Lý lịch
- Chúng tôi sử dụng Ansible để cung cấp và quản lý cơ sở hạ tầng Azure. Hiện tại, chúng tôi chạy Ansible "thủ công", tức là chúng tôi thực hiện thủ công các playbook cho các tác vụ tự động khác nhau. Không có cơ sở hạ tầng CI.
- Có thể không liên quan nhưng chúng tôi quản lý kho của chúng tôi bằng cách sử dụng tập lệnh động
azure_rm.py
. - Chúng tôi được khuyến khích để an toàn nhất có thể tức là
- Không lưu trữ mật khẩu Vault trong
~/.vault_pass
hoặc trong bất kỳ tệp cục bộ nào - Không lưu trữ bí mật Azure trong
~/.azure/credentials
- Đừng lưu trữ bất cứ thứ gì an toàn trong
.bashrc
.
- Không lưu trữ mật khẩu Vault trong
Trong một kịch bản như vậy, tôi gặp khó khăn khi đưa ra một chiến lược mạch lạc để đảm bảo rằng các vở kịch của tôi có thể truy cập các bí mật Azure, trong khi làm theo các hướng dẫn ở trên.
Câu hỏi
Làm cách nào tôi có thể tránh lưu trữ thông tin đăng nhập Ansible Vault và Azure trên các tệp mà vẫn đảm bảo các sách phát của tôi có thể truy cập chúng?
Những gì tôi đã thử
Cho đến nay tôi đã đưa ra một kịch bản bao bọc
- hỏi người dùng mật khẩu Vault
- Sử dụng để giải mã tập lệnh Vaulted Shell
- Đánh giá tập lệnh, tải các biến môi trường Azure vào môi trường;
- Chạy playbook trên môi trường đã được thiết lập.
Có giải pháp nào tốt hơn (thanh lịch hơn, ít phức tạp hơn, "Ansible" hơn không?