17.10. 使用 storage RHEL 系统角色创建 LUKS2 加密的卷

流程

1. 将敏感变量存储在加密的文件中：

   1. 创建 vault ：

      $ ansible-vault create ~/vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>

   2. 在 ansible-vault create 命令打开编辑器后，以 <key>: <value> 格式输入敏感数据：

      luks_password: <password>

   3. 保存更改，并关闭编辑器。Ansible 加密 vault 中的数据。

2. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   ---
   - name: Manage local storage
     hosts: managed-node-01.example.com
     vars_files:
       - ~/vault.yml
     tasks:
       - name: Create and configure a volume encrypted with LUKS
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.storage
         vars:
           storage_volumes:
             - name: barefs
               type: disk
               disks:
                 - sdb
               fs_type: xfs
               fs_label: <label>
               mount_point: /mnt/data
               encryption: true
               encryption_password: "{{ luks_password }}"
               encryption_cipher: <cipher>
               encryption_key_size: <key_size>
               encryption_luks_version: luks2

   示例 playbook 中指定的设置包括如下：

   encryption_cipher: <cipher>

   指定 LUKS 密码。可能的值有：twofish-xts-plain64,serpent-xts-plain64 和 aes-xts-plain64 （默认）。

   encryption_key_size: <key_size>

   指定 LUKS 密钥大小。默认值为 512 位。

   encryption_luks_version: luks2

   指定 LUKS 版本。默认为 luks2。

   有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.storage/README.md 文件。

3. 验证 playbook 语法：

   $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

   请注意，这个命令只验证语法，不能防止错误的、但有效的配置。

4. 运行 playbook：

   $ ansible-playbook --ask-vault-pass ~/playbook.yml