如下,该方式只支持一个密码,能指定vault_id

ansible-playbook --vault-id  dev@prompt  playbooks/test_vault.yaml

指定密码文件

另外一种使用方式,是将密码放在某个文件内,执行playbook时,通过指定该密码文件进行解密。

ansible版本<=2.4,可以使用「--vault-password」参数:

ansible-playbook --vault-password-file dev-password site.yml

ansible2.4版本以后,又增加了「--vault-id」的参数,用来指定密码文件:

ansible-playbook --vault-id /path/to/my/vault-password-file site.yml

从可执行脚本获取密码:

ansible-playbook --vault-id my-vault-password.py

指定密码文件同时指定vault_id:

ansible-playbook --vault-id dev@prompt site.yml

指定多vault_id+多密码文件:

ansible-playbook --vault-id dev@dev-password --vault-id prod@prompt site.yml

其他知识点

  1. 在仅使用多密码文件的情况下,默认的,ansible会按照命令行的排列顺序,逐个尝试。直到成功解密或失败。
  2. 在使用vault_id+多密码的情况下,ansible会优先匹配与vault_id相同的加密变量(这个标识上面加密变量有提到),如果不能解密再匹配其他vault_id变量文件。
  3. 除了命令行,密码文件的默认路径也可以通过ansible.cfg的「vault_password_file」或环境变量「ANSIBLE_VAULT_PASSWORD_FILE」获取。

九 本节应该掌握的技能

  • 掌握变量文件创建、查看、编辑、更改、取消加密等方法
  • 掌握字符串加密的方法
  • 掌握含加密文件时playbook的执行方法

十 参考链接

  • https://docs.ansible.com/ansible/latest/user_guide/vault.html

 

欢迎大家关注我的公众号:

