Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ansible-vault 2.0以降のアップデート
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
yunano
June 01, 2016
Technology
1.4k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ansible-vault 2.0以降のアップデート
yunano
June 01, 2016
More Decks by yunano
See All by yunano
Ansibleのベストプラクティス構成に従ったplaybook開発を一工夫する
yunano
2
2.7k
Other Decks in Technology
See All in Technology
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
390
cccccc
moznion
0
1.7k
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
310
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
8k
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
810
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
AI駆動開発におけるQAエンジニアの役割事例 〜AI駆動開発の現場から〜
kobayashiyorimitsu
0
300
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
180
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
0
480
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
780
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
1.2k
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2.1k
Featured
See All Featured
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
220
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
550
The agentic SEO stack - context over prompts
schlessera
0
840
Building Applications with DynamoDB
mza
96
7.1k
Scaling GitHub
holman
464
140k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
3.6k
The Limits of Empathy - UXLibs8
cassininazir
1
390
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
360
Design in an AI World
tapps
1
260
Transcript
ansible-vault 2.0以降のアップデート 2016/06/01 yunano 1
自己紹介 • Qiitaでyunanoという名前で書いています 直近では「ansible-consoleを使おう」というネタを 書きました • http://qiita.com/yunano/items/faba4f3330594e41246b 2
ansible-vaultの簡単なおさらい • パスワードなどの機密情報が書かれたファイルを 暗号化するツール • Ansibleの各種コマンドに”--ask-vault-pass”オ プションか”--vault-password-file”オプション で暗号化した際のパスワードを与えると、処理中 使用する暗号化されたファイルが復号される 普通は暗号化されたvars系ファイルを読み込ませる
暗号化されたplaybookも読むことができる 暗号化されたインベントリファイルも2.0から可能 3
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 4
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 5
ansible-vault editは使ってはいけない!? • 「Don't use ansible-vault edit at all.」 出展:
https://github.com/ansible/ansible/issues/12182 6
ansible-vault editの動き • ansible-vault editを実行すると/tmp以下に、復 号されて平文になった一時ファイルが作られるた め、ディスクに平文が書かれることになる 対策として2.0.1からedit終了時に一時ファイルがラ ンダムデータで埋められてから削除されるように なった
7
ansible-vault encryptの機能追加 • 2.0からansible-vault encryptに標準入出力との 読み書き機能が追加 「echo “password” | ansible-vault
encrypt > foo.vault」 「ansible-vault encrypt > foo.vault」 標準入力に何か書いて、行頭でCtrl+dで終了 8
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 9
copyモジュールのsrcに指定したファイルを復号 • 2.1から「copy: src=bar.vault dest=/etc/bar」のように、srcに暗号化された ファイルを指定すると自動的に復号されてコピー されるように仕様変更 copyモジュール以外には適用されない。例えば templateモジュールだとそのままコピーされる 将来lookupプラグインのfileでも復号されるように
なる予定(2.2から?) 10
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 11
ansible-vaultの復号は*遅い* • 特に1.7から、例えばhost_vars以下に100個暗 号化されたファイルを置いたとして、インベント リファイルにその100ホスト書かれていれば、処 理対象が実際には1ホストしかない場合でもすべ ての暗号化ファイルが復号されるようになった 12
ansible-vaultの復号は*遅い* • playbook 13 - hosts: host00 connection: local gather_facts:
no tasks: - debug: var=key1
ansible-vaultの復号は*遅い* • インベントリファイル • host_vars/host[00:99].yml(暗号化する) • 「time ansible-playbook -i hosts
site.yml -- vault-password-file password.vault」 27.595秒 14 [test] host[00:99] key1: val1
cryptographyをインストールする • 2.0からcryptographyをインストールすると、そ れだけで復号が高速化する • 「time ansible-playbook -i hosts site.yml
-- vault-password-file password.vault」 2.918秒 15 $ sudo yum install libffi-devel openssl-devel $ sudo pip install cryptography