Enemmän tekniikan käyttöä, suurempi mahdollinen uhka turvallisuudelle. Tyypillinen Ansible-asetus edellyttää, että syötät 'Secrets'. Nämä salaisuudet voivat olla kirjaimellisesti mitä tahansa, salasanoja, API-tunnuksia, julkisia SSH- tai yksityisiä avaimia, SSL-varmenteita jne. Kuinka pidämme nämä salaisuudet turvassa? Ansible tarjoaa ominaisuuden nimeltä Ansible Vault.
Tässä blogissa esittelen kuinka Ansible Vaultia käytetään ja tutkitaan joitain parhaita käytäntöjä tietojen suojaamiseksi.
Tämän blogin aiheet:
- Mikä on Ansible Holvi?
- Miksi käyttää Ansible Holviä?
- Salatun tiedoston luominen
- Salattujen tiedostojen muokkaaminen
- Salatun tiedoston tarkastelu
- Uudelleen holvin salasana
- Salamattomien tiedostojen salaus
- Salattujen tiedostojen salauksen purkaminen
- Tiettyjen muuttujien salaus
- Salattujen tiedostojen salauksen purkaminen ajon aikana
- Holvitunnuksen käyttäminen
Jos haluat hallita DevOpsia, ' kurssi olisi sinun vaihtoehto.
Mikä on Ansible Holvi?
Infrastruktuurin käyttäminen koodina voi olla uhka altistaa arkaluontoiset tietosi maailmalle, mikä johtaa ei-toivottuihin turvallisuusongelmiin. Ansible Holvi on ominaisuus, jonka avulla voit pitää kaikki salaisuutesi turvassa. Se voi salata kokonaisia tiedostoja, kokonaisia YAML-soittokirjoja tai jopa muutamia muuttujia. Se tarjoaa mahdollisuuden paitsi salata arkaluonteisia tietoja myös integroida ne soittokirjoihisi.
Holvi on toteutettu tiedostotason tarkkuudella, jossa tiedostot ovat joko täysin salattuja tai täysin salaamattomia. Se käyttää samaa salasanaa salaamiseen ja tiedostojen salauksen purkamiseen, mikä tekee Ansible Vaultin käytöstä erittäin käyttäjäystävällisen.
Miksi käyttää Ansible Vaultia?
Koska Ansibleia käytetään automatisointiin, on suuri mahdollisuus, että soittokirjoissa on tiettyjä tunnistetietoja, SSL-varmenteita tai muuta arkaluontoista tietoa. Tällaisten arkaluontoisten tietojen tallentaminen pelkkänä tekstinä on huono idea. Yksi väärä sitoutuminen GitHubiin tai kannettavan tietokoneen varkaus voi aiheuttaa organisaatiolle valtavan tappion. Tässä tulee kuvaan Ansible holvi. Se on hieno tapa saada infrastruktuuri koodina turvaamatta tinkimättä turvallisuudesta.
Oletetaan, että meillä on pelikirja, joka varaa EC2-ilmentymän AWS: ään. Sinun on annettava AWS-pääsyavaintunnuksesi ja AWS-salainen avain soittokirjaan. Et jaa näitä avaimia muiden kanssa ilmeisistä syistä. Kuinka pidät heidät valottamattomina? On olemassa kaksi tapaa - joko salaa nämä kaksi muuttujaa ja upota ne pelikirjaan tai salaa koko pelikirja.
Tämä oli vain yksi tilanteista, joissa mahdollista holvia voidaan käyttää. Voimme joko salata kokonaisia tiedostoja tai vain salata muutamia muuttujia, jotka saattavat sisältää arkaluontoisia tietoja, ja sitten Ansible purkaa ne automaattisesti suorituksen aikana. Nyt voimme turvallisesti sitouttaa nämä arvot GitHubille.
Salatun tiedoston luominen
Luo salattu tiedosto käyttämällä ansible-holvin luominen komento ja välitä tiedostonimi.
$ ansible-holvi luo tiedostonimi.yaml
Sinua pyydetään luomaan salasana ja vahvistamaan se kirjoittamalla se uudelleen.
Kun salasanasi on vahvistettu, uusi tiedosto luodaan ja avataan muokkausikkuna. Oletusarvoisesti Ansible Vault -editori on vi. Voit lisätä tietoja, tallentaa ja poistua.
Salattujen tiedostojen muokkaaminen
Jos haluat muokata salattua tiedostoa, voit muokata sitä käyttämällä ansible-holvin muokkaus komento.
$ ansible-holvi muokkaa secrets.txt-tiedostoa
Missä secrets.txt on jo luotu, salattu tiedosto.
Sinua pyydetään lisäämään holvin salasana. Tiedosto (salattu versio) avautuu vi-editorissa ja voit sitten tehdä tarvittavat muutokset.
Jos tarkistat lähdön, näet, että tekstisi salataan automaattisesti, kun tallennat ja suljet.
Salatun tiedoston tarkastelu
Jos haluat tarkastella vain salattua tiedostoa, voit käyttää näkymätön holvinäkymä komento.
