运维

Linux Ops Ansible ansible vault 的使用 ansible 在某些特殊的操作，例如 become 提取操作，再或者有些配置文件有机密信息，不想明文保存，那么就需要用到 vault 这个工具。它随着 ansible 发行，调用方式为 ansible-vault。 在不是非常保密严格的场合，可以只配置 2-3 个 vault 密码，去加密 ansible 用到的所有文件。 现在假设当前目录下有以下文件： ansible.cfg hosts hello.yml 那么除了 ansible.cfg 不能被加密，其他数据都可以加密。相当于用一个密码隐藏另一堆机密数据。 模块说明 create: 创建一个新文件，并直接对其进行加密 decrypt: 解密文件 edit: 用于编辑 ansible-vault 加密过的文件 encrypy: 加密文件 encrypt_strin: 加密字符串，字符串从命令行获取 view: 查看经过加密的文件 rekey: 重新设置密码 每个模块都很容易理解。 每个模块的作用可以参考： ansible笔记（43）：使用 ansible-vault 加密数据 Ansible 加密模块 Vault 使用方式 这里提供两种加密明文密码的使用姿势。 首先，我们需要创造一个 vault 的密码，这个密码可以人工创造，或者交给 openssl 自动生成，存储在特定文件里。 $ openssl rand -base64 100 > vault.pass 接着编辑 ansible.cfg 文件（该文件绝不能被 vault 加密）。 ...