08：管理变量和事实-2 管理机密

type

status

date

slug

summary

使用 `ansible-navigator` 与 Ansible Vault 来管理敏感数据

现代 IT 环境中，处理敏感数据的安全性至关重要。Ansible Vault 是一个用于加密和保护敏感信息的工具，而 ansible-navigator 则为执行这些加密操作提供了更加用户友好的界面。本文详细介绍如何通过 ansible-navigator 实现对 Ansible Vault 加密、查看、编辑、解密的操作，并讨论如何结合 Vault ID 来管理多环境密码。

Ansible Vault 简介

Ansible Vault 是 Ansible 的内置加密功能，用于加密和解密敏感信息，如 API 密钥、密码或其他配置文件。通过加密，可以保证敏感数据在文件存储和传输过程中不被泄露。

主要功能：

加密/解密变量文件、Playbook、以及其他重要文件。

支持 AES-256 加密算法，确保高强度的加密安全性。

支持多环境密码管理，通过 Vault ID 可以为不同环境设置不同的密码。

ansible-navigator 的优势

相比传统的 ansible-playbook 命令行工具，ansible-navigator 提供了更简洁的用户界面，尤其在处理复杂任务（如 Vault 管理）时更加直观。此外，它支持更强的交互式命令操作，使你能快速处理复杂的 Playbook 和密钥管理。

基础操作

创建加密文件

要通过 ansible-navigator 创建加密文件，首先你需要一个加密密码。可以直接使用以下命令创建新加密文件，并使用 --vault-password-file 来指定存储密码的文件：

该命令会提示你输入并确认密码，然后将 secret.yml 加密。

提示： 使用 --vault-password-file 的方式可以避免频繁手动输入密码。将密码存放在单独的文件中，可以减少出错的机会，并便于自动化处理。

使用 `-vault-id @prompt` 动态输入密码

当你在运行加密的 Playbook 时，Ansible 提供了 --vault-id @prompt 选项，这样可以在运行时动态输入密码。

例如，运行一个加密的 Playbook：

执行该命令后，ansible-navigator 会提示你输入解密用的密码。这种方式允许你在多环境下灵活管理密码，避免将密码硬编码在配置文件中，提升安全性。

编辑加密文件

有时需要修改已经加密的文件内容，可以使用以下命令：

此命令将解密文件并打开编辑器，在你完成编辑后，ansible-navigator 会自动加密保存。

注意： 为确保安全性，编辑后的文件在保存时会重新加密。建议在编辑文件前确保已使用了受保护的密码文件，避免泄露敏感信息。

查看加密文件

如果你仅想查看加密文件的内容，而不需要修改，可以使用：

这会解密并以只读方式显示文件内容，不会触发任何修改。

解密文件

如果需要完全解密一个加密文件，可以使用以下命令将其解密为普通文件：

解密成功后，secret.yml 文件将变为普通的文本文件。

小贴士： 解密文件后，一定要谨慎对待，确保它不会被意外推送到版本控制系统或泄露到不安全的环境中。

使用 Vault ID 管理多环境密码

在实际生产环境中，开发、测试、生产环境可能使用不同的敏感信息。为了有效管理这些多环境密码，Ansible 提供了 Vault ID 功能。通过 Vault ID，可以为不同环境的文件加密不同的密码，并在执行 Playbook 时通过标识区分密码。

