Kuinka suojata arkaluontoisia tietoja holkkikirjoista arkaluontoisissa tiedoissa - osa 10
Kun jatkat Ansible-sovelluksen käyttöä, saatat joutua näppäilemään joitain luottamuksellisia tai salaisia tietoja soittokirjoihin. Tämä sisältää SSH: n yksityiset ja julkiset avaimet, salasanat ja SSL-varmenteet, joista mainitaan vain muutama. Kuten jo tiedämme, sen huono käytäntö on arkaluontoisten tietojen tallentaminen pelkkänä tekstinä ilmeisistä syistä. Nämä tiedot on pidettävä salassa, koska voimme vain kuvitella, mitä tapahtuisi, jos hakkerit tai luvattomat käyttäjät saisivat sen käsiinsä.
Onneksi Ansible tarjoaa meille kätevän ominaisuuden, joka tunnetaan nimellä Ansible Vault. Kuten nimestä voi päätellä, Ansible Holvi auttaa suojaamaan tärkeitä salaisia tietoja, kuten olemme aiemmin keskustelleet. Ansible Vault voi salata muuttujia tai jopa kokonaisia tiedostoja ja YAML-soittokirjoja, kuten myöhemmin osoitamme. Se on erittäin kätevä ja käyttäjäystävällinen työkalu, joka vaatii saman salasanan tiedostojen salauksessa ja salauksen purkamisessa.
Sukelletaan nyt ja saamme yleiskuvan eri toiminnoista, jotka voidaan suorittaa Ansible holvin avulla.
Kuinka luoda salattu tiedosto Ansible-tiedostoon
Jos haluat luoda salatun Playbook-tiedoston, käytä yksinkertaisesti ansible-vault create -komentoa ja anna tiedostonimi kuvan osoittamalla tavalla.
# ansible-vault create filename
Esimerkiksi, jos haluat luoda salatun tiedoston mysecrets.yml, suorita komento.
# ansible-vault create mysecrets.yml
Sen jälkeen sinua pyydetään antamaan salasana, ja sen vahvistamisen jälkeen uusi ikkuna avautuu vi-editorilla, jossa voit aloittaa näytelmien kirjoittamisen.
Alla on esimerkki joistakin tiedoista. Kun olet valmis, tallenna ja poistu pelikirjasta. Ja se on vain siitä, kun luot salatun tiedoston.
Varmista tiedostojen salaus käyttämällä kissa-komentoa kuvan osoittamalla tavalla.
# cat mysecrets.yml
Salatun tiedoston tarkasteleminen Ansible-sovelluksessa
Jos haluat tarkastella salattua tiedostoa, välitä yksinkertaisesti ansible-holvin näkymäkomento alla olevan kuvan mukaisesti.
# ansible-vault view mysecrets.yml
Jälleen kerran sinua pyydetään antamaan salasana. Jälleen kerran sinulla on pääsy tietoihisi.
Salatun tiedoston muokkaaminen Ansible-sovelluksessa
Voit tehdä muutoksia salattuun tiedostoon käyttämällä ansible-holvin muokkauskomentoa kuvan osoittamalla tavalla.
# ansible-vault edit mysecrets.yml
Kuten aina, anna salasana ja jatka sitten tiedoston muokkaamista.
Kun muokkaus on valmis, tallenna ja poistu vim-editorista.
Kuinka vaihtaa mahdollisen holvin salasana
Jos mielestäsi on tarpeen vaihtaa Ansible holvin salasana, voit tehdä sen helposti käyttämällä ansible-holvin uudelleenavauskomentoa alla olevan kuvan mukaisesti.
# ansible-vault rekey mysecrets.yml
Tämä pyytää holvin salasanaa ja pyytää sinua myöhemmin syöttämään uuden salasanan ja vahvistamaan sen myöhemmin.
Kuinka salata salaamaton tiedosto Ansible-tiedostossa
Oletetaan, että haluat salata salaamattoman tiedoston, voit tehdä sen suorittamalla ansible-holvin salauskomennon kuvan mukaisesti.
# ansible-vault encrypt classified.txt
Voit myöhemmin tarkastella tiedostoa alla kuvatulla tavalla kissa-komennolla.
Salatun tiedoston salauksen purkaminen
Voit tarkastella salatun tiedoston sisältöä purkamalla tiedoston vain käyttämällä ansible-holvin salausta alla olevan esimerkin mukaisesti.
# ansible-vault decrypt classified.txt
Kuinka salata tietyt muuttujat Ansible-sovelluksessa
Lisäksi Ansible holvi antaa sinulle mahdollisuuden salata tiettyjä muuttujia. Tämä tehdään käyttämällä ansible-vault encrypt_string -komentoa kuvan mukaisesti.
# ansible-vault encrypt_string
Ansible holvi kysyy salasanaa ja vaatii myöhemmin vahvistamaan sen. Kirjoita seuraavaksi merkkijonoarvo, jonka haluat salata. Paina lopuksi ctrl+d
. Sen jälkeen voit aloittaa salatun arvon määrittämisen pelikirjaan.
Tämä voidaan saavuttaa yhdellä rivillä alla olevan kuvan mukaisesti.
# ansible-vault encrypt_string 'string' --name 'variable_name'
Kuinka purkaa soittokirjatiedosto ajon aikana
Jos sinulla on pelikirjatiedosto ja haluat purkaa sen salauksen suorituksen aikana, käytä kuvan mukaista vaihtoehtoa --ask-vault-pass
.
# ansible-playbook deploy.yml --ask-vault-pass
Tämä purkaa kaikki soittokirjassa käytetyt tiedostot, mikäli ne on salattu samalla salasanalla.
Salasanakehotteet voivat olla ajoittain ärsyttäviä. Nämä kehotukset tekevät automaatiosta kestämätöntä, varsinkin kun automaatio on avainasemassa. Soittokirjojen purkamisen purkamiseksi suorituksen aikana on suositeltavaa, että sinulla on erillinen salasanatiedosto, joka sisältää Ansible holvin salasanan. Tämä tiedosto voidaan sitten siirtää ajon aikana kuvan osoittamalla tavalla.
# ansible-playbook deploy.yml --vault-password-file /home/tecmint/vault_pass.txt
Tämä johtaa meidät tämän aiheen ja Ansible Automation -sarjan päätelmiin. Toivomme, että opetusohjelmat ovat antaneet hyödyllistä tietoa siitä, kuinka voit automatisoida tehtäviä useille palvelimille yhdestä keskusjärjestelmästä.