Назад | Перейти на главную страницу

Как использовать существующие файлы Vault в Ansible Tower?

Я хочу импортировать существующие инвентаризации, которые я ранее использовал с Ansible (автономно), включая group_vars и файлы хранилища, в Ansible Tower (3.2.0).

Однако, когда в игру вступают файлы Vault, похоже, что это не работает. После того, как я настроил учетные данные файла паролей Vault и создаю инвентарь с использованием типа источника «Источник из проекта», я не могу выбрать учетные данные Vault в разделе «Сведения об источнике».

Когда я вручную вставляю его и сохраняю исходный код - синхронизация не выполняется со следующей ошибкой:

 1.735 INFO     Updating inventory 10: TEST
    1.753 DEBUG    Using system install of ansible-inventory CLI: /usr/bin/ansible-inventory
    1.753 INFO     Reading Ansible inventory source: /var/lib/awx/projects/_6__ansible_master/inventories/test/hosts
    1.754 DEBUG    Using private credential data in '/tmp/awx_123_LXUj9p'.
    1.755 DEBUG    Using fresh temporary directory '/tmp/awx_proot_ZURWmR' for isolation.
    1.755 DEBUG    Running from `/var/lib/awx/projects/_6__ansible_master/inventories/test` working directory.
Traceback (most recent call last):
  File "/usr/bin/awx-manage", line 9, in <module>
    load_entry_point('awx==3.2.0', 'console_scripts', 'awx-manage')()
  File "/lib/python2.7/site-packages/awx/__init__.py", line 107, in manage
  File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/__init__.py", line 354, in execute_from_command_line
    utility.execute()
  File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/__init__.py", line 346, in execute
    self.fetch_command(subcommand).run_from_argv(self.argv)
  File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 394, in run_from_argv
    self.execute(*args, **cmd_options)
  File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 445, in execute
    output = self.handle(*args, **options)
  File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 661, in handle
    return self.handle_noargs(**options)
  File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 1000, in handle_noargs
  File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 243, in load_inventory_source
  File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 179, in load
  File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 163, in command_to_json
RuntimeError: ansible-inventory failed (rc=4) with stdout:

stderr:
ERROR! Attempting to decrypt but no vault secrets found

Я также попытался создать файл ansible_vault и указать на него переменную vault_password_file, но это тоже не сработает (жалуется, что не может найти файл паролей хранилища).

Кто-нибудь сталкивался с этим раньше?

Похоже, это скорее проблема реализации. Согласно RedHat, не рекомендуется хранить файлы хранилища вместе с инвентаризацией - это будет означать, что он расшифровывает файл каждый раз при запуске синхронизации инвентаризации.

Я решил это сейчас, используя "vars_files" в playbook. Выглядит это так:

  # Secrets
  vars_files:
    - '../../secrets/{{ tower_env }}/vault.yml'

В Tower я передаю переменную tower_env, например «dev» или «qa», которые затем расшифровывают соответствующий файл хранилища при запуске playbook, а не при синхронизации инвентаризаций.

Есть 2 вещи, которые вы пытаетесь сделать, которые (по крайней мере, на данный момент) не поддерживаются:

  • расшифровка ваших секретов во время импорта инвентаря
  • с помощью ansible-vault для шифрования всего файла, в отличие от переменных

Терминология здесь немного скудная, но посмотрите в этих документах раздел «Одиночная зашифрованная переменная», я иногда называю эти встроенные переменные.

https://docs.ansible.com/ansible/latest/user_guide/playbooks_vault.html

Ansible теперь поддерживает перемещение этих встроенных переменных. через процесс анализа инвентаря. Этот формат тоже не менее безопасен, под капотом тот же алгоритм. В название из зашифрованных переменных будут доступны людям, имеющим доступ к вашей системе управления версиями (что, вероятно, разумно), но ваше значение будет зашифровано.

Теперь сохраните значения с этим синтаксисом в .yml файлы переменных в group_vars/ или host_vars/ папки. Вы должны обнаружить, что синхронизация инвентаря внутри Tower прошла успешно (без использования каких-либо учетных данных хранилища), и когда вы перейдете к группе или хосту, вы увидите зашифрованную форму переменной.

Когда вы запускаете playbook (шаблон задания в Tower), тогда прикрепите учетные данные хранилища. Это задерживает шифрование до контекста времени выполнения, когда оно действительно необходимо.

Пример структуры файла инвентаризации:

https://github.com/AlanCoding/Ansible-inventory-file-examples/tree/master/vault/single_var_file

Кроме того, как указывает другой комментарий, вы можете поместить либо зашифрованные целые файлы, либо встроенные зашифрованные переменные в эту структуру папок в системе управления версиями, где находится ваша книга воспроизведения, и они будут приняты Ansible и расшифрованы учетными данными хранилища, которые вы прикрепляете. к шаблону вакансии.

хорошо - после расследования я могу признать, что в настоящее время нет возможности сделать это в версии 2.6.5 по следующей причине:

  • вполне возможно зашифровать переменные где угодно в host_vars или group_vars
  • парольную фразу хранилища можно использовать только способами:

- vault-password-file параметр

- ask-vault-pass который был заменен на --vault-id=@prompt

согласно указанному коду здесь из строки 220

Нам понадобится еще одна возможность предоставить парольную фразу хранилища, например групповой переменной, что в настоящее время невозможно.

А это значит Отчет об ошибке на Github не решено / заменено на что-то другое. ИМХО это все еще раскрыто всеми другими потоками. Я продолжу рассказ об ошибке на github.