LINUX.ORG.RU

История изменений

Исправление mutley, (текущая версия) :

как оно(vault) и насколько нужно?

Нужно, если есть потребность заливать в Гит плейбуки с паролями. Ну то есть почти всегда :)

Конкретно Ансиблевскую реализацию я не щупал. Я пользовался такой штукой в Шефе, там есть специальные шифрованные файлы (encrypted data bag, емнип). Специальная обертка вокруг текстового редактора расшифровывала файл перед редактированием, и зашифровывала обратно перед сохранением. В результате такой зашифрованый файл с явками и паролями можно было смело заливать в Гит или еще куда, что с простым текстовым файлом естественно не прокатывало.

С переходом на Ансибл этой штуки очень не хватало. Поначалу мы для каждого файла с паролями делали сэмпл с затычками, который не жалко коммитить в репозиторий, и в котором перед прогоном плейбука надо было ручками забить все пароли. Мне это надоело в конце концов, я начал было писать свой аналог encrypted data bag, как в Шефе, но потом нашел этот тред — тут обсуждалось, как такую штуку сделать. Я решил, что они успеют быстрее меня, и вот оно.

Тут из первых рук, как оно работает: http://blog.ansibleworks.com/2014/02/19/ansible-vault/

Единственное, в чем я недоразобрался (пока не до того) — это как Ансибл отличает шифрованный файл от обычного.

Собственно вот.

Исходная версия mutley, :

как оно(vault) и насколько нужно?

Нужно, если есть потребность заливать в Гит плейбуки с паролями. Ну то есть почти всегда :)

Конкретно Ансиблевскую реализацию я не щупал. Я пользовался такой штукой в Шефе, там есть специальные шифрованные файлы (encrypted data bag, емнип). Специальная обертка вокруг текстового редактора расшифровывала файл перед редактированием, и зашифровывала обратно перед сохранением. В результате такой зашифрованый файл с явками и паролями можно было смело заливать в Гит или еще куда, что с простым текстовым файлом естественно не прокатывало.

С переходом на Ансибл этой штуки очень не хватало. Поначалу мы для каждого файла с паролями делали сэмпл с затычками, который не жалко коммитить в репозиторий, и в котором перед прогоном плейбука надо было ручками забить все пароли. Мне это надоело в конце концов, я начал было писать свой аналог encrypted data bag, как в Шефе, но потом нашел этот тред: https://groups.google.com/forum/#!searchin/ansible-project/secret$20variables/ansible-project/jAX8N3RMr-I/htkn74Zoxe4J — тут обсуждалось, как такую штуку сделать. Я решил, что они успеют быстрее меня, и вот оно.

Тут из первых рук, как оно работает: http://blog.ansibleworks.com/2014/02/19/ansible-vault/

Единственное, в чем я недоразобрался (пока не до того) — это как Ансибл отличает шифрованный файл от обычного.

Собственно вот.