ansible - 将 Hashicorp Vault 与 Ansible 结合使用

ansible - 将 Hashicorp Vault 与 Ansible 结合使用 - 插件设置

转载作者：行者123 更新时间：2023-12-02 14:07:38

24

4

我想将 Hashicorp Vault 与 Ansible 结合使用来检索我将在 Ansible playbook 中使用的用户名/密码。

保险库已设置 - 我创建了一个 secret 。整合两者的步骤是什么？有关插件的文档并不是那么好。我尝试从 ansible 进行文件查找，这有效，但是如何使用第 3 方插件？有人可以帮助我执行以下步骤吗？

安装插件，pip install ansible-modules-hashivault
与https://github.com/jhaals/ansible-vault有什么区别
2.a 环境变量(VAULT ADDR & VAULT TOKEN)我放在哪里？
将 ansible.cfg 更改为指向位于我的 Ansible 项目的“plugin”文件夹中的 vault.py
要测试基本集成，我可以使用以下剧本吗？ https://pypi.python.org/pypi/ansible-modules-hashivault
```
- hosts: localhost
    -tasks:
       - hashivault_status:
         register: 'vault_status'
```

尝试过这个，但我得到:

An exception occurred during task execution. The full traceback is:
Traceback (most recent call last):
  File "/usr/lib/python2.7/site-packages/ansible/executor/task_executor.py", line 119, in run
    res = self._execute()
  File "/usr/lib/python2.7/site-packages/ansible/executor/task_executor.py", line 431, in _execute
    self._task.post_validate(templar=templar)
  File "/usr/lib/python2.7/site-packages/ansible/playbook/task.py", line 248, in post_validate
    super(Task, self).post_validate(templar)
  File "/usr/lib/python2.7/site-packages/ansible/playbook/base.py", line 371, in post_validate
    value = templar.template(getattr(self, name))
  File "/usr/lib/python2.7/site-packages/ansible/template/__init__.py", line 359, in template
    d[k] = self.template(variable[k], preserve_trailing_newlines=preserve_trailing_newlines, fail_on_undefined=fail_on_undefined, overrides=overrides)
  File "/usr/lib/python2.7/site-packages/ansible/template/__init__.py", line 331, in template
    result = self._do_template(variable, preserve_trailing_newlines=preserve_trailing_newlines, escape_backslashes=escape_backslashes, fail_on_undefined=fail_on_undefined, overrides=overrides)
  File "/usr/lib/python2.7/site-packages/ansible/template/__init__.py", line 507, in _do_template
    res = j2_concat(rf)
  File "<template>", line 8, in root
  File "/usr/lib/python2.7/site-packages/jinja2/runtime.py", line 193, in call
    return __obj(*args, **kwargs)
  File "/usr/lib/python2.7/site-packages/ansible/template/__init__.py", line 420, in _lookup
    instance = self._lookup_loader.get(name.lower(), loader=self._loader, templar=self)
  File "/usr/lib/python2.7/site-packages/ansible/plugins/__init__.py", line 339, in get
    self._module_cache[path] = self._load_module_source('.'.join([self.package, name]), path)
  File "/usr/lib/python2.7/site-packages/ansible/plugins/__init__.py", line 324, in _load_module_source
    module = imp.load_source(name, path, module_file)
  File "/etc/ansible/ProjectA/lookup_plugins/vault.py", line 5
    <!DOCTYPE html>
    ^
SyntaxError: invalid syntax

fatal: [win01]: FAILED! => {
    "failed": true,
    "msg": "Unexpected failure during module execution.",
    "stdout": ""

最佳答案

由于您在帖子中投入了太多鸡蛋，我不知道问题的真正含义是什么，这里有一些东西可以帮助您使用 native 查找插件和jhaals/ansible-vault。

您可以在当前目录中创建lookup_plugins并保存vault.py里面；
VAULT_ADDR 和 VAULT_TOKEN 环境变量如您在脚本中看到的那样；

下面的 Bash 脚本(它使用 screen 和 jq ，您可能需要安装它们)在开发模式下运行 Vault，设置 key ，并运行 Ansible playbook，该剧本使用两个查询 key 查找插件:

#!/bin/bash
set -euo pipefail

export VAULT_ADDR=http://127.0.0.1:8200

if [[ ! $(pgrep -f "vault server -dev") ]]; then
    echo \"vault server -dev\" not running, starting...
    screen -S vault -d -m vault server -dev
    printf "sleeping for 3 seconds\n"
    sleep 3
else
    echo \"vault server -dev\" already running, leaving as is...
fi

vault write secret/hello value=world excited=yes
export VAULT_TOKEN=$(vault token-create -format=json | jq -r .auth.client_token)
ansible-playbook playbook.yml --extra-vars="vault_token=${VAULT_TOKEN}"

和playbook.yml:

---
- hosts: localhost
  connection: local
  tasks:
    - name: Retrieve secret/hello using native hashi_vault plugin
      debug: msg="{{ lookup('hashi_vault', 'secret=secret/hello token={{ vault_token }} url=http://127.0.0.1:8200') }}"

    - name: Retrieve secret/hello using jhaals vault lookup
      debug: msg="{{ lookup('vault', 'secret/hello') }}"

最后你应该得到:

TASK [Retrieve secret/hello using native hashi_vault plugin] *******************
ok: [localhost] => {
    "msg": "world"
}

