Ansible Vault - механизм шифрования переменных и файлов, который помогает спрятать секретные данные, такие как пароли или ключи к разнообразным сервисам. У Ansible Vault множество вариантов использования, о которых можно подробно прочитать в документации. Здесь мы остановимся на одном, наиболее простом и универсальном. Пример этой схемы можно подсмотреть тут
Подготовка
- Создайте директорию group_vars/all в той директории, откуда вы запускаете ansible (где хранится inventory файл). Yaml-файлы внутри этой директории автоматически подгружаются Ansible во время выполнения плейбуков
- Создайте файл group_vars/all/vault.yml. В этом файле мы будем хранить зашифрованные переменные
- Добавьте туда переменную с именем
my_secret_keyи значениемlala
Теперь перейдем непосредственно к шифрованию. Для этого выполните следующую команду:
ansible-vault encrypt group_vars/all/vault.yml
New Vault password:
Confirm New Vault password:
Encryption successful
Перед шифрованием Ansible запросит пароль, который нужно запомнить или где-то записать, например, в менеджере паролей наподобие keepass. После установки пароля файл окажется зашифрованным. Вот как теперь выглядит его содержимое:
$ANSIBLE_VAULT;1.1;AES256
66353133343061653262393732666166313962303936626431303464363563663534386534373237
3034636362613338353739323131616465303762333431300a383838383937623565666436616162
63623934323662313466643839643466623635366138666136333361316432376464633639333862
3938323664663435310a336666666565376562363565643965346231643133333937376238326537
3539
Однажды зашифровав файл, его больше никогда не нужно расшифровывать самостоятельно. Ключевая фишка безопасности здесь в том, что файл всегда остается зашифрован. Расшифровкой занимается сам Ansible и только тогда, когда это нужно. Например во время запуска плейбука:
ansible-playbook -i inventory --ask-vault-pass playbook.yml
Для этого нужно указать опцию --ask-vault-pass. Затем Ansible запросит пароль, которым выполнялось шифрование и расшифрует данные файла. Сам файл останется зашифрованным.
Постоянное копирование пароля может утомить, поэтому существует еще один способ указания пароля. Достаточно положить его в какой-то файл, который исключен из контроля версий и указать к нему путь:
# внутри файла должен быть только пароль
ansible-playbook --vault-password-file /path/to/my/vault-password-file ...
Для изменения зашифрованного файла нужно набрать команду:
ansible-vault edit group_vars/all/vault.yml
Она откроет редактор по умолчанию (значение переменной окружения $EDITOR в системе), в котором отобразится расшифрованное содержимое файла. Файл, при этом, останется зашифрованным. Все это защищает от случайного попадания чувствительных данных в репозиторий в открытом виде.
Самостоятельная работа
Для выполнение этого задания необходимо любое приложение, для которого требуется зашифровать чувствительные данные (токены для внешних сервисов, пароли и так далее). Если у вас нет такого приложения, то используйте Devops Example App.
-
Создайте плейбук с настройкой окружения для вашего приложения
-
Подключите к приложению внешний сервис (база данных, сервис мониторинга, коллектор ошибок)
-
Добавьте деплой и запуск приложения и выполните деплой
-
Проверьте, что приложение запускается
В результате у вас получится плейбук, который готовит окружение и деплоит приложение, а чувствительные данные будут зашифрованы.
Дополнительные материалы
Остались вопросы? Задайте их в разделе «Обсуждение»
Вам ответят команда поддержки Хекслета или другие студенты
Для полного доступа к курсу нужен базовый план
Базовый план откроет полный доступ ко всем курсам, упражнениям и урокам Хекслета, проектам и пожизненный доступ к теории пройденных уроков. Подписку можно отменить в любой момент.
