1.9. 将 Ansible Vault 与 Satellite 搭配使用
您可以使用 Ansible Vault 工具加密敏感 Ansible 数据文件,并将 Ansible 配置为使用存储在文件中的密码来访问加密的文件。
流程
-
如果自定义
/etc/ansible/ansible.cfg,请将配置从/etc/ansible/ansible.cfg复制到/usr/share/foreman-proxy/.ansible.cfg。 使用
ansible-vault命令加密敏感文件:# ansible-vault encrypt /etc/ansible/roles/Role_Name/vars/main.yml请注意,
ansible-vault将文件权限更改为600。更改加密文件的组和权限,以确保
foreman-proxy用户可以读取它:# chgrp foreman-proxy /etc/ansible/roles/Role_Name/vars/main.yml # chmod 0640 /etc/ansible/roles/Role_Name/vars/main.yml
-
创建
/usr/share/foreman-proxy/.ansible_vault_password文件,并在其中输入 Vault 密码。 更改
.ansible_vault_password文件的用户和组,以确保只有foreman-proxy用户可以读取它:# chown foreman-proxy:foreman-proxy /usr/share/foreman-proxy/.ansible_vault_password # chmod 0400 /usr/share/foreman-proxy/.ansible_vault_password
将 Vault 密码文件的路径添加到
/usr/share/foreman-proxy/.ansible.cfg中的[defaults]部分:[defaults] vault_password_file = /usr/share/foreman-proxy/.ansible_vault_password
Vault 密码文件的路径必须是绝对的。
