红帽全球峰会10.4. 凭证类型
自动化控制器支持以下凭证类型:
- Amazon Web Services
- Ansible Galaxy/Automation Hub API 令牌
- Centrify Vault Credential Provider Lookup
- 容器注册表
- CyberArk Central Credential Provider Lookup
- CyberArk Conjur Secrets Manager Lookup
- GitHub 个人访问令牌
- GitLab 个人访问令牌
- Google Compute Engine
- GPG 公钥
- HashiCorp Vault Secret Lookup
- HashiCorp Vault Signed SSH
- Insights
- 机器
- Microsoft Azure Key Vault
- Microsoft Azure Resource Manager
- 网络
- OpenShift 或 Kubernetes API 持有者令牌
- OpenStack
- Red Hat Ansible Automation Platform
- Red Hat Satellite 6
- Red Hat Virtualization
- 源控制
- Thycotic DevOps Secrets Vault
- Thycotic Secret Server
- Vault
- VMware vCenter
与 Centrify、CyberArk、HashiCorp Vault、Microsoft Azure Key Vault 和 Thycotic 关联的凭证类型是凭证插件功能的一部分,它允许外部系统查找您的 secret 信息。
如需更多信息,请参阅 Secret 管理系统。
10.4.1. Amazon Web Services 凭证类型
选择此凭证以启用与 Amazon Web Services 的云清单同步。
自动化控制器为 AWS 凭证使用以下环境变量:
AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SECURITY_TOKEN
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SECURITY_TOKEN用户界面中会提示这些字段。
Amazon Web Services 凭据由 AWS 访问密钥和 Secret Key 组成。
自动化控制器提供对 EC2 STS 令牌的支持,也称为 Identity and Access Management (IAM) STS 凭证。安全令牌服务 (STS)是一个 Web 服务,可让您为 AWS IAM 用户请求临时的、有有限权限的凭证。
如果 EC2 中的标签值包含布尔值(是/no/true/false),则必须为它们加上引号。
要使用隐式 IAM 角色凭证,在依赖 IAM 角色访问 AWS API 时请不要在自动化控制器中附加 AWS 云凭证。
将 AWS 云凭证附加到作业模板会强制使用 AWS 凭证,而不是您的 IAM 角色凭证。
其他资源
如需有关 IAM/EC2 STS 令牌的更多信息,请参阅 IAM 中的临时安全凭证。
10.4.1.1. 在 Ansible Playbook 中访问 Amazon EC2 凭证
您可以从作业运行时环境获取 AWS 凭证参数:
vars:
aws:
access_key: '{{ lookup("env", "AWS_ACCESS_KEY_ID") }}'
secret_key: '{{ lookup("env", "AWS_SECRET_ACCESS_KEY") }}'
security_token: '{{ lookup("env", "AWS_SECURITY_TOKEN") }}'
vars:
aws:
access_key: '{{ lookup("env", "AWS_ACCESS_KEY_ID") }}'
secret_key: '{{ lookup("env", "AWS_SECRET_ACCESS_KEY") }}'
security_token: '{{ lookup("env", "AWS_SECURITY_TOKEN") }}'10.4.2. Ansible Galaxy/Automation Hub API 令牌凭证类型
选择此凭据以访问 Ansible Galaxy,或者使用在私有自动化中心实例上发布的集合。
在此屏幕上输入 Galaxy 服务器 URL。
使用 Red Hat Hybrid Cloud Console 上的 Server URL 字段的内容填充 Galaxy Server URL 字段。使用 Red Hat Hybrid Cloud Console 上的 SSO URL 字段的内容填充 Auth Server URL 字段。
其他资源
如需更多信息,请参阅 在自动化中心中使用集合。
10.4.3. Centrify Vault Credential Provider Lookup 凭证类型
这被视为 secret 管理功能的一部分。如需更多信息,请参阅 Centrify Vault Credential Provider Lookup。
10.4.4. Container Registry 凭证类型
选择此凭证可让自动化控制器访问容器镜像集合。如需更多信息,请参阅 容器 registry 是什么?
