Dokumen ini menunjukkan bahwa karena An 2.3 mungkin harus mengenkripsi vars tertentu menggunakan !vault |
awalan alih-alih meletakkan variabel dan kunci dalam file vault dan mengenkripsi sepenuhnya.
notsecret: myvalue mysecret: !vault | $ANSIBLE_VAULT;1.1;AES256 66386439653236336462626566653063336164663966303231363934653561363964363833313662 6431626536303530376336343832656537303632313433360a626438346336353331386135323734 62656361653630373231613662633962316233633936396165386439616533353965373339616234 3430613539666330390a313736323265656432366236633330313963326365653937323833366536 34623731376664623134383463316265643436343438623266623965636363326136 other_plain_text: othervalue
Saat ini strukturnya adalah sebagai berikut:
ansible/group_vars/testing/vars
ansible/group_vars/testing/vault
Ketika variabel terenkripsi dipindahkan dari vault ke direktori vars dan ansible-vault decrypt ansible/group_vars/testing/vars
dijalankan kembali:
ERROR! input is not vault encrypted data for ansible/group_vars/testing/vars
Variabel berkubah ini didekripsi dengan rahasia vault yang disediakan dan digunakan sebagai variabel normal. Baris perintah anault-vault mendukung stdin dan stdout untuk mengenkripsi data dengan cepat, yang dapat digunakan dari editor favorit Anda untuk membuat variabel berkubah ini; Anda hanya perlu memastikan untuk menambahkan tag! vault sehingga Ansible dan YAML menyadari kebutuhan untuk mendekripsi. | juga diperlukan, karena enkripsi vault menghasilkan string multi-line.
Pertanyaan
- Haruskah variabel yang perlu dienkripsi, dienkripsi satu per satu menggunakan baris perintah?
- Apa praktik terbaik untuk merestrukturisasi struktur Ansible lama? Misalnya menghapus file vault dan meletakkan semua vars terenkripsi dalam file vars?
sumber