希望你做得很好。
我有这个设计难题
我在这里最基本的询问是:如何ansible-pull用吻原则实现一种“安全”的方式?
例如我用来ansible-pull管理工作站:
在某些时候,我需要首先将保管的东西传输给客户become_password。
为了给你提供更多背景信息,请看以下信息local.yml:
- hosts: localhost
become: true
gather_facts: true
vars_files:
- vars/all_vars.yml
pre_tasks:
# task for testing purposes only
- name: 'Timedate needs to be ok for apt'
raw: sudo systemctl restart chronyd && chronyc -a makestep
tags:
- always
# end of testing purposes
- name: 'Installation tasks first and only one time'
include_tasks:
file: "{{ outer_item }}"
apply:
tags:
- installation
loop:
- tasks/schedule.yml
- tasks/packages.yml
- tasks/upgrade_all.yml
- tasks/users.yml
- tasks/grub.yml
loop_control:
loop_var: outer_item
tags:
- installation
- name: 'Security tasks at each reboot'
include_tasks:
file: "{{ outer2_item }}"
apply:
tags:
- security
loop:
- tasks/schedule.yml
- tasks/security.yml
loop_control:
loop_var: outer2_item
tags:
- security
environment:
LANG: en_US.UTF-8
all_vars.yml包含一些变量和某些秘密。
据我所知我可以:
- 将 vault_pass 以明文形式放在客户端上?
- 在 git repo 中公开保密(这根本不是一个好的做法)
有人可以给我提示一下吗?
谢谢;)祝你有美好的一天。