您必须指定一个名称。Authentication URL 字段预先填充一个默认值。您可以通过为不同的容器 registry 指定身份验证端点来更改值。
10.4.5. CyberArk Central Credential Provider Lookup 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 CyberArk Central Credential Provider (CCP) Lookup。
10.4.6. CyberArk Conjur Secrets Manager Lookup 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 CyberArk Conjur Secrets Manager Lookup。
10.4.7. GitHub 个人访问令牌凭证类型
选择这个凭证可让您使用 个人访问令牌(PAT)访问 GitHub,您可以通过 GitHub 获取该凭证。
如需更多信息,请参阅使用 Webhook。
GitHub PAT 凭证需要在 Token 字段中提供一个值,它位于您的 GitHub 配置集设置中。
使用此凭证建立与 GitHub 的 API 连接,以用于 Webhook 侦听器作业,以发布状态更新。
10.4.8. GitLab 个人访问令牌凭证类型
选择这个凭证可让您使用 个人访问令牌(PAT)访问 GitLab,您可以通过 GitLab 获取该凭证。
如需更多信息,请参阅使用 Webhook。
GitLab PAT 凭证需要在 Token 字段中提供一个值,它位于 GitLab 配置集设置中。
使用此凭证建立与 GitLab 的 API 连接,以用于 Webhook 侦听器作业,以发布状态更新。
10.4.9. Google Compute Engine 凭证类型
选择此凭证以启用与 Google Compute Engine (GCE)的云清单同步。
自动化控制器为 GCE 凭证使用以下环境变量:
GCE_EMAIL GCE_PROJECT GCE_CREDENTIALS_FILE_PATH
GCE_EMAIL
GCE_PROJECT
GCE_CREDENTIALS_FILE_PATH用户界面中会提示这些字段:
GCE 凭证需要以下信息:
- 服务帐户电子邮件地址 :分配给 Google Compute Engine 服务帐户的电子邮件地址。
- 可选: 项目 :提供 GCE 分配的标识或您在项目创建时提供的唯一项目 ID。
- 可选: 服务帐户 JSON 文件 :上传 GCE 服务帐户文件。点 浏览具有特殊帐户信息的文件,这些文件可供 GCE 实例上运行的服务和应用程序用于与其他 Google Cloud Platform API 交互。这为服务帐户和虚拟机实例授予权限。
- RSA 私钥 :与服务帐户电子邮件关联的 PEM 文件。
您可以从作业运行时环境获取 GCE 凭证参数:
vars:
gce:
email: '{{ lookup("env", "GCE_EMAIL") }}'
project: '{{ lookup("env", "GCE_PROJECT") }}'
pem_file_path: '{{ lookup("env", "GCE_PEM_FILE_PATH") }}'
vars:
gce:
email: '{{ lookup("env", "GCE_EMAIL") }}'
project: '{{ lookup("env", "GCE_PROJECT") }}'
pem_file_path: '{{ lookup("env", "GCE_PEM_FILE_PATH") }}'10.4.10. GPG 公钥凭证类型
选择此凭证类型,以启用自动化控制器,在与源控制同步时验证项目的完整性。
有关如何生成有效密钥对的更多信息,请使用 CLI 工具签署内容,以及如何将公钥添加到控制器,请参阅 项目签名和验证。
10.4.11. HashiCorp Vault Secret Lookup 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 HashiCorp Vault Secret Lookup。
10.4.12. HashiCorp Vault Signed SSH 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 HashiCorp Vault Signed SSH。
10.4.13. Insights 凭证类型
选择此凭证类型,以启用与 Red Hat Insights 的云清单同步。
Insights 凭证是 Insights Username 和 Password,它们是用户的红帽客户门户网站帐户的用户名和密码。
Insights 的 extra_vars 和 env injectors 如下:
