Skip to content

Saladused

Lookupid ja genereerimine

Esimene osa on kuidas kasutada unikaalset parooli iga kord.

Complete

Kasutades järgnevat playbooki, leiuta meetod kuidas genereerida unikaalne parool iga Ansible jooksutamisel kasutajale:

- hosts: all
  user: root

  var:
    password: "TÄIDA"

  tasks:
    - name: Prindi parool
      debug:
        var: password

    - name: Tee kasutaja parooliga
      user:
        name: kasutaja
        password: "{{ password | password_hash }}"

Verify

Igal käivitamisel peaks olema password muutuja erinev, ja user käsk muutuma.

Teine osa, kuidas saada samasugune parool.

Complete

Kasutades järgnevat playbooki, leiuta meetod kuidas genereerida unikaalne esimene kord, aga teistel kordadel kasutada sama igal Ansible jooksutamisel.

- hosts: all
  user: root

  var:
    password: "TÄIDA"

  tasks:
    - name: Prindi parool
      debug:
        var: password

    - name: Tee kasutaja parooliga
      user:
        name: kasutaja
        password: "{{ password | password_hash }}"

Verify

Igal käivitamisel peaks olema password muutuja erinev, ja user käsk muutuma.

Ansible Vault - ühe muutuja krüpto

Kasutame Ansible Vaulti, et krüpteerida üks muutuja meie muutujate hulgas.

Complete

Teeme endale muutuja kasutades ansible-vault encrypt_string käsku.

Käsk käivitades küsib kõigepealt parooli, millega see krüpteerida (2x). Peale seda küsitakse, mis andmed ära krüpteerida. See on nüüd muutuja sisu - pane siia midagi mida ära tunned.

Peale seda väljastatakse sulle krüpteeritud kujul muutuja:

!vault |
          $ANSIBLE_VAULT;1.1;AES256
          61386566356438303636653332306137336463613964373238356438373839656332343365363033
          3434393438323661366665386162616635353031353162660a633131333434643263656230383334
          39306663316632643638336266636536616332383365636665613865343431373431376662626330
          6334343461616534300a626332623064663562643561633237383861376637366362303565623733
          3665

Võta see, ja pane endale kuskile muutujate faili, niimoodi:

group_vars/all.yml
muutuja:     !vault |
          $ANSIBLE_VAULT;1.1;AES256
          61386566356438303636653332306137336463613964373238356438373839656332343365363033
          3434393438323661366665386162616635353031353162660a633131333434643263656230383334
          39306663316632643638336266636536616332383365636665613865343431373431376662626330
          6334343461616534300a626332623064663562643561633237383861376637366362303565623733
          3665

Proovi jooksutada playbooki:

- hosts: all
  user: root

  tasks:
    - name: Prindi muutuja
      debug:
        var: <asenda oma muutuja nimega>

Ja pane Ansible käima. Peaksid saama veateate.

Nüüd proovi käima panna --ask-vault-pass võtmega.

Verify

Muutuja väljund peaks olema sama, mis sa ise sisse kirjutasid.

Ansible Vault - muutujate faili krüpto

Ansible lubab ka krüpteerida tervet muutujate faili. Selleks on järgnevad käsud:

ansible-vault create vault/paroolid.yml

ansible-vault view vault/paroolid.yml

ansible-vault edit vault/paroolid.yml

Seejärjel saab neid playbookis:

- name: Demo using vaulted variables
  hosts: all
  vars_files:
    - vault/passwords.yml

  tasks:
    - name: Show vaulted secrets
      debug:
        msg: 
          - "muutuja oli: {{ muutuja }}"

Complete

Tee endale üks krüpteeritud muutujate fail. Seejärel kasuta seda Ansiblega.

Verify

Playbook peaks sulle andma tagasi samad muutujad, mis sa faili ise panid.