Я знаю, что с AWX и Ansible Tower вы можете использовать HashiCorp Vault для управления паролями, которые вы используете в своих плейбуках. Например, если вы хотите настроить некоторые сетевые устройства, учетные данные для доступа к этим устройствам могут находиться в Vault.
Кто-нибудь использовал AWX / Tower с паролями к базам данных, хранящимися в HashiCorp Vault? По умолчанию пароли Postgress хранятся в файле в файловой системе, если я не ошибаюсь.
Однако в этой статье предполагается, что пароли могут храниться в VAult, так что Tower / AWX будет получать только краткосрочные учетные данные для доступа база данных: https://www.arctiq.ca/our-blog/2019/9/20/configuring-hashicorp-vault-to-generate-dynamic-postgresql-credentials/
Пожалуйста, поделитесь своим опыт работы с этой архитектурой?
Существует плагин hashi_vault_lookup, который извлекает секреты из хранилища HashiCorp.
Его можно использовать в плейбуке следующим образом:
- name: 'Fetch secrets using "hashi_vault" lookup'
set_fact:
secret: "{{ lookup('community.general.hashi_vault', 'secret=secret/hello:value token=c975b780-d1be-8016-866b-01d0f9b688a5 url=http://myvault:8200') }}"