10.4.14. 机器凭证类型
机器凭据可让自动化控制器在管理下的主机上调用 Ansible。您可以指定 SSH 用户名,可选地提供密码、SSH 密钥、密钥密码,或者让自动化控制器在部署时提示用户输入其密码。它们为 playbook 定义 SSH 和用户级特权升级访问权限,并在提交作业以在远程主机上运行 playbook 时使用。
以下网络连接使用 Machine 作为凭证类型: httpapi、netconf 和 network_cli
机器和 SSH 凭据不使用环境变量。它们通过 ansible -u 标志传递用户名,并在底层 SSH 客户端提示时以交互方式写入 SSH 密码。
机器凭证需要以下输入:
- 用户名 :用于 SSH 身份验证的用户名。
- Password: 用于 SSH 验证的密码。如果输入,此密码将加密存储在数据库中。或者,您也可以通过选择 Prompt on launch 来在启动时要求用户输入密码。在这些情况下,在作业启动时打开一个对话框,提升用户以输入密码和密码确认。
- SSH Private Key :复制或拖放机器凭证的 SSH 私钥。
- Private Key Passphrase: 如果 SSH 私钥受密码保护,您可以为私钥配置密钥密码。如果输入,此密码将加密存储在数据库中。您还可以通过选择 Prompt on launch,将自动化控制器配置为在启动时要求用户输入密钥密码短语。在这些情况下,在作业启动时打开一个对话框,提示用户输入密钥密码短语和密钥密码短语确认。
-
Privilege Escalation Method :指定要分配给特定用户的升级权限类型。这与指定
-become-method=BECOME_METHOD参数相同,其中BECOME_METHOD是任何现有方法或您编写的自定义方法。开始输入方法的名称,以及适当的名称 auto-populates。
-
空选择 :如果某个任务或 play 已设为
yes,并且与空选择一起使用,则它将默认为sudo。 - sudo :执行具有超级用户(root 用户)特权的单个命令。
- su :切换到超级用户(root 用户)帐户(或其他用户帐户)。
- Pbrun :请求在受控帐户中运行应用程序或命令,并为高级 root 权限委托和键盘记录提供。
- P fexec :执行带有预定义的进程属性的命令,如特定的用户或组 ID。
- dzdo: sudo 的增强版本,它使用 Centrify 的 Active Directory 服务中的 RBAC 信息。如需更多信息,请参阅 DZDO 上的 Centrify 站点。
- pmrun :在控制帐户中运行应用程序的请求。请参阅 Unix 6.0 的特权管理器。
- RunAs :使您能够以当前用户身份运行。
- 启用 :切换到网络设备上的升级权限。
- doas :使您的远程/登录用户能够以另一个用户的身份通过 doas ("Do as user")实用程序运行命令。
- ksu :使您的远程/登录用户能够通过 Kerberos 访问以另一个用户的身份运行命令。
-
machinectl :允许您通过
systemd机器管理器管理容器。 - sesu :使您的远程/登录用户能够通过 CA 特权访问管理器以另一个用户身份运行命令。
Ansible 2.8+ 提供了自定义 become 插件。如需更多信息,请参阅了解 Privilege Escalation 和 Become 插件列表
- 权限升级用户名 :只有在您为权限升级 选择了选项时,才会看到此字段。输入要与远程系统升级权限一起使用的用户名。
- 权限升级密码 :只有在您为权限升级选择了选项时看到此字段。输入密码,以使用 通过远程系统中的所选权限升级类型来验证用户。此密码将加密存储在数据库中。您还可以通过选择 Prompt on launch 将自动化控制器配置为在启动时要求用户输入密码。在这些情况下,在作业启动时打开一个对话框,提升用户以输入密码和密码确认。
您必须使用 sudo 密码或 SSH 私钥结合使用,因为自动化控制器必须首先与主机建立经过身份验证的 SSH 连接,然后才能调用 sudo 以更改为 sudo 用户。
在调度作业中使用的凭证不能配置为 Prompt on launch。
10.4.14.1. 访问 ansible playbook 中的机器凭证
您可以从 Ansible 事实获取用户名和密码:
vars:
machine:
username: '{{ ansible_user }}'
password: '{{ ansible_password }}'
vars:
machine:
username: '{{ ansible_user }}'
password: '{{ ansible_password }}'10.4.15. Microsoft Azure Key Vault 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 Microsoft Azure Key Vault。
