Що таке еквівалент конфігурації Ansible `--vault-password-file`?

За допомогою ansible-playbook можна було --user=REMOTE_USERб визначити користувача ssh, але можна також визначити ansible_ssh_user: REMOTE_USERабо хост-, або групу_варів.

Питання

Яку змінну потрібно визначити в каталозі group- або host_vars, щоб запобігти --vault-password-fileїї визначенню під час роботи ansible-playbook?

Спроби

• Коли ansible_vault_password_file: ~/.vault_pass.txtвизначено в конфігурації, розшифровка не вдається:

  ERROR! Decryption failed on /path/to/vault
  

• У цій документації не знайдено пов'язаних змінних сховищ

Ось визначення:

DEFAULT_VAULT_PASSWORD_FILE = get_config(p, DEFAULTS, 'vault_password_file', \
'ANSIBLE_VAULT_PASSWORD_FILE', None, value_type='path')

Це означає, що ви або помістили ansible.cfg або програму playbook:

vault_password_file: ~/.vault_pass.txt

Або у вашій оболонці визначена ця змінна:

export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt

Ви можете встановити змінну середовища, що ANSIBLE_VAULT_PASSWORD_FILEзберігає шлях до файлу паролів Vault. Таким чином, ви не будете завжди використовувати --vault-password-fileперемикач під час запуску ігрової книги.

Це описано в документації Vault Vault, доступній тут .

Отже, додайте export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txtдо нього своє ~/.bash_profileджерело, і ви готові йти.

Якщо вам потрібні різні паролі для сховища для різних груп хостів, вам слід зробити наступне:

Всередині цього підкаталогу створіть два файли з назвою vars та vault. Всередині файлу vars визначте всі необхідні змінні, включаючи будь-які чутливі. Далі скопіюйте всі чутливі змінні у файл vault_ і приставте ці змінні до vault_. Ви повинні налаштувати змінні у файлі vars, щоб вказати на відповідні змінні vault_ та переконатися, що файл vault зашифрований.

Це приклад найкращого підходу для управління конфіденційною інформацією на груповій основі. Більше інформації можна знайти в документації Ansible тут (Вищенаведений текст скопійований звідти).