Я хочу импортировать существующие инвентаризации, которые я ранее использовал с Ansible (автономно), включая group_vars и файлы хранилища, в Ansible Tower (3.2.0).
Однако, когда в игру вступают файлы Vault, похоже, что это не работает. После того, как я настроил учетные данные файла паролей Vault и создаю инвентарь с использованием типа источника «Источник из проекта», я не могу выбрать учетные данные Vault в разделе «Сведения об источнике».
Когда я вручную вставляю его и сохраняю исходный код - синхронизация не выполняется со следующей ошибкой:
1.735 INFO Updating inventory 10: TEST
1.753 DEBUG Using system install of ansible-inventory CLI: /usr/bin/ansible-inventory
1.753 INFO Reading Ansible inventory source: /var/lib/awx/projects/_6__ansible_master/inventories/test/hosts
1.754 DEBUG Using private credential data in '/tmp/awx_123_LXUj9p'.
1.755 DEBUG Using fresh temporary directory '/tmp/awx_proot_ZURWmR' for isolation.
1.755 DEBUG Running from `/var/lib/awx/projects/_6__ansible_master/inventories/test` working directory.
Traceback (most recent call last):
File "/usr/bin/awx-manage", line 9, in <module>
load_entry_point('awx==3.2.0', 'console_scripts', 'awx-manage')()
File "/lib/python2.7/site-packages/awx/__init__.py", line 107, in manage
File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/__init__.py", line 354, in execute_from_command_line
utility.execute()
File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/__init__.py", line 346, in execute
self.fetch_command(subcommand).run_from_argv(self.argv)
File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 394, in run_from_argv
self.execute(*args, **cmd_options)
File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 445, in execute
output = self.handle(*args, **options)
File "/var/lib/awx/venv/awx/lib/python2.7/site-packages/django/core/management/base.py", line 661, in handle
return self.handle_noargs(**options)
File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 1000, in handle_noargs
File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 243, in load_inventory_source
File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 179, in load
File "/lib/python2.7/site-packages/awx/main/management/commands/inventory_import.py", line 163, in command_to_json
RuntimeError: ansible-inventory failed (rc=4) with stdout:
stderr:
ERROR! Attempting to decrypt but no vault secrets found
Я также попытался создать файл ansible_vault и указать на него переменную vault_password_file, но это тоже не сработает (жалуется, что не может найти файл паролей хранилища).
Кто-нибудь сталкивался с этим раньше?
Похоже, это скорее проблема реализации. Согласно RedHat, не рекомендуется хранить файлы хранилища вместе с инвентаризацией - это будет означать, что он расшифровывает файл каждый раз при запуске синхронизации инвентаризации.
Я решил это сейчас, используя "vars_files" в playbook. Выглядит это так:
# Secrets
vars_files:
- '../../secrets/{{ tower_env }}/vault.yml'
В Tower я передаю переменную tower_env, например «dev» или «qa», которые затем расшифровывают соответствующий файл хранилища при запуске playbook, а не при синхронизации инвентаризаций.
Есть 2 вещи, которые вы пытаетесь сделать, которые (по крайней мере, на данный момент) не поддерживаются:
ansible-vault
для шифрования всего файла, в отличие от переменныхТерминология здесь немного скудная, но посмотрите в этих документах раздел «Одиночная зашифрованная переменная», я иногда называю эти встроенные переменные.
https://docs.ansible.com/ansible/latest/user_guide/playbooks_vault.html
Ansible теперь поддерживает перемещение этих встроенных переменных. через процесс анализа инвентаря. Этот формат тоже не менее безопасен, под капотом тот же алгоритм. В название из зашифрованных переменных будут доступны людям, имеющим доступ к вашей системе управления версиями (что, вероятно, разумно), но ваше значение будет зашифровано.
Теперь сохраните значения с этим синтаксисом в .yml
файлы переменных в group_vars/
или host_vars/
папки. Вы должны обнаружить, что синхронизация инвентаря внутри Tower прошла успешно (без использования каких-либо учетных данных хранилища), и когда вы перейдете к группе или хосту, вы увидите зашифрованную форму переменной.
Когда вы запускаете playbook (шаблон задания в Tower), тогда прикрепите учетные данные хранилища. Это задерживает шифрование до контекста времени выполнения, когда оно действительно необходимо.
Пример структуры файла инвентаризации:
https://github.com/AlanCoding/Ansible-inventory-file-examples/tree/master/vault/single_var_file
Кроме того, как указывает другой комментарий, вы можете поместить либо зашифрованные целые файлы, либо встроенные зашифрованные переменные в эту структуру папок в системе управления версиями, где находится ваша книга воспроизведения, и они будут приняты Ansible и расшифрованы учетными данными хранилища, которые вы прикрепляете. к шаблону вакансии.
хорошо - после расследования я могу признать, что в настоящее время нет возможности сделать это в версии 2.6.5 по следующей причине:
- vault-password-file
параметр
- ask-vault-pass
который был заменен на --vault-id=@prompt
согласно указанному коду здесь из строки 220
Нам понадобится еще одна возможность предоставить парольную фразу хранилища, например групповой переменной, что в настоящее время невозможно.
А это значит Отчет об ошибке на Github не решено / заменено на что-то другое. ИМХО это все еще раскрыто всеми другими потоками. Я продолжу рассказ об ошибке на github.