10.4.16. Microsoft Azure Resource Manager 凭证类型
选择此凭证类型,以启用与 Microsoft Azure Resource Manager 的云清单同步。
Microsoft Azure Resource Manager 凭证需要以下输入:
- 订阅 ID :Microsoft Azure 帐户的订阅 UUID。
- 用户名 :用于连接 Microsoft Azure 帐户的用户名。
- Password: 用于连接到 Microsoft Azure 帐户的密码。
- 客户端 ID :Microsoft Azure 帐户的客户端 ID。
- Client Secret :Microsoft Azure 帐户的客户端 Secret。
- 租户 ID :Microsoft Azure 帐户的租户 ID。
- Azure Cloud Environment :与 Azure 云或 Azure 堆栈环境关联的变量。
这些字段等于 API 中的变量。
要传递服务主体凭证,请定义以下变量:
AZURE_CLIENT_ID AZURE_SECRET AZURE_SUBSCRIPTION_ID AZURE_TENANT AZURE_CLOUD_ENVIRONMENT
AZURE_CLIENT_ID
AZURE_SECRET
AZURE_SUBSCRIPTION_ID
AZURE_TENANT
AZURE_CLOUD_ENVIRONMENT要传递 Active Directory 用户名和密码对,请定义以下变量:
AZURE_AD_USER AZURE_PASSWORD AZURE_SUBSCRIPTION_ID
AZURE_AD_USER
AZURE_PASSWORD
AZURE_SUBSCRIPTION_ID您还可以将凭证作为参数传递给 playbook 中的任务。优先级顺序是参数,然后是环境变量,最后是位于您主目录中的文件。
要将凭证作为参数传递给某个任务,请为服务主体凭证使用以下参数:
client_id secret subscription_id tenant azure_cloud_environment
client_id
secret
subscription_id
tenant
azure_cloud_environment或者,为 Active Directory 用户名/密码传递以下参数:
ad_user password subscription_id
ad_user
password
subscription_id您可以从作业运行时环境获取 Microsoft Azure 凭证参数:
10.4.17. 网络凭证类型
如果您使用与 提供程序 的本地连接,请选择 Network credential type,以使用 Ansible 网络模块连接和管理网络设备。
当连接到网络设备时,凭证类型必须与连接类型匹配:
-
对于使用
提供程序的本地连接,凭证类型应该是 Network。 -
对于所有其他网络连接(
httpapi、netconf和network_cli),凭证类型应该是 Machine。
有关网络设备的可用连接类型的更多信息,请参阅 多通信协议。
自动化控制器为网络凭证使用以下环境变量:
ANSIBLE_NET_USERNAME ANSIBLE_NET_PASSWORD
ANSIBLE_NET_USERNAME
ANSIBLE_NET_PASSWORD为网络凭证提供以下信息:
- 用户名 :与网络设备结合使用的用户名。
- Password :与网络设备结合使用的密码。
- SSH Private Key :复制或拖放要用于通过 SSH 向网络验证用户的实际 SSH 私钥。
- Private Key Passphrase: 通过 SSH 向网络验证用户的私钥的密码短语。
- 授权 :从 Options 字段中选择此项来控制是否进入特权模式。
- 如果选中 Authorize,请在 Authorize Password 字段中输入密码以访问特权模式。
10.4.18. 访问 ansible playbook 中的网络凭证
您可以从作业运行时环境获取用户名和密码参数:
vars:
network:
username: '{{ lookup("env", "ANSIBLE_NET_USERNAME") }}'
password: '{{ lookup("env", "ANSIBLE_NET_PASSWORD") }}'
vars:
network:
username: '{{ lookup("env", "ANSIBLE_NET_USERNAME") }}'
password: '{{ lookup("env", "ANSIBLE_NET_PASSWORD") }}'10.4.19. OpenShift 或 Kubernetes API Bearer Token 凭证类型
