部分傀儡到ansible迁移 . 当前的puppet配置使用eyaml:
:eyaml:
:datadir: /opt/puppet/yamls
:pkcs7_private_key: /opt/puppet/secure/keys/eyaml_private_key.pkcs7.pem
:pkcs7_public_key: /opt/puppet/public/eyaml_public_key.pkcs7.pem
:extension: 'yaml'
Ansible有实现加密的保险库,但从我目前所理解的,它要求将密码作为纯文本存储在文件中 .
我可以使用类似于eyaml的密钥组合来安装ansible vault吗?
2 回答
你是正确的,ansible-vault仅支持使用密码作为加密密钥 .
Hashicorp Vault有一个可插拔的身份验证系统,以及一个内置选项uses PEM-format certs . 有a simple plugin将Vault与Ansible集成在一起 . 与共享加密文件方法相比,Vault还提供了许多其他优势,但's a larger topic that'不适用于此处 .
不太正确 . 您可以pass executable路径为
--vault-password-file值 .因此,您可以使用一些脚本来执行任何类型的密码管理,只需将密钥打印到stdout(将作为保管库密码传送到Ansible) .