TASK [Retrieve secret/hello using jhaals vault lookup] *************************
ok: [localhost] => {
    "msg": {
        "excited": "yes",
        "value": "world"
    }
}

单词world是从Vault中获取的。

关于ansible - 将 Hashicorp Vault 与 Ansible 结合使用 - 插件设置，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41376918/

24

4

0

文章推荐： xcode - 多个 git 帐户不适用于 Xcode

文章推荐： javascript - html bootstrap下拉列表获取所选项目的索引

文章推荐： spring - Grails TransientObjectException

ansible - .ansible/tmp/ansible-tmp-* 权限被拒绝
尽管用户是 sudo 用户，但远程主机在运行 Ansible playbook 时仍会引发错误。 "/usr/bin/python: can't open file '/home/ludd/.ansi
ansible - ansible 和 ansible-galaxy 有什么区别
只是想了解 ansible 和 ansible-galaxy 之间的核心区别是什么？从文档中，ansible-galaxy 用于管理角色(创建和发布)那么ansible是做什么用的呢？只运行剧本？我
ansible - ansible 和 ansible-galaxy 有什么区别
只是想了解 ansible 和 ansible-galaxy 之间的核心区别是什么？从文档中，ansible-galaxy 用于管理角色(创建和发布)那么ansible是做什么用的呢？只运行剧本？我
ansible - Ansible 中角色的串行执行
我有一个定义如下的剧本: - name: install percona rpms hosts: imdp roles: - role1 - role2 - role3
ansible - 在其他游戏中访问变量 - Ansible
Ansible 版本:2.4.2.0 来自 here和 here ，我可以写下面的剧本 $ cat test.yml - name: Finding Master VMs hosts: all-c
ansible - Ansible 字符串中的新行
我正在运行这个 Ansible 剧本: - name: Set String set_fact: string: item loop: "{{some_var|filter()}}"
ansible - 使用条件匹配输出寄存器中的字符串(Ansible)
我无法在我的输出变量中搜索我用于 when 语句的指定字符串。下面的代码应该检查输出变量中的字符串“distribute-list”，但是在运行 playbook 时会出现错误。 fatal: [19
ansible - Ansible 中的条件通知取决于角色
在 Ansible 中是否可以仅当处理程序出现在该播放中时才有条件地通知处理程序？例如:我有一个多主机配置的剧本。有些主机使用 Apache 运行 PHP，有些使用 PHP-FPM。根据主机，修改
ansible - 运行命令 ansible 和 ansible-playbook 有什么区别
我是 ansible 的新手，正在学习 ansible 并致力于定义 ansible 脚本以在服务器上安装 confluent。在查看有关如何定义和运行 ansible 脚本的示例时，一些示例使用“a
ansible - Ansible-列出角色中的任务
是否可以列出Ansible角色中的任务？即除了grepping - name以外，还有没有现成的方法可以做到这一点？最佳答案创建一个指定角色的简单剧本，并使用ansible-playbook选项
ansible - ansible 可以仅在必要时自动询问密码
所以ansible-playbook有 --ask-pass和 --ask-sudo-pass .有没有办法让 ssh 先尝试没有密码，然后只有在无密码登录失败时才提示输入密码？同样，ansible
ansible - Ansible 图灵完备吗？
Ansible 提供了许多过滤器和条件。据我所知；应该可以实现一个 Ansible playbook 来执行一组任务，这些任务实现与图灵完备语言相同的结果。那么，图灵完备吗？最佳答案我觉得是这样的
ansible - Ansible 保险库密码文件格式是什么？
我一直在寻找，但没有太多关于什么 Ansible 保险库密码文件应该是什么样的。例如我想做: ANSIBLE_VAULT_PASSWORD_FILE=./pwdfile ansible-vault
ansible - ansible 可以在剧本中间获取更新的事实吗？
我在运行完整的剧本时遇到了麻烦，因为后来的剧本所依赖的一些事实在早期的剧本中被修改了，但是 ansible 不会在运行中更新事实。运行ansible somehost -m setup当整个剧本开始
ansible - Ansible-检查文件中是否存在字符串
我对Ansible很陌生是否可以使用Ansible检查文件中是否存在字符串。我要检查的是用户有权访问服务器。这可以使用cat /etc/passwd | grep username在服务器上完成
ansible - ansible 模板中的循环字典
我正在尝试使用 jinja2 通过 ansible 模板循环字典以创建多个数据源，但收到此错误 [{'msg': "AnsibleUndefinedVariable: One or more unde
ansible - Ansible:/etc不可写
我正在尝试将文件复制到/ etc。但是当我运行剧本时，我收到“msg:目标/ etc不可写”的消息。这是我的Playbook任务部分。非常感谢您的帮助。任务: - name: copy rsyslo
ansible - 是否可以在连接失败时重试 Ansible？
我正面临这个恼人的错误:Ansible hosts are randomly unreachable #18188 . 有没有办法告诉 Ansible 如果 SSH 连接失败，再试一次？还是2倍？根
ansible - Ansible password_hash与变量
我正在编写一个简单的任务来创建用户。作为此任务的一部分，我想从defaults / main.yml中读取密码。默认值/ main.yml test_user：testuser test_group
ansible - Ansible Lineinfile中的引号
当我在Ansible中使用lineinfile时，它不会写'，"字符 lineinfile: 'dest=/home/xyz state=present line="CACHES="default""

首页

博学

6Ren·AI

商城

ansible - 将 Hashicorp Vault 与 Ansible 结合使用 - 插件设置