选择此凭证类型来创建实例组以指向 Kubernetes 或 OpenShift 容器。
如需更多信息,请参阅 自动化控制器管理指南中的 容器和实例组。
为容器凭证提供以下信息:
- OpenShift 或 Kubernetes API 端点 (必需):用于连接到 OpenShift 或 Kubernetes 容器的端点。
- API Authentication Bearer Token (必需):用于验证连接的令牌。
- 可选: 验证 SSL :您可以检查这个选项以验证服务器的 SSL/TLS 证书是否有效且可信。使用内部或私有 证书颁发机构 (CA)的环境必须保留此选项来禁用验证。
-
证书颁发机构数据 :如果提供,请在粘贴证书时包括
BEGIN CERTIFICATE和END CERTIFICATE行。
容器组是具有关联凭证的实例组类型,它允许连接到 OpenShift 集群。要设置容器组,您必须具有以下项目:
- 您可以开始进入的命名空间。虽然每个集群都有一个 default 命名空间,但您可以使用特定的命名空间。
- 具有角色的服务帐户,使其能够启动和管理此命名空间中的 pod。
如果您在私有 registry 中使用执行环境,并在自动化控制器中关联有容器 registry 凭证,则服务帐户还需要角色在命名空间中获取、创建和删除 secret。
如果您不想为服务帐户授予这些角色,您可以预先创建
ImagePullSecrets,并在容器组的 pod 规格中指定它们。在这种情况下,执行环境不能关联 Container Registry 凭证,或者自动化控制器会尝试为您在命名空间中创建 secret。- 与该服务帐户关联的令牌(OpenShift 或 Kubernetes Bearer Token)
- 与集群关联的 CA 证书
10.4.19.1. 在 Openshift 集群中创建服务帐户
在 Openshift 或 Kubernetes 集群中创建服务帐户,用于通过自动化控制器在容器组中运行作业。创建服务帐户后,其凭证以 Openshift 或 Kubernetes API bearer 令牌凭证的形式提供给自动化控制器。
创建服务帐户后,使用新服务帐户中的信息来配置自动化控制器。
流程
要创建服务帐户,请下载并使用示例服务帐户
containergroup sa,并根据需要修改它以获取凭证:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 应用
containergroup-sa.yml的配置:oc apply -f containergroup-sa.yml
oc apply -f containergroup-sa.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 获取与服务帐户关联的 secret 名称:
export SA_SECRET=$(oc get sa containergroup-service-account -o json | jq '.secrets[0].name' | tr -d '"')
export SA_SECRET=$(oc get sa containergroup-service-account -o json | jq '.secrets[0].name' | tr -d '"')Copy to Clipboard Copied! Toggle word wrap Toggle overflow 从 secret 获取令牌:
oc get secret $(echo ${SA_SECRET}) -o json | jq '.data.token' | xargs | base64 --decode > containergroup-sa.tokenoc get secret $(echo ${SA_SECRET}) -o json | jq '.data.token' | xargs | base64 --decode > containergroup-sa.tokenCopy to Clipboard Copied! Toggle word wrap Toggle overflow 获取 CA 证书:
oc get secret $SA_SECRET -o json | jq '.data["ca.crt"]' | xargs | base64 --decode > containergroup-ca.crt
oc get secret $SA_SECRET -o json | jq '.data["ca.crt"]' | xargs | base64 --decode > containergroup-ca.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
使用
containergroup-sa.token和containergroup-ca.crt的内容,为容器组所需的 OpenShift 或 Kubernetes API Bearer Token 提供信息。
