如何打印包含CLI中的Kubernetes秘密的Ansible拱形变量?
提问于 2019-09-23 16:52:11
我有一个Ansible group_vars目录,其中包含以下文件:
$ cat inventory/group_vars/env1
...
...
ldap_config: !vault |
$ANSIBLE_VAULT;1.1;AES256
31636161623166323039356163363432336566356165633232643932623133643764343134613064
6563346430393264643432636434356334313065653537300a353431376264333463333238383833
31633664303532356635303336383361386165613431346565373239643431303235323132633331
3561343765383538340a373436653232326632316133623935333739323165303532353830386532
39616232633436333238396139323631633966333635393431373565643339313031393031313836
61306163333539616264353163353535366537356662333833653634393963663838303230386362
31396431636630393439306663313762313531633130326633383164393938363165333866626438
...
...这个不可加密的字符串中封装了一个Kubernetes秘密。一个类似于这样的base64 blob:
IyMKIyBIb3N0IERhdGFiYXNlCiMKIyBsb2NhbGhvc3QgaXMgdXNlZCB0byBjb25maWd1cmUgdGhlIGxvb3BiYWNrIGludGVyZmFjZQojIHdoZW4gdGhlIHN5c3RlbSBpcyBib290aW5nLiAgRG8gbm90IGNoYW5nZSB0aGlzIGVudHJ5LgojIwoxMjcuMC4wLjEJbG9jYWxob3N0CjI1NS4yNTUuMjU1LjI1NQlicm9hZGNhc3Rob3N0Cjo6MSAgICAgICAgICAgICBsb2NhbGhvc3QKIyBBZGRlZCBieSBEb2NrZXIgRGVza3RvcAojIFRvIGFsbG93IHRoZSBzYW1lIGt1YmUgY29udGV4dCB0byB3b3JrIG9uIHRoZSBob3N0IGFuZCB0aGUgY29udGFpbmVyOgoxMjcuMC4wLjEga3ViZXJuZXRlcy5kb2NrZXIuaW50ZXJuYWwKIyBFbmQgb2Ygc2VjdGlvbgo=如何在单个CLI中解密?
回答 2
Stack Overflow用户
发布于 2019-09-23 16:52:11
我们可以使用Ansible adhoc命令来检索感兴趣的变量ldap_config。首先,我们将使用这个自定义来检索Ansible加密的保险库字符串:
$ ansible -i "localhost," all \
-m debug \
-a 'msg="{{ ldap_config }}"' \
--vault-password-file=~/.vault_pass.txt \
-e@inventory/group_vars/env1
localhost | SUCCESS => {
"msg": "ABCD......."请注意,我们:
msg={{ ldap_config }}
- giving
- 使用
debug模块并让它打印变量,使用符号-e@< ...path to file...>将加密的字符串 - 解密的秘密路径与加密的保险库变量
传递文件。
现在,我们可以使用Jinja2过滤器来完成其余的解析工作:
$ ansible -i "localhost," all \
-m debug \
-a 'msg="{{ ldap_config | b64decode | from_yaml }}"' \
--vault-password-file=~/.vault_pass.txt \
-e@inventory/group_vars/env1
localhost | SUCCESS => {
"msg": {
"apiVersion": "v1",
"bindDN": "uid=readonly,cn=users,cn=accounts,dc=mydom,dc=com",
"bindPassword": "my secret password to ldap",
"ca": "",
"insecure": true,
"kind": "LDAPSyncConfig",
"rfc2307": {
"groupMembershipAttributes": [
"member"
],
"groupNameAttributes": [
"cn"
],
"groupUIDAttribute": "dn",
"groupsQuery": {
"baseDN": "cn=groups,cn=accounts,dc=mydom,dc=com",
"derefAliases": "never",
"filter": "(objectclass=groupOfNames)",
"scope": "sub"
},
"tolerateMemberNotFoundErrors": false,
"tolerateMemberOutOfScopeErrors": false,
"userNameAttributes": [
"uid"
],
"userUIDAttribute": "dn",
"usersQuery": {
"baseDN": "cn=users,cn=accounts,dc=mydom,dc=com",
"derefAliases": "never",
"scope": "sub"
}
},
"url": "ldap://192.168.1.10:389"
}
}注意:,上面的章节-a 'msg="{{ ldap_config | b64decode | from_yaml }}"是从Base64转换到YAML所做的繁重工作。
参考文献
Stack Overflow用户
发布于 2019-09-24 04:31:19
如果您需要一个与包含内联保险库vars的yaml文件(不仅仅是库存文件)一起工作的衬垫,而且如果您准备为此安装一个pip包,则有一个使用yq的解决方案,这是一个建立在jq之上的yaml处理器。
安装yq
pip install yq使用
您可以使用以下命令获得结果:
yq -r .ldapconfig inventory/group_vars/env1 | ansible_vault decrypt如果您需要交互输入您的保险库通行证,请不要忘记添加相关选项。
yq -r .ldapconfig inventory/group_vars/env1 | ansible_vault --ask-vault-pass decrypt注意:如果没有值周围的引号,-r选项对yq是强制性的,以获得原始结果。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/58071737
复制相关文章
腾讯云开发者