加密文件时使用 Vault ID

你可以为文件加密时指定 Vault ID，以便以后区分不同环境的加密文件：

这里 dev@prompt 和 prod@prompt 表示在运行时为不同环境的加密文件分别输入密码。

运行 Playbook 时使用多个 Vault ID

在运行 Playbook 时，如果有多个加密文件，可以使用多个 --vault-id 参数来指定不同的环境密码。例如：

这将提示你为开发环境和生产环境分别输入密码，确保正确解密相应的文件。

其他高级操作

更改 Vault 文件密码

如果需要更改加密文件的密码，你可以使用 ansible-navigator rekey 命令重新设置新密码：

执行该命令后，Ansible 将使用新的密码重新加密文件。

加密现有文件

如果你有一个未加密的文件，可以随时使用 ansible-navigator 进行加密：

使用 `ansible-navigator` 运行加密的 Playbook

为了让 Playbook 在执行时正确解密其中包含的敏感信息，你可以结合 Vault 密码文件运行 Playbook：

或者，如果你需要手动输入密码，可以使用：

在使用 ansible-navigator 运行 Ansible Playbook 时，我们可以选择启用或禁用 artifact 功能。这些工件（artifact）是每次运行时生成的记录文件，包含详细的执行日志，对于调试和回顾操作过程非常有帮助。

什么是 Artifact？

Artifact 是 ansible-navigator 生成的执行记录文件，包含 Playbook 运行的详细信息，比如日志和结果。这对于分析和追踪执行过程中的问题特别有用。

禁用 Artifact 功能

有时候你可能不需要保存这些执行记录。在这种情况下，可以通过 --playbook-artifact-enable false 来禁用 artifact 功能。例如：

这个命令运行了 Playbook，但不会生成 artifact 文件。这样可以减少不必要的文件生成，尤其是在调试或保存记录并非关键时。

通过配置文件禁用 Artifact

你还可以通过修改 ansible-navigator.yml 配置文件来永久禁用 artifact。配置文件中可以设置如下选项：

这将确保每次运行 Playbook 时，默认不会生成 artifact 文件。

何时禁用 Artifact

禁用 artifact 功能的场景包括：

当你只关心 Playbook 的执行结果，不需要保存详细日志时。

为了节省磁盘空间，减少不必要的文件生成。

当调试信息不需要记录或保存的情况下。

通过这种方式，你可以灵活控制是否生成 artifact 文件，确保资源的合理利用。

密码管理最佳实践

在使用 Ansible Vault 和 ansible-navigator 时，以下是一些推荐的最佳实践：

Vault 密码文件保护：确保 -vault-password-file 中存储的密码文件受文件系统权限保护，避免被未授权用户读取。

定期更改密码：使用 ansible-navigator rekey 命令定期更新加密文件的密码，提升安全性。

避免硬编码密码：尽量不要将密码写入 Playbook 或版本控制系统，建议使用 @prompt 方式动态输入密码。

版本控制中使用加密文件：在将敏感信息推送到版本控制系统时，一定要确保这些文件已经通过 Vault 加密，避免泄露。

多环境密码管理：通过 Vault ID 实现开发、测试、生产等不同环境的密码隔离，防止因使用错误密码导致的安全问题。

变量文件的管理实践

在 Ansible 中，我们经常需要为不同的服务器或服务器组设置不同的配置参数（变量）。为了方便管理，这些变量通常会被放在特定的目录中：

group_vars：存储适用于某一组服务器的变量文件。

host_vars：存储适用于某一台具体服务器的变量文件。

例如：

group_vars/webservers/vars.yml：存储适用于 "webservers" 组中所有服务器的普通变量。

group_vars/webservers/vault.yml：存储该组的加密变量（比如密码等敏感信息）。

host_vars/demo.example.com/vars.yml：存储具体主机 "demo.example.com" 的普通变量。

host_vars/demo.example.com/vault.yml：存储该主机的加密变量。

使用不同的 Vault ID

Vault ID 是 Ansible Vault 的一个特性，允许你为不同的加密文件设置不同的解密密码。这样做的好处是，你可以灵活管理不同文件的解密权限。如果每个加密文件都使用相同的密码，那么所有文件都会被一次性解密；但如果你为每个文件设置了不同的密码（即不同的 Vault ID），你可以根据需要解密某些文件，而不必解密全部文件。

结语

通过结合使用 ansible-navigator 和 Ansible Vault，你可以更加直观、安全地管理敏感信息。Vault ID 的引入让你在多环境场景下管理不同密码变得简单易行，而 --vault-id @prompt 提供了在运行时动态输入密码的能力，提升了整个流程的安全性和灵活性。