10.4.20. OpenStack 凭证类型
选择此凭证类型,以启用与 OpenStack 的云清单同步。
为 OpenStack 凭证提供以下信息:
- 用户名 :用于连接 OpenStack 的用户名。
- Password (API Key) :用于连接 OpenStack 的密码或 API 密钥。
- 主机(身份验证 URL) :用于身份验证的主机。
- Project (Tenant Name): 用于 OpenStack 的租户名称或租户 ID。这个值通常与用户名相同。
- 可选: Project (Domain Name) :提供与您的域关联的项目名称。
- 可选: 域名 :提供用于连接 OpenStack 的 FQDN。
如果您有兴趣使用 OpenStack 云凭证,请参阅使用带有 云清单的 Cloud Credentials,其中包含一个示例 playbook。
10.4.21. Red Hat Ansible Automation Platform 凭证类型
选择这个凭证来访问另一个自动化控制器实例。
Ansible Automation Platform 凭证需要以下输入:
- Red Hat Ansible Automation Platform: 要连接的其他实例的基本 URL 或 IP 地址。
- 用户名 :用于连接的用户名。
- Password :用于连接的密码。
- OAuth 令牌 :如果没有使用用户名和密码,请提供一个 OAuth 令牌来进行验证。
Ansible Automation Platform 的 env injectors 如下:
10.4.21.1. 访问 Ansible Playbook 中的自动化控制器凭证
您可以从作业运行时环境获取主机、用户名和密码参数:
vars:
controller:
host: '{{ lookup("env", "CONTROLLER_HOST") }}'
username: '{{ lookup("env", "CONTROLLER_USERNAME") }}'
password: '{{ lookup("env", "CONTROLLER_PASSWORD") }}'
vars:
controller:
host: '{{ lookup("env", "CONTROLLER_HOST") }}'
username: '{{ lookup("env", "CONTROLLER_USERNAME") }}'
password: '{{ lookup("env", "CONTROLLER_PASSWORD") }}'10.4.22. Red Hat Satellite 6 凭证类型
选择此凭证类型,以启用与 Red Hat Satellite 6 的云清单同步。
自动化控制器会根据用户界面中提示的字段写入 Satellite 配置文件。文件的绝对路径在以下环境变量中设置:
FOREMAN_INI_PATH
FOREMAN_INI_PATHSatellite 凭证有以下所需的输入:
- Satellite 6 URL :要连接的 Satellite 6 URL 或 IP 地址。
- 用户名 :用于连接 Satellite 6 的用户名。
- Password: 用于连接到 Satellite 6 的密码。
10.4.23. Red Hat Virtualization 凭证类型
选择此凭据以启用自动化控制器来访问 Ansible 的 oVirt4.py 动态清单插件,该插件由 Red Hat Virtualization 管理。
自动化控制器为 Red Hat Virtualization 凭证使用以下环境变量。以下是用户界面中的字段:
OVIRT_URL OVIRT_USERNAME OVIRT_PASSWORD
OVIRT_URL
OVIRT_USERNAME
OVIRT_PASSWORD为 Red Hat Virtualization 凭证提供以下信息:
-
主机(身份验证 URL) :要连接的主机 URL 或 IP 地址。要与清单同步,凭证 URL 需要包含
ovirt-engine/api路径。 -
用户名 :用于连接 oVirt4 的用户名。这必须包含域配置集才能成功,例如
username@ovirt.host.com。 - Password :用于连接的密码。
-
可选: CA 文件 :提供 oVirt 证书文件的绝对路径(它可能以
.pem、.cer和.crt扩展结尾,但最好是.pem以实现一致性)
10.4.23.1. 访问 Ansible Playbook 中的虚拟化凭证
您可以从作业运行时环境获取 Red Hat Virtualization 凭证参数:
vars:
ovirt:
ovirt_url: '{{ lookup("env", "OVIRT_URL") }}'