posted @ 2018-12-03 01:02 MauriceWei 阅读( ...) 评论( ...) 编辑 收藏
Maurice Wei
关注
Ansible中的变量及加密
qq_47656380的博客
09-16 239
变量命名 只能包含数字,下划线,字母 只能用下划线或字母开头 变量级别 全局:从命令行或配置文件中设定的 play:在play和相关结构中设定的 主机:由清单,事实或注册的任务 变量优先级:狭窄范围与广域范围 变量设定和使用方式 在playbook中直接定义变量 编写playbook vim user.yml 在文件中定义变量 定义变量 vim userlist vim user.yml 设定主机变量和清单变量 在定义主机变量和清单变量时使用 vim inventory vim user.yml
ansible中的变量及加密
ltsazx的博客
09-16 396
ansible中的变量及加密变量命名变量级别变量设定和使用方式ansible中文件加密 变量命名 1.只能包含数字,下划线,字母 2.只能用下划线或字母开头 变量级别 1.全局: 从命令行或配置文件中设定的 2.paly: 在play和相关结构中设定的 3.主机: 由清单,事实收集或注册的任务 4.变量优先级设定:狭窄范围有限与广域范围 变量设定和使用方式 1.在playbook中直接定义变量 --- - name: test var hosts: all vars: USER: westo
Ansible加密
S483374558的博客
12-28 1453
本章主要介绍如何对ansible的 playbook 进行加密。对整个playbook进行加密查看加密文件运行加密的playbook对playbook进行解密使用密码文件对单个字符串进行加密前面写了许多playbook,这些playbook都是以明文的方式存在的,有时想对这些playbook进行加密,可以使用ansible-vault命令来实现。本章实验都在/home/demo6下操作,先把 demo6目录创建出来并把ansible.cfg 和 hosts拷贝。
Ansibleansible-vault)的加密与解密
Huihuizaizi的博客
03-29 1960
Ansibleansible-vault)的加密与解密
ansible加密汇总
热门推荐
qq_28686911的博客
08-04 6万+
文件加解密 ansible-vault 加密 ansible-vault encrypt file 解密 ansible-vault decrypt file 查看加密文件 ansible-vault view file 读取密钥文件 –vault-password-file ansible all -m ping --vault-password-file passwdfile
ansible-role-certbot:Ansible角色-Certbot(用于加密
01-31
Ansible是一个强大的自动化工具,它允许系统管理员通过编写简洁的配置文件来管理和部署IT基础设施。在这个特定的场景中,`ansible-role-certbot`是一个预定义的角色,专为自动化Certbot的安装和配置而设计。Certbot...
ansible-role-mysql:Ansible角色-MySQL
01-31
1. **Ansible基础知识** Ansible是基于Python的自动化平台,它的核心概念包括主机清单、模块和playbook。主机清单定义了要管理的服务器列表,模块是Ansible执行的具体任务,而playbook是YAML文件,用于描述如何配置...
ansible-role-solr:Ansible角色-Apache Solr
01-29
总的来说,`ansible-role-solr`提供了一种高效、灵活的方式来管理和维护Apache Solr,使得DevOps团队能更专注于业务逻辑,而不是基础架构的繁琐工作。通过充分利用Ansible的自动化能力,我们可以快速、一致地部署和...
Ansible-ansible-role-security.zip
09-18
在给定的“Ansible-ansible-role-security.zip”文件中,我们关注的是一个名为“ansible-role-security”的角色,这个角色专注于系统的安全性,确保基础安全措施得以实施。下面将详细讨论Ansible以及“安全”角色在...
Ansible-ansible-etcd.zip
09-18
通过这个“Ansible-ansible-etcd.zip”项目,你可以学习到如何使用Ansible自动化etcd的部署、管理和维护,从而提升你的IT基础设施的效率和可靠性。记得根据你的具体环境调整配置,以满足你的业务需求。
5.4 Ansible中的变量及加密
m0_48569984的博客
08-28 448
编辑westos.yml文件,指定变量linuxfile,在编辑test.yml文件,如下运行后即可在/mnt/中创建linuxfile。
Ansible 中变量及加密
weixin_54720351的博客
05-15 7935
Ansible 中变量及加密1. 变量命名2. 变量级别3. 变量设定和使用方式JINJA2模板j2模板书写规则#j2模板在playbook中的应用# #playbook1#playbook2Ansible加密控制 1. 变量命名 只能包含数字,下划线,字母 只能用下划线或字母开头 2. 变量级别 全局: 从命令行或配置文件中设定的 paly: 在play和相关结构中设定的 主机: 由清单,事实收集或注册的任务 变量优先级设定:狭窄范围优先级高于广域范围 3. 变量设定和使用方式 在playb
Ansible——40.playbook 使用ansible-vault加密数据
blueicex2017的博客
03-30 2232
————Blueicex 2020/3/30 09:40 blueice1980@126.com
Ansible4--------ansible中的变量及加密
ninimino的博客
09-20 327
1.变量命名 只能包含数字,下划线,字母 只能用下划线或字母开头 2.变量级别 全局: 从命令行或配置文件中设定的 paly: 在play和相关结构中设定的 主机: 由清单,事实收集或注册的任务 变量优先级设定: 狭窄范围有限与广域范围 3.变量设定和使用方式 #1.在playbook中直接定义变量 name: test var hosts: all vars: USER: westosuser #2.在文件中定义变量# vim user_list.yml user: westosuser vim we
Ansible自动化运维 ansible-vault playbook文件加密
heartmzh的博客
04-07 629
Ansible 自动化运维 ansible-vault 加密 playbook 数据加密 我们在编写playbook的时候,通常会有一些敏感的数据,比如用户密码等,不想被别人查看,遇到这样的问题,通过百度我发现ansible官方已经考虑到这些问题,官方推出了 “ansible-vault”命令,对整个文件进行加密,也可以对变量进行加密,我们来操作一下 Playbook文件 接下来对playbook进行数据加密 ansible-vault encrypt 4.yml [root@controller1
Ansible(十二)Ansible加密ansible-vault
wzj_110的博客
08-31 720
