Каковы оптимальные методы использования Ansible Vault в общедоступных CI и репозиториях контроля версий, таких как BitBucket?

11

Вступление

В частных репозиториях CI и Source Control, таких как Gitlab-ce, можно скопировать ~ / .vault_pass.txt на сервер и позволить CI использовать его для дешифрования файлов с использованием Ansible.

проблема

В общедоступных CI и репозиториях контроля версий, таких как Bitbucket, невозможно скопировать ~ / .vault_pass.txt на сам CI-сервер.

обсуждение

В Bitbucket можно определить зашифрованные переменные, но при проверке этого файла единственными переменными, связанными с VAULT, являются:

  • ANSIBLE_ASK_VAULT_PASS
  • ANSIBLE_VAULT_PASSWORD_FILE

Эти переменные не являются опцией для решения проблемы, так как когда они ANSIBLE_ASK_VAULT_PASSустановлены, по- ansible-vaultпрежнему запрашиваются:

user@host $
Vault password:

Когда тот же пароль введен, он может открыть зашифрованный файл, но цель состоит в том, чтобы открыть файл без необходимости файла или ввода пароля в командной строке.

Другая попытка решить проблему была запущена export ANSIBLE_ASK_VAULT_PASS=<ansible-vault-password>, но интерактивный режим сохраняется.

Другой вариант export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt, но тогда этот файл нужно отправить в репозиторий, но репозитории исходного контроля не должны содержать пароли.

ansible-vault  bitbucket 
030
источник
2
Привет @ 030, не могли бы вы уточнить, что вы имеете в виду под КИ? Для меня это означает непрерывную интеграцию , однако и GitLab, и BitBucket также являются репозиториями управления версиями - вопрос был бы яснее, если бы CI был расширен.
Ричард Слейтер,

Ответы:

8

--vault-password-fileвместо этого можно указать на исполняемый скрипт, который пишет в стандартный вывод. Эта малоизвестная особенность должна решить вашу проблему.

Сначала напишите простой исполняемый скрипт, который печатает системную переменную окружения, и проверьте это в своем контроле исходного кода. Затем используйте функцию зашифрованных переменных Bitbucket, чтобы установить для этой переменной среды свой секрет ansible-vault. Наконец, выполните так:

ansible-playbook site.yml --vault-password-file ./mypass.sh,

Использованная литература:

  1. http://docs.ansible.com/ansible/playbooks_vault.html#running-a-playbook-with-vault

  2. https://groups.google.com/forum/#!topic/ansible-devel/1vFc3y6Ogto

Лесной Охотник
источник
И тогда mypass.sh будет содержать, echo $VARнапример, и эта переменная будет установлена ​​в интерфейсе BitBucket?
030
Ага! Кроме того, вот пример Python: stackoverflow.com/questions/4906977/…
Лесной Охотник
([Errno 8] Exec format error). If this is not a script, remove the executable bit from the file.
030
1

С помощью

ansible-playbook site.yml --vault-password-file ./mypass.sh

привело к:

ERROR! Problem running vault password script / p a t h / t o
/ e c h o _ v a u l t _ p a s s . s h ([Errno 8] Exec format error). If this is 
not a script, remove the executable bit from the file.

На основании этого поста в bitbucket-конвейерах было определено следующее:

image: docker:latest

pipelines:
  default:
    - step:
        script:
          - echo $ANSIBLE_VAULT_PASSWORD > .vault_password.txt
          - ansible-playbook -i ansible/inventory ansible/site.yml --vault-password-file .vault_password.txt
030
источник
-1

Вы можете создать тестовый набор, который не запускает производство, и загрузить для него разные файлы.

Создайте host_vars / localhost / vault, который работает только для локальной тестовой установки.

Таким образом, вы можете использовать пароль открытого хранилища, который работает только для этого локального хранилища хоста.

Findarato
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.