机密管理
- 创建加密文件
[root@node1 ansible]# ansible-vault create group_vars/servers
在group_vars目录下创建一个servers的文件
- 查看加密文件
[root@node1 ansible]# ansible-vault view group_vars/servers
Vault password:
passwd: 123
用这个命令查看已经加密的文件,可以不用打开就能查看,但是需要输入密码
- 编辑加密文件
[root@node1 ansible]# ansible-vault edit group_vars/servers
Vault password:
[root@node1 ansible]# ansible-vault view group_vars/servers
Vault password:
passwd: RHCSA
修改servers文件里面的内容
此命令是将文件解密为一个临时文件,并允许对其进行编辑。保存时,就会改为你修改之后的内容。
- 加密现有的文件
[root@node1 ansible]# ansible-vault encrypt group_vars/servers
New Vault password:
Confirm New Vault password:
Encryption successful
这里可以对多个文件同时进行加密
- 解密现有的文件
[root@node1 ansible]# ansible-vault decrypt group_vars/servers
Vault password:
Decryption successful
此命令是对文件进行永久的解密。若要对单个文件进行解密可使用 --output可以对解密的文件的名称进行更改并保存
- 更改加密文件的密码
[root@node1 ansible]# ansible-vault rekey group_vars/servers
Vault password:
New Vault password:
Confirm New Vault password:
Rekey successful
修改当前的密码前提是需要输入旧密码
可以对加密文件的密码进行修改,可对多个文件同时进行修改。
- 加密文件的使用
[root@node1 ansible]# ansible-vault view --vault-password-file=.xxhh group_vars/servers
passwd: RHCSA
编辑一个文件,写入你加密文件的密码,再使用--vault-password-file=密码存放的文件名,就可以对加密文件进行你想要的操作了
[root@node1 ansible]# ansible-vault decrypt --vault-password-file=.xxhh group_vars/servers
Decryption successful
使用密码文件进行解密
[root@node1 ansible]# ansible-vault encrypt --vault-password-file=.xxhh group_vars/servers
Encryption successful
使用密码文件对文件进行加密
[root@node1 ansible]# ansible-vault rekey --vault-password-file=.xxhh --new-vault-password-file=.m group_vars/servers
Rekey successful
先输入之前的旧密码文件,再输入新的密码文件里面的密码
使用密码文件对文件进行重新加密
我们这里用新加密的密码文件去查看servers这个文件的内容,发现可以查看说明我们加密成功了。
[root@node1 ansible]# ansible-vault view --vault-password-file=.m group_vars/servers
passwd: RHCSA
- 在playbook中使用vault
可以使用手动输入密码的方式来执行playbook,前提是要记住自己的密码且要符合密码的复杂性原则
[root@node1 ansible]# ansible-playbook --vault-id @prompt test.yml
Vault password (default):
PLAY [node4] *******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [node4]
TASK [创建用户tom] *****************************************************************
这里我们用变量来完成创建用户
首先创建一个存放变量的加密文件
[root@node1 ansible]# ansible-vault create --vault-password-file=.m var/user.yml
在执行playbook时,需要知道存放变量文件的密码是什么才能执行
[root@node1 ansible]# ansible-playbook --vault-password-file=.m test.yml
PLAY [node4] *******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [node4]
[root@node1 ansible]# ansible-playbook --vault-password-file=.m test.yml
PLAY [node4] *******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [node4]
TASK [创建用户tom] *****************************************************************
changed: [node4]
PLAY RECAP *********************************************************************
node4 : ok=2 changed=1 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
ansible的事实
- ansible事实是ansible在受管主机上自动检测到的变量,其中受管主机的变量可能包含一下内容:
| 事实 | 变量 |
|---|---|
| 主机名 | ansible_facts['hostname'] |
| 完全限定域名 | ansible_facts['fqdn'] |
| IPv4地址 | ansible_facts['default_ipv4']['address'] |
| 所有网络接口的名称列表 | ansible_facts['interfaces'] |
| dev/vda1磁盘分区的大小 | ansible_facts['devices']['vda']['partitions']['vda1']['size'] |
| DNS服务器列表 | ansible_facts['dns']['nameservers'] |
| 当前运行的内核版本 | ansible_facts['kernel'] |
- 收集事实的方法
查看所有受管主机的事实使用less是为了以更直观的方式显示
[root@node1 ansible]# ansible all -m setup | less
收集node4上的事实
---
- hosts: node4
tasks:
- name:
debug:
var: ansible_facts
[root@node1 ansible]# cat test.yml
---
- hosts: node4
tasks:
- name:
debug:
msg: >
hostname is {{[ansible_facts][fqdn]}}
ipv4 is {{[ansible_facts][default_ipv4][address]}}
- 关闭事实的方式
[root@node1 ansible]# cat test.yml
---
- hosts: node4
gather_facts: no 添加这一行即可关闭
循环的使用
---
- hosts: node1
tasks:
- name:
user:
name: '{{ item }}'
state: present
loop:
- tom
- tom1
- tome2
列表循环
--
- hosts: node4
vars:
users:
- kill
- tom
- zs
tasks:
- name:
user:
name: '{{ item }}'
state: present
loop: "{{ users }}