ansible-valut 不错的博客 帮助文档 [devops@master anisble]$ ansible-vault Usage: ansible-vault [create|decrypt|edit|encrypt|encrypt_string|rekey|view] [options] [vaultfile.yml] ...
ansible变量和机密
weixin_72898433的博客
10-26 977
ansible变量和机密
【安全与风险】恶意软件-概念、攻击和检测
qq_53058639的博客
01-24 1607
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
ansible all -m ping 远程操控主机文件清单在哪个目录下
最新发布
03-29
<think>嗯,用户现在问的是“ansible all -m ping 远程操控主机文件清单在哪个目录下”。看起来他们可能对Ansible的主机清单文件的位置不太清楚,或者在执行ansible命令时遇到了问题。首先,我需要确认用户的问题到底是什么。 用户之前已经得到了关于Ansible常用模块的介绍,其中提到了使用`ansible all -m ping`来测试主机连通性。现在他们可能是在执行这个命令时,发现Ansible找不到主机清单文件,或者不知道应该把主机清单放在哪里,所以才会问“远程操控主机文件清单在哪个目录下”。 首先,Ansible默认的主机清单文件是`/etc/ansible/hosts`。这是官方文档中提到的默认路径。但很多用户可能不会直接修改这个系统级的文件,而是使用项目目录下的自定义清单文件。这时候,用户可能需要通过`-i`参数指定清单文件的路径。例如,如果用户在项目目录下有一个`inventory`文件,他们应该使用`ansible all -i inventory -m ping`来指定。 接下来,我需要考虑用户可能的误区。他们可能误以为`ansible all -m ping`命令中的某个参数可以指定主机清单的位置,但实际上`-m`是指定模块,而主机清单的位置需要用`-i`来指定。因此,用户的问题可能是因为没有正确指定清单文件的位置,导致命令执行失败。 另外,用户可能对Ansible的主机清单文件的结构不太了解。主机清单文件可以是INI格式或YAML格式,包含主机分组、变量等信息。例如: ``` [webservers] web1.example.com web2.example.com [databases] db1.example.com ansible_ssh_user=admin ``` 这种情况下,用户需要确保清单文件中的主机地址正确,并且SSH连接参数(如用户名、密钥等)配置正确,以便Ansible能够连接到目标主机。 此外,用户可能没有正确配置SSH密钥认证,导致即使主机清单正确,`ansible all -m ping`仍然失败。这时候需要检查SSH连接是否畅通,是否有权限访问目标主机。 总结一下,用户的潜在需求是正确配置Ansible的主机清单,以便能够成功执行命令。他们可能遇到的问题包括:默认清单文件位置不正确、未使用`-i`参数指定自定义清单、清单文件格式错误、SSH连接配置问题等。需要详细解释这些方面,并提供示例和解决方案,帮助用户理解和解决问题。</think>以下是关于Ansible主机清单文件的详细说明: --- ### 一、Ansible主机清单默认路径 Ansible默认从 **`/etc/ansible/hosts`** 读取主机清单文件,这是官方预设路径。 可通过以下命令验证默认配置: ```bash ansible-config dump | grep DEFAULT_HOST_LIST ``` --- ### 二、自定义清单文件用法 实际项目中推荐使用 **自定义路径的清单文件**,需通过 `-i` 参数手动指定: ```bash # 示例:使用当前目录下的 inventory 文件 ansible all -i ./inventory -m ping # 指定绝对路径 ansible all -i /opt/ansible/my_inventory -m ping ``` --- ### 三、清单文件核心配置模式 #### 1. **基础格式(INI风格)** ```ini # 定义主机组 [web_servers] web01.example.com ansible_port=2222 # 带参数的主机 web02.example.com [db_servers:children] # 嵌套组 web_servers # 包含其他组 [all:vars] # 全局变量 ansible_user=admin ansible_ssh_private_key_file=~/.ssh/ops_key ``` #### 2. **YAML格式(Ansible 2.4+)** ```yaml all: children: web_servers: hosts: web01.example.com: ansible_port: 2222 web02.example.com: db_servers: children: web_servers: vars: ansible_user: admin ``` --- ### 四、多环境管理技巧 建议按环境拆分清单文件: ``` inventory/ ├── production/ │ ├── hosts # 生产环境主机 │ └── group_vars/ # 生产环境变量 ├── staging/ │ ├── hosts │ └── group_vars/ └── dev/ ├── hosts └── group_vars/ ``` 执行时选择对应环境: ```bash ansible all -i inventory/production/ -m ping ``` --- ### 五、常见问题排查 #### 场景1:清单文件存在但无法识别 **现象**:执行时提示 `No hosts matched` **解决方案**: ```bash # 检查清单文件语法 ansible-inventory -i your_inventory --list # 查看生效的主机列表 ansible all -i your_inventory --list-hosts ``` #### 场景2:SSH连接失败 **现象**:`UNREACHABLE! => {"changed": false, "msg": "Failed to connect..."}` **验证步骤**: 1. 手动测试SSH连接: ```bash ssh -i /path/to/key admin@host.example.com -p 2222 ``` 2. 检查清单文件中的连接参数: ```ini target_host ansible_host=192.168.1.10 ansible_user=deploy ansible_ssh_private_key_file=~/.ssh/deploy_key ``` --- ### 六、最佳实践建议 1. **版本控制**:将清单文件与playbook一起纳入Git仓库管理 2. **动态清单**:对云环境使用动态清单脚本(AWS/Azure/GCP等均支持) 3. **加密敏感数据**:使用`ansible-vault`加密包含密码等敏感信息的清单变量 --- 通过合理管理主机清单文件,您可以实现: - 多环境配置隔离 - 主机分组精细化管理 - 连接参数统一维护 - 基础设施状态可视化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值