Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ansible-vault 2.0以降のアップデート
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
yunano
June 01, 2016
Technology
1
1.4k
ansible-vault 2.0以降のアップデート
yunano
June 01, 2016
Tweet
Share
More Decks by yunano
See All by yunano
Ansibleのベストプラクティス構成に従ったplaybook開発を一工夫する
yunano
2
2.7k
Other Decks in Technology
See All in Technology
変化するコーディングエージェントとの現実的な付き合い方 〜Cursor安定択説と、ツールに依存しない「資産」〜
empitsu
4
1.1k
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
1
360
KubeCon + CloudNativeCon NA ‘25 Recap, Extensibility: Gateway API / NRI
ladicle
0
170
Azure Durable Functions で作った NL2SQL Agent の精度向上に取り組んだ話/jat08
thara0402
0
110
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
860
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
180
メルカリのAI活用を支えるAIセキュリティ
s3h
8
5.9k
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
2
1.3k
DEVCON 14 Report at AAMSX RU65: V9968, MSX0tab5, MSXDIY etc
mcd500
0
240
いよいよ仕事を奪われそうな波が来たぜ
kazzpapa3
3
330
セキュリティについて学ぶ会 / 2026 01 25 Takamatsu WordPress Meetup
rocketmartue
1
250
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
13k
Featured
See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Everyday Curiosity
cassininazir
0
120
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
9.8k
Writing Fast Ruby
sferik
630
62k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
0
310
Paper Plane
katiecoart
PRO
0
46k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
190
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.1k
HDC tutorial
michielstock
1
340
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.2k
Transcript
ansible-vault 2.0以降のアップデート 2016/06/01 yunano 1
自己紹介 • Qiitaでyunanoという名前で書いています 直近では「ansible-consoleを使おう」というネタを 書きました • http://qiita.com/yunano/items/faba4f3330594e41246b 2
ansible-vaultの簡単なおさらい • パスワードなどの機密情報が書かれたファイルを 暗号化するツール • Ansibleの各種コマンドに”--ask-vault-pass”オ プションか”--vault-password-file”オプション で暗号化した際のパスワードを与えると、処理中 使用する暗号化されたファイルが復号される 普通は暗号化されたvars系ファイルを読み込ませる
暗号化されたplaybookも読むことができる 暗号化されたインベントリファイルも2.0から可能 3
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 4
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 5
ansible-vault editは使ってはいけない!? • 「Don't use ansible-vault edit at all.」 出展:
https://github.com/ansible/ansible/issues/12182 6
ansible-vault editの動き • ansible-vault editを実行すると/tmp以下に、復 号されて平文になった一時ファイルが作られるた め、ディスクに平文が書かれることになる 対策として2.0.1からedit終了時に一時ファイルがラ ンダムデータで埋められてから削除されるように なった
7
ansible-vault encryptの機能追加 • 2.0からansible-vault encryptに標準入出力との 読み書き機能が追加 「echo “password” | ansible-vault
encrypt > foo.vault」 「ansible-vault encrypt > foo.vault」 標準入力に何か書いて、行頭でCtrl+dで終了 8
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 9
copyモジュールのsrcに指定したファイルを復号 • 2.1から「copy: src=bar.vault dest=/etc/bar」のように、srcに暗号化された ファイルを指定すると自動的に復号されてコピー されるように仕様変更 copyモジュール以外には適用されない。例えば templateモジュールだとそのままコピーされる 将来lookupプラグインのfileでも復号されるように
なる予定(2.2から?) 10
ansible-vaultの2.0以降のアップデート • ansible-vault editは使ってはいけない!? • copyモジュールのsrcに指定したファイルを復号 • cryptographyを使用して高速化 11
ansible-vaultの復号は*遅い* • 特に1.7から、例えばhost_vars以下に100個暗 号化されたファイルを置いたとして、インベント リファイルにその100ホスト書かれていれば、処 理対象が実際には1ホストしかない場合でもすべ ての暗号化ファイルが復号されるようになった 12
ansible-vaultの復号は*遅い* • playbook 13 - hosts: host00 connection: local gather_facts:
no tasks: - debug: var=key1
ansible-vaultの復号は*遅い* • インベントリファイル • host_vars/host[00:99].yml(暗号化する) • 「time ansible-playbook -i hosts
site.yml -- vault-password-file password.vault」 27.595秒 14 [test] host[00:99] key1: val1
cryptographyをインストールする • 2.0からcryptographyをインストールすると、そ れだけで復号が高速化する • 「time ansible-playbook -i hosts site.yml
-- vault-password-file password.vault」 2.918秒 15 $ sudo yum install libffi-devel openssl-devel $ sudo pip install cryptography
SiteGround - Reliable hosting with speed, security, and support you can count on.
yunano
empitsu
hiroyaonoe
ladicle
thara0402
rvirus0817
mu7889yoon
s3h
sansantech
mcd500
kazzpapa3
rocketmartue
sansan33
kevinliebholz
cassininazir
mongodb
sferik
keavy
katarinadahlin
katiecoart
reverentgeek
philnash
charlesmeaden
michielstock
aleyda
![ansible-vaultの復号は*遅い* • インベントリファイル • host_vars/host[00:99].yml(暗号化する) • 「time ansible-playbook -i hosts](https://files.speakerdeck.com/presentations/ab6f65dd1011417393d0f5a54bd96894/slide_13.jpg){kind=link}
