管理机密

Ansible Vault

Ansible可能需要访问密码或API密钥等敏感数据，以便能配置受管主机。通常，此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。但若如此，任何有权访问Ansible文件的用户或存储这些Ansible文件的版本控制系统都能够访问此敏感数据。这显示存在安全风险。

Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault，可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件，或者Ansible角色中定义的变量。

创建加密文件

要创建新的加密文件，可使用ansible-vault create filename命令。该命令将提示输入新的vault密码，然后利用默认编辑器vi打开文件。我们可以设置和导出EDITOR环境变量，通过设置和导出指定其他默认编辑器。例如，若要将默认编辑器设为nano，可设置为export EDITOR=nano。

[root@master ~]# ansible-vault create zichen.yml
New Vault password: dzc
Confirm New Vault password: dzc

我们还可以用vault密码文件来存储vault密码，而不是通过标准输入途径输入vault密码。这样做需要使用文件权限和其他方式来严密保护该文件。

ansible-vault create --vault-password-file=vault-pass zichen.yml

查看加密文件

可以使用ansible-vault view filename命令查看Ansible Vault加密的文件，而不必打开它进行编辑。

ansible-vault view zichen.yml

查看时需要输入加密文件的加密密码。

编辑现有的加密文件

要编辑现有的加密文件，Ansible Vault提供了ansible-vault edit filename命令。此命令将文件解密为一个临时文件，并允许编辑。保存时，它将复制其内容并删除临时文件。

ansible-vault edit zichen.yml

编辑时需要输入加密文件的加密密码。

edit子命令始终重写文件，因此只应在进行更改时使用它。要查看文件的内容而不进行更改时，应使用view子命令。

加密现有文件

要加密已存在的文件，请使用ansible-vault encrypt filename命令。此命令可取多个欲加密文件的名称作为参数。

ansible-vault encrypt zichen-one.yml zichen-two.yml

使用--output=OUTPUT_FILE选项，可将加密文件保存为新的名称。只能通过--output选项使用一个输入文件。

解密现有文件

现有的加密文件可以通过ansible-vault decrypt filename命令永久解密。在解密单个文件时，可使用--output选项以其他名称保存解密的文件。

ansible-vault decrypt zichen-one.yml --output=zichen-one-test.yml

更改加密文件的密码

使用ansible-vault rekey filename命令更改加密文件的密码。此命令可一次性更新多个数据文件的密钥。它将提示提供原始密码和新密码。

ansible-vault rekey zichen.yml

在使用vault密码文件时，请使用--new-vault-password-file选项：

ansible-vault rekey --new-vault-password-file=NEW_VAULT_PASSWORD_FILE zichen.yml

playbook和Ansible vault

要运行可访问通过Ansible Vault加密的文件的playbook，需要向ansible-playbook命令提供加密密码。如果不提供密码，playbook将返回错误：

[root@localhost ~]# ansible-playbook dzc.yml
ERROR: A Vault password must be specified to decrypt vars/api_dzc.yml

要为playbook提供vault密码，可使用--vault-id选项。例如，要以交互方式提供vault密码，请使用下例中所示的--vault-id @prompt

ansible-playbook --vault-id @prompt dzc.yml

此外，也可使用--vault-password-file选项指定以纯文本存储加密密码的文件。密码应当在该文件中存储为一行字符串。由于该文件包含敏感的纯文本密码，因此务必要通过文件权限和其他安全措施对其加以保护。

ansible-playbook --vault-password-file=vault-pw-file dzc.yml

也可以使用ANSIBLE_VAULT_PASSWORD_FILE环境变量，指定密码文件的默认位置。

从Ansible2.4开始，可以通过ansible-playbook使用多个Ansible Vault密码。要使用多个密码，需要将多个--vault-id或--vault-password-file选项传递给ansible-playbook命令。

ansible-playbook --vault-id one@prompt --vault-id two@prompt dzc.yml

注意：@prompt前面的vaultIDone和two可以是任何字符，甚至可以完全省略它们。不过，如果在使用ansible-vault命令加密文件时使用--vault-id id选项，则在运行ansible-playbook时，将最先尝试匹配ID的密码。如果不匹配，将会尝试用户提供的其他密码。没有ID的vaultID@prompt实际上是default@prompt的简写，这意味着提示输入vaultIDdefault的密码。

