फ़ाइलों में क्रेडेंशियल्स को संग्रहीत करने से बचने के दौरान मैं अंसिबल एज़्योर प्लेबुक कैसे चलाऊं?

पृष्ठभूमि

1. हम एज़्योर इन्फ्रास्ट्रक्चर को प्रबंधित करने और प्रबंधित करने के लिए Ansible का उपयोग करते हैं। फिलहाल हम Ansible "मैन्युअल रूप से" चलाते हैं अर्थात हम विभिन्न स्वचालित कार्यों के लिए मैन्युअल रूप से playbooks निष्पादित करते हैं। कोई CI इंफ्रास्ट्रक्चर नहीं।
2. शायद प्रासंगिक नहीं है लेकिन हम गतिशील स्क्रिप्ट का उपयोग करके अपनी इन्वेंट्री का प्रबंधन करते हैं azure_rm.py।
3. हमें यथासंभव सुरक्षित रहने के लिए प्रोत्साहित किया जाता है
   1. तिजोरी के पासवर्ड ~/.vault_passया किसी भी स्थानीय फ़ाइल में संग्रहीत न करें
   2. Azure रहस्यों को स्टोर न करें ~/.azure/credentials
   3. कुछ भी सुरक्षित न रखें .bashrc।

ऐसे में, मुझे यह सुनिश्चित करने में एक सुसंगत रणनीति के साथ आने में परेशानी हो रही है कि ऊपर दिए गए दिशानिर्देशों का पालन करते हुए मेरी प्लेबुक एज़्योर रहस्यों तक पहुंच सकती है।

सवाल

मैं फ़ाइलों पर Ansible वॉल्ट और एज़्योर क्रेडेंशियल्स को संग्रहीत करने से कैसे बच सकता हूं, जबकि अभी भी यह सुनिश्चित करना कि मेरी प्लेबुक उन्हें एक्सेस कर सकती है?

मैंने क्या कोशिश की है

अब तक मैं एक रैपर स्क्रिप्ट के साथ आया हूं जो कि

1. उपयोगकर्ता से वॉल्ट पासवर्ड मांगता है
2. एक वॉल्टेड शेल स्क्रिप्ट को डिक्रिप्ट करने के लिए उपयोग करता है
3. स्क्रिप्ट का मूल्यांकन करता है, जो एज़्योर पर्यावरण चर को पर्यावरण में लोड करता है;
4. पर्यावरण पर प्लेबुक चलाता है जो इस प्रकार सेट किया गया है।

किसी भी बेहतर (अधिक सुरुचिपूर्ण, कम जटिल, अधिक "Ansible") समाधान वहाँ?

तिजोरी का पासवर्ड

सबसे पहले, आपको इस तथ्य से परिचित होना चाहिए कि वॉल्ट पासवर्ड फ़ाइल निष्पादन योग्य स्क्रिप्ट हो सकती है। इस मामले में Ansible इसे निष्पादित करता है और इसके आउटपुट के रूप में पासवर्ड प्राप्त करने की अपेक्षा करता है।

उदाहरण के लिए आप अपने वास्तविक पासवर्ड को स्टोर gpg-agentया उपयोग कर सकते keychainहैं और आवश्यकता होने पर अनलॉक कर सकते हैं । इस ब्लॉग पोस्ट में और पढ़ें: https://benincosa.com/?p=3235

यदि आप थोड़ा पागल हैं, तो आप अपनी पासवर्ड स्क्रिप्ट को कॉल करते समय अधिसूचना जोड़ सकते हैं, जैसे:

#!/bin/bash
PARENT_PROCESS=$(ps -p $PPID -o args | tail -n 1)
osascript -e "display notification \"Vault password used by ${PARENT_PROCESS}\" with title \"Ansible\" sound name \"default\""
gpg --batch --use-agent --no-tty --decrypt key.gpg 2>/dev/null

यह वॉल्ट पासवर्ड स्क्रिप्ट key.gpgवास्तविक वॉल्ट कुंजी के रूप में उपयोग करता है और स्क्रिप्ट का उपयोग करने पर मूल प्रक्रिया नाम के साथ पॉपअप अधिसूचना (मैकओएस के लिए) भी दिखाता है। Gpg- एजेंट कैश कुछ समय के लिए पासवर्ड अनलॉक करते हैं, इसलिए हर बार जब आप प्लेबुक शुरू करते हैं तो पासवर्ड दर्ज करने की आवश्यकता नहीं होती है।

बस vault_password_file = ./vault_pass.shअपने में सेट है ansible.cfg।

वातावरण

आपने कहा कि आप azure_rm.pyडायनेमिक इन्वेंट्री स्क्रिप्ट के रूप में उपयोग करते हैं । इसका मतलब यह है कि आपको अपने पर्यावरण चर में क्रेडेंशियल सेट करना होगा, इससे पहले कि आप उन्हें उपयोग करने में सक्षम होने के लिए स्वयं-प्लेबुक शुरू करें।

आप दो फाइलें बना सकते हैं:

secure_env (तिजोरी से एन्क्रिप्टेड):

export AZURE_SECRET=xxx;export AZURE_SUBSCRIPTION_ID=xxx;

set_env (सादे पाठ):

echo -n "Setting secure vars... "
eval $(ansible-vault view secure_env)
echo "done."

जब आप अपने स्वचालन कार्यों को निष्पादित करने के लिए नया टर्मिनल खोलते हैं, तो आपको दौड़ना होगा:

source set_env

इस समय, बैश मूल्यांकन करता है set_envऔर secure_env(ansible-vault के माध्यम से डिक्रिप्टेड)। इस आदेश के बाद आपके पास वर्तमान शेल के लिए एज़्योर क्रेडेंशियल्स परिभाषित हैं, इसलिए आप हमेशा की तरह प्लेबुक निष्पादित कर सकते हैं:

ansible-playbook provision-my-azure-instances.yml

तो इस दो दृष्टिकोणों का उपयोग करते हुए, आप स्टोर कर सकते हैं key.gpgऔर secure_envअपने भंडार में; फिर source set_envएक बार नए टर्मिनल कॉल में , एक बार gpg पासवर्ड दर्ज करें (key.gpg के भविष्य के उपयोग को अनलॉक करने के लिए); फिर ansible-playbookबिना किसी पासवर्ड के जितनी बार चाहें कॉल करें ।

कृपया https://docs.ansible.com/ansible/2.4/vault.html को पढ़ें क्योंकि Ansible 2.4 कोई भी उपयोग कर सकता है --vault-id @prompt।

फाइल को एनसिबल-वॉल्ट का उपयोग कर एन्क्रिप्ट करें:

ansible-vault encrypt /path/to/encrypted/file

प्लेबुक चलाएं और इसके परिणामस्वरूप होगा:

fatal: [localhost]: FAILED! => {"msg": "A vault password or secret must be
specified to decrypt /path/to/encrypted/file"}

फ़ाइलों को डिक्रिप्ट करने के लिए कई विकल्प हैं, जिनमें शामिल हैं @prompt:

ansible-playbook some-playbook --vault-id @prompt

शीघ्र होगा:

Vault password (default):

वॉल्ट पासवर्ड दर्ज हो जाने के बाद, प्लेबुक को सफल होना चाहिए।