Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ansible-vault 2.0以降のアップデート

yunano
June 01, 2016
Technology
1
1.3k

ansible-vault 2.0以降のアップデート

yunano

June 01, 2016
Tweet

More Decks by yunano

See All by yunano
Ansibleのベストプラクティス構成に従ったplaybook開発を一工夫する
yunano
2
2.4k

Other Decks in Technology

See All in Technology
React開発における失敗事例と学び〜実例3選とともに〜
bitkey
PRO
1
600
Swift 開発が楽になる道具たち
megabitsenmzq
1
320
Data Lake, Real-time Analytics, or Both? Exploring Presto and ClickHouse
ahana
0
130
Managing Test Data
eliasnogueira
0
170
WebGLやCanvasを使ったデータ可視化コンテンツ開発/nikkei-tech-talk5-3
nikkei_engineer_recruiting
0
150
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
25k
ローコードで改革!End to Endテストの再定義!
odasho
0
220
私と Nature Remo E / Nature Remo E
orgachem
0
380
Privacy Techによる新しいデータ活用の形
line_developers
PRO
1
230
スマート東京実施戦略_2023(令和5)年度の取組
tokyo_metropolitan_gov_smart_tokyo_strat
0
420
ZOZOTOWNの裏側に迫る! Javaで作られたBFFの開発事例を紹介
yutaro527
0
400
PHPマジックメソッドクイズ!/PHP Magic Method Quiz
ykanoh
0
180

Featured

See All Featured
Facilitating Awesome Meetings
lara
34
4.7k
Designing on Purpose - Digital PM Summit 2013
jponch
108
5.9k
YesSQL, Process and Tooling at Scale
rocio
159
13k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.7k
Building Flexible Design Systems
yeseniaperezcruz
314
35k
Typedesign – Prime Four
hannesfritz
34
1.6k
A designer walks into a library…
pauljervisheath
199
16k
Six Lessons from altMBA
skipperchong
15
2.4k
Fireside Chat
paigeccino
16
2k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Intergalactic Javascript Robots from Outer Space
tanoku
261
26k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k

Transcript

  1. ansible-vault
    2.0以降のアップデート
    2016/06/01
    yunano
    1

    View Slide

  2. 自己紹介
    • Qiitaでyunanoという名前で書いています
    直近では「ansible-consoleを使おう」というネタを
    書きました
    • http://qiita.com/yunano/items/faba4f3330594e41246b
    2

    View Slide

  3. ansible-vaultの簡単なおさらい
    • パスワードなどの機密情報が書かれたファイルを
    暗号化するツール
    • Ansibleの各種コマンドに”--ask-vault-pass”オ
    プションか”--vault-password-file”オプション
    で暗号化した際のパスワードを与えると、処理中
    使用する暗号化されたファイルが復号される
    普通は暗号化されたvars系ファイルを読み込ませる
    暗号化されたplaybookも読むことができる
    暗号化されたインベントリファイルも2.0から可能
    3

    View Slide

  4. ansible-vaultの2.0以降のアップデート
    • ansible-vault editは使ってはいけない!?
    • copyモジュールのsrcに指定したファイルを復号
    • cryptographyを使用して高速化
    4

    View Slide

  5. ansible-vaultの2.0以降のアップデート
    • ansible-vault editは使ってはいけない!?
    • copyモジュールのsrcに指定したファイルを復号
    • cryptographyを使用して高速化
    5

    View Slide

  6. ansible-vault editは使ってはいけない!?
    • 「Don't use ansible-vault edit at all.」
    出展:
    https://github.com/ansible/ansible/issues/12182
    6

    View Slide

  7. ansible-vault editの動き
    • ansible-vault editを実行すると/tmp以下に、復
    号されて平文になった一時ファイルが作られるた
    め、ディスクに平文が書かれることになる
    対策として2.0.1からedit終了時に一時ファイルがラ
    ンダムデータで埋められてから削除されるように
    なった
    7

    View Slide

  8. ansible-vault encryptの機能追加
    • 2.0からansible-vault encryptに標準入出力との
    読み書き機能が追加
    「echo “password” | ansible-vault encrypt >
    foo.vault」
    「ansible-vault encrypt > foo.vault」
    標準入力に何か書いて、行頭でCtrl+dで終了
    8

    View Slide

  9. ansible-vaultの2.0以降のアップデート
    • ansible-vault editは使ってはいけない!?
    • copyモジュールのsrcに指定したファイルを復号
    • cryptographyを使用して高速化
    9

    View Slide

  10. copyモジュールのsrcに指定したファイルを復号
    • 2.1から「copy: src=bar.vault
    dest=/etc/bar」のように、srcに暗号化された
    ファイルを指定すると自動的に復号されてコピー
    されるように仕様変更
    copyモジュール以外には適用されない。例えば
    templateモジュールだとそのままコピーされる
    将来lookupプラグインのfileでも復号されるように
    なる予定(2.2から?)
    10

    View Slide

  11. ansible-vaultの2.0以降のアップデート
    • ansible-vault editは使ってはいけない!?
    • copyモジュールのsrcに指定したファイルを復号
    • cryptographyを使用して高速化
    11

    View Slide

  12. ansible-vaultの復号は*遅い*
    • 特に1.7から、例えばhost_vars以下に100個暗
    号化されたファイルを置いたとして、インベント
    リファイルにその100ホスト書かれていれば、処
    理対象が実際には1ホストしかない場合でもすべ
    ての暗号化ファイルが復号されるようになった
    12

    View Slide

  13. ansible-vaultの復号は*遅い*
    • playbook
    13
    - hosts: host00
    connection: local
    gather_facts: no
    tasks:
    - debug: var=key1

    View Slide

  14. ansible-vaultの復号は*遅い*
    • インベントリファイル
    • host_vars/host[00:99].yml(暗号化する)
    • 「time ansible-playbook -i hosts site.yml --
    vault-password-file password.vault」
    27.595秒
    14
    [test]
    host[00:99]
    key1: val1

    View Slide

  15. cryptographyをインストールする
    • 2.0からcryptographyをインストールすると、そ
    れだけで復号が高速化する
    • 「time ansible-playbook -i hosts site.yml --
    vault-password-file password.vault」
    2.918秒
    15
    $ sudo yum install libffi-devel openssl-devel
    $ sudo pip install cryptography

    View Slide