秘密情報ファイルをansibleでデプロイするためにVaultを使う
先日AnsibleでMacBook Airをセットアップしたが、
秘密情報が描かれたファイルの扱いに迷ったので、調べてみた。
秘密情報が書かれたファイルについて
私の環境では色々と見られたくないもの(ちょっとしたパスワードなど)をガンガン.bashrcに書いているので、
ansibleでデプロイする際にどうすればいいのか少し迷った。
Ansibleに関するファイルは全てgithubにあげているから、
そのままアップロードするのはちょっとまずそう。
ということで、色々と調べていたらAnsibleの便利機能 "Vault" を見つけたので、試しに使ってみた。
Vaultとは?
パスワードや鍵などの秘密情報が書かれたファイルを暗号化、復号化できる機能。
これによってバージョン管理システムに安心してこれらのファイルをアップロードできる。
Ansible1.5から使えるようになった。
Ref. Vault — Ansible Documentation
とりあえずHelpを見てみる。
$ ansible-vault -h
Usage: ansible-vault [create|decrypt|edit|encrypt|rekey|view] [--help] [options] vaultfile.yml
Options:
--ask-vault-pass ask for vault password
-h, --help show this help message and exit
--new-vault-password-file=NEW_VAULT_PASSWORD_FILE
new vault password file for rekey
--output=OUTPUT_FILE output file name for encrypt or decrypt; use - for
stdout
--vault-password-file=VAULT_PASSWORD_FILE
vault password file
-v, --verbose verbose mode (-vvv for more, -vvvv to enable
connection debugging)
--version show program's version number and exit
シンプルで使いやすそう。
実際に使ってみる
ここからは、実際にbashrcを暗号化してデプロイしてみる。
暗号化するファイル形式はymlである必要があるらしい。
(試しにyml以外のファイルを暗号化してみたが、デプロイ時にうまく復号化できなかった。)
ということで、秘密にしたいファイルの内容を書き出す。
復号暗号化に使うパスワードも合わせて入力。
$ ansible-vault create secret.yml Vault password:
暗号化前のファイルの中身はこんな感じ。
yml形式で書き出してある。
bashrc: | export PS1="\d \t \w$ " export LANG=en_US.UTF-8 ...
そして暗号化後はこうなる。
$ cat secret.yml $ANSIBLE_VAULT;1.1;AES256 39623765313732333464343138313530353533336661323139373832313333303830353661356565 6537376564616138653037376331336565393035666439370a636438643734313730613130613462 61623139643335663532326330383565343535333430323263393066633434376162316635363731 3763633235303431380a646162316337383861646536303530633563323537666162393536393033 35666261636563613266336264663530386134656531373566303132306135363033373062623730 ...
ちなみに元のファイルを編集したい場合はeditすればOK。
$ ansible-vault edit secret.yml Vault password:
次はこのファイルの中身を変数として取り込むためにplaybookを編集する。
$ cat playbooks/secret_files.yml
- name: import secret file
include_vars: "secret.yml"
no_log: true
- name: locate secret files
copy:
content: "{{ bashrc }}"
dest: ~/.bashrc
mode: 0655
no_log: true
include_varsで先ほどの暗号化したファイルを指定する。
暗号化前のsecret.ymlでは"bashrc"をkeyとして設定したが、
これをplaybook内で利用するには {{ }} で囲めば良い。
また、このままだとコンソールにパスワードが表示されてしまうので、
no_logオプションを指定して、ログに出さないようにする。
今回作ってみたコードはこちら。
yukofeb/AnsibleLocalProvisioning at 0c52471c934be93b3859cb5b5d436b64bbe84e86
ということで実行してみる。
$ brewi
No config file found; using defaults
Vault password:
1 plays in /Users/yukofeb/Work/github/AnsibleLocalProvisioning/playbook.yml
PLAY ***************************************************************************
...
TASK [import secret file] ******************************************************
ok: [localhost] => {"censored": "the output has been hidden due to the fact that 'no_log: true' was specified for this result"}
TASK [locate secret files] *****************************************************
ok: [localhost] => {"censored": "the output has been hidden due to the fact that 'no_log: true' was specified for this result"}
正常に実行でき、ログ出力も抑制されている。完璧!
