Ansible 最佳实践 之 Vault Pseudo leaf encryption

头像
yexiaobai
    阅读 3 分钟
    1

    注:该文作者是 RAPHAEL CAMPARDOU,该文是摘取了 Ansible (Real Life) Good Practices 其中的 Vault Pseudo leaf encryption 来讲的。

    Ansible 最佳实践

    Vault Pseudo leaf encryption

    从 Ansbile 1.5 版本起,Ansible 引入了 Ansible Vault 功能,在 playbook 中加密数据,并在运行时解密的方法。这个特性是高度要求的,在平台管理工具之间给了 Ansible 它的真实位置。

    事实是:我们喜欢 Ansible 的可读性,加密的方式使事情,好吧,缺少可读性。

    ansible-vault 命令将将加密或解密整个 var 文件,你不能只加密一个变量的值。解决方案非常简单:你可以仅仅为敏感数据创建第二个 var 文件。但是带来了另外一个问题:你的变量会分布在多个文件中,并且它们中的一部分加密。这容易引起混乱。比如,如果你定义一个字典的变量,并且仅仅它们中的一个是敏感的,你不得不加密整个字典。

    Leaf encryption 是一个特色要求,但同时,这有一个更简洁优雅的方式解决可读和安全性这两个问题:嵌套变量。

    对于每一个敏感变量,你可以创建一个双大括号({{}})前缀的变量在加密文件中。

    # var_file
db_password: {{ vaulted_db_passord }}
# and for a dctionnary
aws: 
  - "access_key_id='abcdefgh'"
  - "secret_access_key='{{ vaulted_aws_secret_access_key }}'"

    # vault_file
vaulted_db_passord: a_super_secret
vaulted_aws_secret_access_key: the_aws_secret

    以这样的方式,你就可以像之前那样操作你所有的变量,知道 vaulted 的版本保持加密。你甚至可以解决由某些人负责加密文件的问题,团队中的其他人绝对不会看到文件的内容,但是仍然可以管理他们需要的 var 文件。

    Git Pre-commit Hook for Vault

    最后这一条不是直接与 Ansible 相关的,它更多的是工作流的建议。

    有两种方式处理 vault 文件:ansible-vault [encrypt|decrypt] 或 用第一种方法 ansible-vault edit,这是一个很好的机会,在某一时刻,解密的版本最终会在一个 Git 提交中,如果可以擦除它的历史,这是一个真正的痛苦。

    我写了一个简单的 pre-commit 钩子来检查是否一个文件在提交前调用的 "vault-something" 是加密的。如果不是,它将显示一个帮助信息。

    把它复制为 .git/hooks/pre-commit 并使得它可执行(或追加到现有的 pre-commit)。它可以存在于你的 Ansible 工程仓库中或是在你的全局 .git/ 中。

    #!/bin/sh
#
# Pre-commit hook that verifies if all files containing 'vault' in the name
# are encrypted.
# If not, commit will fail with an error message
#
# File should be .git/hooks/pre-commit and executable
FILES_PATTERN='.*vault.*\.yml$'
REQUIRED='ANSIBLE_VAULT'

EXIT_STATUS=0
wipe="\033[1m\033[0m"
yellow='\033[1;33m'
# carriage return hack. Leave it on 2 lines.
cr='
'
for f in $(git diff --cached --name-only | grep -E $FILES_PATTERN)
do
  # test for the presence of the required bit.
  MATCH=`head -n1 $f | grep --no-messages $REQUIRED`
  if [ ! $MATCH ] ; then
    # Build the list of unencrypted files if any
    UNENCRYPTED_FILES="$f$cr$UNENCRYPTED_FILES"
    EXIT_STATUS=1
  fi
done
if [ ! $EXIT_STATUS = 0 ] ; then
  echo '# COMMIT REJECTED'
  echo '# Looks like unencrypted ansible-vault files are part of the commit:'
  echo '#'
  while read -r line; do
    if [ -n "$line" ]; then
      echo "#\t${yellow}unencrypted:   $line${wipe}"
    fi
  done <<< "$UNENCRYPTED_FILES"
  echo '#'
  echo "# Please encrypt them with 'ansible-vault encrypt <file>'"
  echo "#   (or force the commit with '--no-verify')."
  exit $EXIT_STATUS
fi
exit $EXIT_STATUS

    扩展阅读

    First Five (and a Half) Minutes on a Server with Ansible

    ansibleansible-vault加密解密运维自动化自动化部署
    yexiaobai
    4.8k 声望875 粉丝

    就是不告诉你 O(∩_∩)O哈哈~。

    « 上一篇
    Docker 资源管理
    下一篇 »
    Ansible 之 lineinfile

    引用和评论

    推荐阅读
    头像
    K8S client-go Patch example

    yexiaobai2阅读 14.3k评论 1

    头像
    Linux运维工程师面试题(7)

    阿贤Linux阅读 1.1k

    头像
    好用!推荐一个开源加密库 Bouncy Castle

    威哥爱编程阅读 739

    头像
    关于告警,要想做好,从这些方面着手

    SRETALK阅读 250

    头像
    Python AES 加密和解密(qbit)

    qbit阅读 186

    头像
    企业分享 - 益丰大药房监控升级之路

    SRETALK阅读 163

    头像
    【运维自动化-配置平台】动态分组功能使用场景

    腾讯蓝鲸智云阅读 157

    0 条评论
    得票最新