在ansible/jinja2 2变量文件中将变量设置为命令输出

Question

我正在为不同的部署环境从jinja2模板创建ansible中的configfile。为此，我为每个环境提供了一个yaml文件，如下所示：

Serverip: 127.0.0.1
Login:
  Username: Rudolf
  Password: rudolfssecret

现在，对于某些环境，我希望将某些变量放在一个保险库中，并使用命令行工具(如这一个)提取它们。

这可以通过从保险库中获取值并以某种方式与变量File相结合来实现。但是这样，seceret变量就会从变量文件中完全删除。有些人看到这些文件可能会认为这些变量丢失或不存在。

我更喜欢这样的东西：

Serverip: 127.0.0.1
Login:
  Username: Rudolf
  Password: {{shell: keepass-cli extract-value -f keepassfile -name Password}}

因此，当ansible从文件加载变量时，它会用shell命令的输出填充该值。

这有可能吗？

Answer 1

关于这个问题，你可以向最佳实践-变量和风险咨询。

...create名为vars和vault的两个文件。在vars文件中，定义所需的所有变量，包括任何敏感变量。接下来，将所有敏感变量复制到vault文件中，并在这些变量前面加上vault_。您应该调整vars文件中的变量，以指向匹配的vault_变量，并确保vault文件是加密的。

如果你更喜欢外部密码管理工具而不是保险库，你仍然可以遵循这个建议。

在您的示例中，按以下方式定义vars文件：

Serverip: 127.0.0.1
Login:
  Username: Rudolf
  Password: "{{ encrypted_password }}"

在执行剧本时，请确保从您的密码管理工具中获取encrypted_password。