Kif tuża Ansible Vault fil-Playbooks biex Tħares Dejta Sensittiva - Parti 10

Hekk kif tkun qed tuża Ansible, tista' tkun mitlub li ddaħħal xi informazzjoni kunfidenzjali jew sigrieta fil-playbooks. Dan jinkludi ċwievet SSH privati u pubbliċi, passwords, u ċertifikati SSL biex insemmu biss ftit. Kif diġà nafu, il-prattika ħażina tagħha li tissejvja din l-informazzjoni sensittiva f'test sempliċi għal raġunijiet ovvji. Din l-informazzjoni teħtieġ li tinżamm taħt lock u ċavetta għaliex nistgħu biss nimmaġinaw x'jiġri jekk il-hackers jew utenti mhux awtorizzati jkollhom istiva minnha.

B'xorti tajba, Ansible jipprovdilna karatteristika utli magħrufa bħala Ansible Vault. Kif jissuġġerixxi l-isem, l-Ansible Vault jgħin biex jiżgura informazzjoni sigrieta vitali kif iddiskutejna qabel. Ansible Vault jista' jikkripta varjabbli, jew saħansitra fajls sħaħ u playbooks YAML kif ser nuru aktar tard. Hija għodda ferm utli u faċli għall-utent li teħtieġ l-istess password meta tikkodifika u tiddeċifra fajls.

Ejja issa ngħaddu u jkollna ħarsa ġenerali lejn l-operazzjonijiet varji li jistgħu jitwettqu bl-użu ta 'Ansible vault.

Kif Oħloq Fajl Encrypted f'Ansible

Jekk trid toħloq fajl Playbook encrypted sempliċement uża l-kmand tal-ħolqien ansible-vault u ipprovdi l-isem tal-fajl kif muri.

# ansible-vault create filename

Per eżempju, biex toħloq fajl encrypted mysecrets.yml tesegwixxi l-kmand.

# ansible-vault create mysecrets.yml

Minn hemm 'il quddiem tiġi mitlub għal password, u wara li tikkonfermaha, tinfetaħ tieqa ġdida billi tuża l-editur vi fejn tista' tibda tikteb id-drammi tiegħek.

Hawn taħt hemm kampjun ta 'xi informazzjoni. Ladarba tkun lest sempliċement issalva u toħroġ mill-playbook. U dan huwa biss dwarha meta toħloq fajl kriptat.

Biex tivverifika l-encryption tal-fajl, uża l-kmand tal-qtates kif muri.

# cat mysecrets.yml

Kif tara Fajl Encrypted f'Ansible

Jekk trid tara fajl encrypted, sempliċement tgħaddi l-kmand tal-veduta ansible-vault kif muri hawn taħt.

# ansible-vault view mysecrets.yml

Għal darb'oħra, inti tiġi mitlub għal password. Għal darb'oħra, ser ikollok aċċess għall-informazzjoni tiegħek.

Kif Editja Fajl Encrypted f'Ansible

Biex tagħmel bidliet għal fajl encrypted uża l-kmand tal-editjar ansible-vault kif muri.

# ansible-vault edit mysecrets.yml

Bħal dejjem, ipprovdi l-password u mbagħad ipproċedi editja l-fajl.

Wara li tkun lest l-editjar, issalva u oħroġ mill-editur vim.

Kif tibdel il-Password tal-Vault Ansible

Fil-każ li tħoss il-ħtieġa li tibdel il-password tal-kaxxa-forti Ansible, tista 'faċilment tagħmel dan billi tuża l-kmand mill-ġdid ta' ansible-vault kif muri hawn taħt.

# ansible-vault rekey mysecrets.yml

Dan iqanqlek għall-password tal-kaxxa-forti u aktar tard jitlobek biex iddaħħal il-password il-ġdida u aktar tard tikkonfermaha.

Kif Kriptaġġ Fajl Mhux Encrypted f'Ansible

Ejja ngħidu li trid tikkodifika fajl mhux kriptat, tista 'tagħmel dan billi tħaddem il-kmand tal-kriptaġġ ansible-vault kif muri.

# ansible-vault encrypt classified.txt

Aktar tard tista' tara l-fajl billi tuża l-kmand tal-qtates kif indikat hawn taħt.

Kif Decrypt File Encrypted

Biex tara l-kontenut ta' fajl ikkodifikat, sempliċement iddeċifra l-fajl billi tuża l-kriptaġġ ansible-vault kif muri fl-eżempju hawn taħt.

# ansible-vault decrypt classified.txt

Kif Kriptaġġ Varjabbli Speċifiċi f'Ansible

Barra minn hekk, Ansible vault jagħtik il-ħila li tikkriptaġġ ċerti varjabbli. Dan isir bl-użu tal-kmand ansible-vault encrypt_string kif muri.

# ansible-vault encrypt_string 

Ansible vault iqanqlek għall-password u aktar tard jeħtieġlek tikkonfermaha. Sussegwentement, ittajpja l-valur tas-sekwenza li trid tikkodifika. Fl-aħħarnett, agħfas ctrl+d. Minn hemm 'il quddiem, tista' tibda tassenja l-valur encrypted fi playbook.

Dan jista' jinkiseb f'linja waħda kif muri hawn taħt.

# ansible-vault encrypt_string 'string' --name 'variable_name'

Kif Decrypt a Playbook File Matul Runtime

Jekk għandek fajl tal-playbook u trid tiddekriptah waqt ir-runtime, uża l-għażla --ask-vault-pass kif murija.

# ansible-playbook deploy.yml --ask-vault-pass

Dan jiddeċifra l-fajls kollha li huma wżati fil-playbook sakemm ikunu ġew encrypted bl-użu tal-istess password.

Il-prompts tal-password jista 'jkun tedjanti xi drabi. Dawn il-prompt jagħmlu l-awtomazzjoni insostenibbli, speċjalment meta l-awtomazzjoni hija essenzjali. Biex tissimplifika l-proċess tad-decrypting tal-playbooks waqt ir-runtime, huwa rakkomandat li jkollok fajl separat tal-password li jkun fih il-password tal-kaxxa-forti Ansible. Dan il-fajl jista 'mbagħad jiġi mgħoddi matul runtime kif muri.

# ansible-playbook deploy.yml --vault-password-file  /home/tecmint/vault_pass.txt

Dan iwassalna għall-konklużjoni ta 'dan is-suġġett u s-serje ta' awtomazzjoni Ansible. Nittamaw li t-tutorials infusaw xi għarfien utli dwar kif tista 'awtomatizza l-kompiti f'diversi servers minn sistema ċentrali waħda.