变量文件管理的推荐做法

若要简化管理，务必要设置Ansible项目，使敏感变量和其他变量保存在相互独立的文件中。然后，包含敏感变量的文件可通过ansible-vault命令进行保护。

管理组变量和主机变量的首选方式是在playbook级别上创建目录。group_vars目录通常包含名称与它们所应用的主机组匹配的变量文件。host_vars目录通常包含名称与它们所应用的受管主机名称匹配的变量文件。

Playbook变量（与清单变量相对）也可通过Ansible Vault保护。敏感的playbook变量可以放在单独的文件中，此文件通过Ansible Vault加密，并能vars_files指令包含在该playbook中。这也是推荐做法，因为playbook变量的优先级高于清单变量。

如果需要在playbook中使用多个vault密码，请确保每个加密文件分配一个vaultID，并在运行playbook时输入具有该vaultID的匹配密码。这可确保在解密vault加密文件时先选择正确的密码，这比强制Ansible尝试用户提供的所有vault密码直至找到正确的密码要快。

管理事实

描述Ansible事实

Ansible事实是Ansible在受管主机上自动检测到的变量。事实中包含有与主机相关的信息，可以像play中的常规变量、条件、循环或依赖于从受管主机收集的值的任何其他语句那样使用。

为受管主机收集的一些事实可能包括：

• 主机名称
• 内核版本
• 网络接口
• IP地址
• 操作系统版本
• 各种环境变量
• CPU数量
• 提供的或可用的内存
• 可用磁盘空间

借助事实，可以方便地检索受管主机的状态，并根据该状态确定要执行的操作。例如：

• 可以根据含有受管主机当前内核版本的事实运行条件任务，以此来重启服务器
• 可以根据通过事实报告的可用内存来自定义MySQL配置文件
• 可以根据事实的值设置配置文件中使用的IPv4地址

通常，每个play在执行第一个任务之前会先自动运行setup模块来收集事实。

查看为受管主机收集的事实的一种方式是，运行一个收集事实并使用debug模块显示ansible_facts变量值的简短playbook。

- name: Fact dump
  hosts: all
  tasks:
    - name: Print all facts
      debug:
        var: ansible_facts

运行该playbook时，事实将显示在作业输出中：

ansible-playbook facts.yml

Playbook以JSON格式显示ansible_facts变量的内容。

下表显示了可能从受管节点收集的并可在playbook中使用的一些事实：

Ansible事实的示例：

事实	变量
短主机名	ansible_facts['hostname']
完全限定域名	ansible_facts['fqdn']
IPv4地址	ansible_facts['default_ipv4']['address']
所有网络接口的名称列表	ansible_facts['interfaces']
/dev/vda1磁盘分区的大小	ansible_facts['devices']['vda']['partitions']['vda1']['size']
DNS服务器列表	ansible_facts['dns']['nameservers']
当前运行的内核版本	ansible_facts['kernel']

如果变量的值为散列/字典类型，则可使用两种语法来获取其值。比如：

• ansible_facts['default_ipv4']['address']也可以写成ansible_facts.default_ipv4.address
• ansible_facts['dns']['nameservers']也可以写成ansible_facts.dns.nameservers

在playbook中使用事实时，Ansible将事实的变量名动态替换为对应的值：

---
- hosts: all
  tasks:
  - name: Prints various Ansible facts
    debug:
      msg: >
        The default IPv4 address of {{ ansible_facts.fqdn }}
        is {{ ansible_facts.default_ipv4.address }}

Ansible事实作为变量注入

在Ansible2.5之前，事实是作为前缀为字符串ansible_的单个变量注入，而不是作为ansible_facts变量的一部分注入。例如，ansible_facts['distribution']事实会被称为ansible_distribution。

选定的Ansible事实名称比较

ansible_facts形式	旧事实变量形式
ansible_facts['hostname']	ansible_hostname
ansible_facts['fqdn']	ansible_fqdn
ansible_facts['default_ipv4']['address']	ansible_default_ipv4['address']
ansible_facts['interfaces']	ansible_interfaces
ansible_facts['devices']['vda']['partitions']['vda1']['size']	ansible_devices['vda']['partitions']['vda1']['size']
ansible_facts['dns']['nameservers']	ansible_dns['nameservers']
ansible_facts['kernel']	ansible_kernel

