Ansible — это популярный инструмент автоматизации с открытым исходным кодом, который позволяет управлять и настраивать системы на нескольких хостах. Одним из распространенных требований при работе с Ansible является безопасное хранение имен пользователей и паролей для хостов. В этом сообщении блога мы рассмотрим несколько способов добиться этого, гарантируя при этом безопасность конфиденциальной информации.

Метод 1: использование Ansible Vault
Ansible Vault — это встроенная функция, позволяющая шифровать конфиденциальные данные в ваших книгах воспроизведения. Вы можете создать зашифрованный файл для хранения имен пользователей и паролей с помощью следующей команды:

ansible-vault create secrets.yml

Вам будет предложено установить пароль для хранилища. После создания хранилища вы можете добавить в файл свои имена пользователей и пароли. При запуске плейбука вы можете указать пароль хранилища, используя параметр --vault-password-file.

Метод 2: переменные среды
Другой подход — использовать переменные среды для хранения имен пользователей и паролей. Вы можете определить переменные среды, содержащие ваши учетные данные, и получить к ним доступ в своих плейбуках с помощью плагина lookup. Например:

- name: Retrieve credentials from environment variables
  hosts: localhost
  tasks:
    - name: Set username
      set_fact:
        username: "{{ lookup('env', 'USERNAME') }}"
    - name: Set password
      set_fact:
        password: "{{ lookup('env', 'PASSWORD') }}"

Метод 3: Ansible Tower или AWX
Если вы используете Ansible Tower или AWX, вы можете использовать их встроенные функции управления учетными данными. Эти инструменты обеспечивают безопасный и централизованный способ хранения ваших учетных данных и управления ими. Вы можете создать объект учетных данных для каждого хоста, на который затем можно будет ссылаться в ваших книгах воспроизведения.

Метод 4: внешнее хранилище учетных данных
Вы также можете хранить имена пользователей и пароли во внешнем хранилище учетных данных, например HashiCorp Vault, или в менеджере паролей, таком как LastPass. Эти инструменты обеспечивают безопасное хранение конфиденциальной информации и предоставляют API или интерфейсы командной строки для получения учетных данных при необходимости.

В этой записи блога мы рассмотрели несколько методов безопасного хранения имен пользователей и паролей для хостов в сборниках сценариев Ansible. Используя Ansible Vault, переменные среды, Ansible Tower/AWX или внешние хранилища учетных данных, вы можете обеспечить безопасность конфиденциальной информации, автоматизируя управление инфраструктурой.