ovirt_username: '{{ lookup("env", "OVIRT_USERNAME") }}'
ovirt_password: '{{ lookup("env", "OVIRT_PASSWORD") }}'
vars:
ovirt:
ovirt_url: '{{ lookup("env", "OVIRT_URL") }}'
ovirt_username: '{{ lookup("env", "OVIRT_USERNAME") }}'
ovirt_password: '{{ lookup("env", "OVIRT_PASSWORD") }}'
Red Hat Virtualization 的文件 和 env injectors 如下:
10.4.24. 源控制凭证类型
源控制凭证 与项目一起使用,从远程修订控制系统(如 Git 或 Subversion)克隆和更新本地源代码存储库。
源控制凭证需要以下输入:
- 用户名 :与源控制系统结合使用的用户名。
- Password :与源控制系统结合使用的密码。
- SCM 私钥 :复制或拖放要用于通过 SSH 向源控制系统验证用户的实际 SSH 私钥。
- Private Key Passphrase :如果使用的 SSH 私钥受密码保护,您可以为私钥配置密钥密码。
您不能将 Source Control 凭证配置为 启动时提示。
如果您使用 GitHub 帐户作为 Source Control 凭证,且您的帐户上启用了 两个 Factor Authentication (2FA),您必须在 password 字段中使用您的个人访问令牌而不是您的帐户密码。
10.4.25. Thycotic DevOps Secrets Vault 凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 Thycotic DevOps Secrets Vault。
10.4.26. Thycotic secret 服务器凭证类型
这被视为 secret 管理功能的一部分。
如需更多信息,请参阅 Thycotic Secret Server。
10.4.27. Ansible Vault 凭据类型
选择此凭证类型,以启用与 Ansible Vault 的清单同步。
如果应用多 Vault 凭证,则 Vault 凭证需要 Vault 密码 和可选的 Vault 标识符。
如需有关多 Vault 支持的更多信息,请参阅 自动化控制器管理指南中的 多 Vault 凭据 部分。
您可以通过选择 Prompt on launch 将自动化控制器配置为在启动时要求用户输入密码。
当您选择 Prompt on Launch 时,作业启动时会打开一个对话框,提示用户输入密码。
在调度作业中使用的凭证不能配置为 Prompt on launch。
如需有关 Ansible Vault 的更多信息,请参阅使用 Ansible vault 保护敏感数据。
10.4.28. VMware vCenter 凭证类型
选择此凭证类型以启用与 VMware vCenter 的清单同步。
自动化控制器为 VMware vCenter 凭证使用以下环境变量:
VMWARE_HOST VMWARE_USER VMWARE_PASSWORD VMWARE_VALIDATE_CERTS
VMWARE_HOST
VMWARE_USER
VMWARE_PASSWORD
VMWARE_VALIDATE_CERTS用户界面中会提示这些字段。
VMware 凭证需要以下输入:
- vCenter Host :要连接的 vCenter 主机名或 IP 地址。
- 用户名 :用于连接到 vCenter 的用户名。
- Password: 用于连接到 vCenter 的密码。
如果 VMware 客户机工具没有在实例上运行,VMware 清单同步不会返回该实例的 IP 地址。
10.4.28.1. 在 ansible playbook 中访问 VMware vCenter 凭证
您可以从作业运行时环境获取 VMware vCenter 凭证参数:
vars:
vmware:
host: '{{ lookup("env", "VMWARE_HOST") }}'
username: '{{ lookup("env", "VMWARE_USER") }}'
password: '{{ lookup("env", "VMWARE_PASSWORD") }}'
vars:
vmware:
host: '{{ lookup("env", "VMWARE_HOST") }}'
username: '{{ lookup("env", "VMWARE_USER") }}'
password: '{{ lookup("env", "VMWARE_PASSWORD") }}'
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}