目前，Ansible同时识别新的事实命名系统（使用ansible_facts）和旧的2.5前“作为单独变量注入的事实”命名系统。

将Ansible配置文件的[default]部分中inject_facts_as_vars参数设置为False，可关闭旧命名系统。默认设置目前为True。

inject_facts_as_vars的默认值在Ansible的未来版本中可能会更改为False。如果设置为False，则只能使用新的ansible_facts.*命名系统引用Ansible事实。所以建议大家一开始就要适应这种方式。

关闭事实收集

有时我们不想为play收集事实。这样做的原因可能有：

• 不准备使用任何事实
• 希望加快play速度
• 希望减小play在受管主机上造成的负载
• 受管主机因为某种原因无法运行setup模块
• 需要安装一些必备软件后再收集事实

以上种种原因导致我们可能想要永久或暂时关闭事实收集的功能，要为play禁用事实收集功能，可将gather_facts关键字设置为no：

---
- name: This play gathers no facts automatically
  hosts: large_farm
  gather_facts: no

即使play设置了gather_facts: no，也可以随时通过运行使用setup模块的任务来手动收集事实：

---
- name: gather_facts
  hosts: 172.16.103.129
  gather_facts: no
  tasks:
    - name: get gather_facts
      setup:
    - name: debug
      debug:
        var: ansible_facts

创建自定义事实

除了使用系统捕获的事实外，我们还可以自定义事实，并将其本地存储在每个受管主机上。这些事实整合到setup模块在受管主机上运行时收集的标准事实列表中。它们让受管主机能够向Ansible提供任意变量，以用于调整play的行为。

自定义事实可以在静态文件中定义，格式可为INI文件或采用JSON。它们也可以是生成JSON输出的可执行脚本，如同动态清单脚本一样。

有了自定义事实，我们可以为受管主机定义特定的值，供play用于填充配置文件或有条件地运行任务。动态自定义事实允许在play运行时以编程方式确定这些事实的值，甚至还可以确定提供哪些事实。

默认情况下，setup模块从各受管主机的/etc/ansible/facts.d目录下的文件和脚本中加载自定义事实。各个文件或脚本的名称必须以.fact结尾才能被使用。动态自定义事实脚本必须输出JSON格式的事实，而且必须是可执行文件。

以下是采用INI格式编写的静态自定义事实文件。INI格式的自定义事实文件包含由一个部分定义的顶层值，后跟用于待定义的事实的键值对：

[packages]
web_package = httpd
db_package = mariadb-server

[users]
user1 = zichen
user2 = dzc

同样的事实可能以JSON格式提供。以下JSON事实等同于以上示例中INI格式指定的事实。JSON数据可以存储在静态文本文件中，或者通过可执行脚本输出到标准输出：

{
  "packages": {
    "web_package": "httpd",
    "db_package": "mariadb-server"
  },
  "users": {
    "user1": "zichen",
    "user2": "dzc"
  }
}

自定义事实文件不能采用playbook那样的YAML格式。JSON格式是最为接近的等效格式。

自定义事实由setup模块存储在ansible_facts.ansible_local变量中。
事实按照定义它们的文件的名称来整理。例如，假设前面的自定义事实由受管主机上保存为/etc/ansible/facts.d/custom.fact的文件生成。在这种情况下，ansible_facts.ansible_local['custom']['users']['user1']的值为joe。

可以利用临时命令在受管主机上运行setup模块来检查自定义事实的结构。

ansible 192.168.159.5 -m setup

自定义事实的使用方式与playbook中的默认事实相同：

---
- hosts: all
  tasks:
  - name: Prints various Ansible facts
    debug:
      msg: >
        The package to install on {{ ansible_facts['fqdn'] }}
        is {{ ansible_facts['ansible_local']['cutstom']['packages']['web_package'] }}

使用变法变量

一些变量并非事实或通过setup模块配置，但也由Ansible自动设置。这些魔法变量也可用于获取与特定受管主机相关的信息。

最常用的有四个：

魔法变量	说明
hostvars	包含受管主机的变量，可以用于获取另一台受管主机的变量的值。如果还没有为受管主机收集事实，则它不会包含该主机的事实。
group_names	列出当前受管主机所属的所有组
groups	列出清单中的所有组和主机
inventory_hostname	包含清单中配置的当前受管主机的主机名称。因为各种原因有可能与事实报告的主机名称不同

另外还有许多其他的“魔法变量”。有关更多信息，请参见以下链接：https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable。

若要深入了解它们的值，一个途径是使用debug模块报告特定主机的hostvars变量的内容：

ansible 172.16.103.129 -m debug -a 'var=hostvars["master"]'