$ ansible-holvin näkymä tiedostonimi.yml
Jälleen sinua pyydetään antamaan salasana.
ja näet samanlaisen tuotoksen.
Uudelleen holvin salasana
Tietenkin on aikoja, jolloin haluat vaihtaa holvin salasanan. Voit käyttää ansible-holvin rekey komento.
$ ansible-holvi rekey secrets.txt
Sinulta kysytään holvin nykyistä salasanaa ja sitten uutta salasanaa ja lopuksi vahvistetaan uusi salasana.
Salamattomien tiedostojen salaus
Oletetaan, että sinulla on tiedosto, jonka haluat salata, voit käyttää ansible-holvin salaus komento.
$ ansible-holvi salaa tiedostonimi.txt
Sinua pyydetään lisäämään ja vahvistamaan salasana, ja tiedosto on salattu.
Nyt kun tarkastelet tiedoston sisältöä, se on salattu.
Salattujen tiedostojen salauksen purkaminen
Jos haluat purkaa salatun tiedoston, voit käyttää sitä ansible holvin salauksen purku komento.
$ ansible-holvi purkaa tiedostonimen.txt
Kuten tavallista, se kehottaa sinua lisäämään ja vahvistamaan holvin salasanan.
Tiettyjen muuttujien salaus
Paras käytäntö Ansible Holvin käytössä on salata vain arkaluontoiset tiedot. Edellä selitetyssä esimerkissä kehitystiimi ei halua jakaa salasanaan tuotanto- ja lavastusryhmän kanssa, mutta he saattavat tarvita pääsyn tiettyihin tietoihin suorittaakseen oman tehtävänsä. Tällaisissa tapauksissa sinun tulisi vain salata tiedot, joita et halua jakaa muiden kanssa, jättäen loput sellaisenaan.
Ansible Holvin avulla voit salata vain tietyt muuttujat. Voit käyttää ansible-holvin salaus_merkkijono komento tähän.
$ ansible-vault encrypt_string
Sinua pyydetään lisäämään ja vahvistamaan holvin salasana. Voit sitten lisätä salausmerkkijonon arvon. Lopeta syöttö painamalla ctrl-d. Nyt voit määrittää tämän salatunarvosoittolistan merkkijonoon.
Voit myös saavuttaa saman asian yhdellä rivillä.
$ ansible-vault encrypt_string 'merkkijono' - nimi 'muuttujan_nimi'
kuinka luoda joukko esineitä
Salattujen tiedostojen salauksen purkaminen ajon aikana
Jos haluat purkaa tiedoston salauksen suorituksen aikana, voit käyttää sitä –Ask-holvipassi lippu.
$ ansible-playbook launch.yml --ask-vault-pass
Tämä purkaa kaikki salatut tiedostot, joita käytetään tämän launch.yml-soittokirjan suorittamiseen. Tämä on myös mahdollista vain, jos kaikki tiedostot on salattu samalla salasanalla.
Salasanakehotteet voivat olla ärsyttäviä. Automaation tarkoitus on turha. Kuinka voimme parantaa tätä? Ansible-palvelussa on ominaisuus nimeltä ”salasanatiedosto”, joka viittaa tiedostoon, joka sisältää salasanan. Voit sitten välittää tämän salasanatiedoston ajon aikana sen automatisoimiseksi.
$ ansible-playbook launch.yml --vault-password-file ~ / .vault_pass.txt
Myös erillinen komentosarja, joka määrittää salasanat, on mahdollista. Sinun on varmistettava, että komentosarjatiedosto on suoritettava ja salasana on tulostettu vakiotulosteeseen, jotta se toimisi ilman ärsyttäviä virheitä.
$ ansible-playbook launch.yml --vault-password-file ~ / .vault_pass.py
Holvitunnuksen käyttäminen
Holvin tunnus on tapa antaa tunniste tietylle holvin salasanalle. Holvin tunnus auttaa salaamaan erilaisia tiedostoja erilaisilla salasanoilla, joihin viitataan soittokirjaan. Tämä Ansible-ominaisuus ilmestyi julkaisemalla Ansible 2.4. Ennen tätä julkaisua vain yhtä holvin salasanaa voitiin käyttää jokaisessa mahdollisessa soittokirjan suorituksessa.
Joten nyt, jos haluat suorittaa Ansible-pelikirjan, joka käyttää useita eri salasanoilla salattuja tiedostoja, voit käyttää Holvin tunnusta.
$ ansible-playbook --vault-id vault-pass1 --vault-id vault-pass2 tiedostonimi.yml
Tämän avulla olemme tulleet tämän Ansible Vault -blogin loppuun. On hämmästyttävää tarttua tekniikkaan ja hyödyntää niitä täysimääräisesti, mutta ei tinkimättä turvallisuudesta. Tämä on yksi parhaista tavoista saada infrastruktuuri koodiksi (IaC).
Jos pidät tästä artikkelista hyödyllistä, tutustu ' tarjoaja Edureka. Se kattaa kaikki työkalut, jotka ovat tehneet IT-alasta älykkäämpiä.
Onko sinulla kysymys meille? Ole hyvä ja lähetä se ja palaamme sinuun.