Kif tuża Ansible Vault fil-Playbooks biex Tħares Dejta Sensittiva - Parti 10
Hekk kif tkun qed tuża Ansible, tista' tkun mitlub li ddaħħal xi informazzjoni kunfidenzjali jew sigrieta fil-playbooks. Dan jinkludi ċwievet SSH privati u pubbliċi, passwords, u ċertifikati SSL biex insemmu biss ftit. Kif diġà nafu, il-prattika ħażina tagħha li tissejvja din l-informazzjoni sensittiva f'test sempliċi għal raġunijiet ovvji. Din l-informazzjoni teħtieġ li tinżamm taħt lock u ċavetta għaliex nistgħu biss nimmaġinaw x'jiġri jekk il-hackers jew utenti mhux awtorizzati jkollhom istiva minnha.
B'xorti tajba, Ansible jipprovdilna karatteristika utli magħrufa bħala Ansible Vault. Kif jissuġġerixxi l-isem, l-Ansible Vault jgħin biex jiżgura informazzjoni sigrieta vitali kif iddiskutejna qabel. Ansible Vault jista' jikkripta varjabbli, jew saħansitra fajls sħaħ u playbooks YAML kif ser nuru aktar tard. Hija għodda ferm utli u faċli għall-utent li teħtieġ l-istess password meta tikkodifika u tiddeċifra fajls.
Ejja issa ngħaddu u jkollna ħarsa ġenerali lejn l-operazzjonijiet varji li jistgħu jitwettqu bl-użu ta 'Ansible vault.
Kif Oħloq Fajl Encrypted f'Ansible
Jekk trid toħloq fajl Playbook encrypted sempliċement uża l-kmand tal-ħolqien ansible-vault u ipprovdi l-isem tal-fajl kif muri.
# ansible-vault create filename
Per eżempju, biex toħloq fajl encrypted mysecrets.yml tesegwixxi l-kmand.
# ansible-vault create mysecrets.yml
Minn hemm 'il quddiem tiġi mitlub għal password, u wara li tikkonfermaha, tinfetaħ tieqa ġdida billi tuża l-editur vi fejn tista' tibda tikteb id-drammi tiegħek.
Hawn taħt hemm kampjun ta 'xi informazzjoni. Ladarba tkun lest sempliċement issalva u toħroġ mill-playbook. U dan huwa biss dwarha meta toħloq fajl kriptat.
Biex tivverifika l-encryption tal-fajl, uża l-kmand tal-qtates kif muri.
# cat mysecrets.yml
Kif tara Fajl Encrypted f'Ansible
Jekk trid tara fajl encrypted, sempliċement tgħaddi l-kmand tal-veduta ansible-vault kif muri hawn taħt.
# ansible-vault view mysecrets.yml
Għal darb'oħra, inti tiġi mitlub għal password. Għal darb'oħra, ser ikollok aċċess għall-informazzjoni tiegħek.
Kif Editja Fajl Encrypted f'Ansible
Biex tagħmel bidliet għal fajl encrypted uża l-kmand tal-editjar ansible-vault kif muri.
# ansible-vault edit mysecrets.yml
Bħal dejjem, ipprovdi l-password u mbagħad ipproċedi editja l-fajl.
Wara li tkun lest l-editjar, issalva u oħroġ mill-editur vim.
Kif tibdel il-Password tal-Vault Ansible
Fil-każ li tħoss il-ħtieġa li tibdel il-password tal-kaxxa-forti Ansible, tista 'faċilment tagħmel dan billi tuża l-kmand mill-ġdid ta' ansible-vault kif muri hawn taħt.
# ansible-vault rekey mysecrets.yml
Dan iqanqlek għall-password tal-kaxxa-forti u aktar tard jitlobek biex iddaħħal il-password il-ġdida u aktar tard tikkonfermaha.
Kif Kriptaġġ Fajl Mhux Encrypted f'Ansible
Ejja ngħidu li trid tikkodifika fajl mhux kriptat, tista 'tagħmel dan billi tħaddem il-kmand tal-kriptaġġ ansible-vault kif muri.
# ansible-vault encrypt classified.txt
Aktar tard tista' tara l-fajl billi tuża l-kmand tal-qtates kif indikat hawn taħt.
Kif Decrypt File Encrypted
Biex tara l-kontenut ta' fajl ikkodifikat, sempliċement iddeċifra l-fajl billi tuża l-kriptaġġ ansible-vault kif muri fl-eżempju hawn taħt.
# ansible-vault decrypt classified.txt
Kif Kriptaġġ Varjabbli Speċifiċi f'Ansible
Barra minn hekk, Ansible vault jagħtik il-ħila li tikkriptaġġ ċerti varjabbli. Dan isir bl-użu tal-kmand ansible-vault encrypt_string kif muri.
# ansible-vault encrypt_string
Ansible vault iqanqlek għall-password u aktar tard jeħtieġlek tikkonfermaha. Sussegwentement, ittajpja l-valur tas-sekwenza li trid tikkodifika. Fl-aħħarnett, agħfas ctrl+d
. Minn hemm 'il quddiem, tista' tibda tassenja l-valur encrypted fi playbook.
Dan jista' jinkiseb f'linja waħda kif muri hawn taħt.
# ansible-vault encrypt_string 'string' --name 'variable_name'
Kif Decrypt a Playbook File Matul Runtime
Jekk għandek fajl tal-playbook u trid tiddekriptah waqt ir-runtime, uża l-għażla --ask-vault-pass
kif murija.
# ansible-playbook deploy.yml --ask-vault-pass
Dan jiddeċifra l-fajls kollha li huma wżati fil-playbook sakemm ikunu ġew encrypted bl-użu tal-istess password.
Il-prompts tal-password jista 'jkun tedjanti xi drabi. Dawn il-prompt jagħmlu l-awtomazzjoni insostenibbli, speċjalment meta l-awtomazzjoni hija essenzjali. Biex tissimplifika l-proċess tad-decrypting tal-playbooks waqt ir-runtime, huwa rakkomandat li jkollok fajl separat tal-password li jkun fih il-password tal-kaxxa-forti Ansible. Dan il-fajl jista 'mbagħad jiġi mgħoddi matul runtime kif muri.
# ansible-playbook deploy.yml --vault-password-file /home/tecmint/vault_pass.txt
Dan iwassalna għall-konklużjoni ta 'dan is-suġġett u s-serje ta' awtomazzjoni Ansible. Nittamaw li t-tutorials infusaw xi għarfien utli dwar kif tista 'awtomatizza l-kompiti f'diversi servers minn sistema ċentrali waħda.