通过用户数据脚本安装新的aws实例时解密的变量

时间:2016-06-10 00:29:39

标签: amazon-web-services ansible ansible-playbook user-data terraform

我准备好Ansible手册,它们包括几个加密的vars。通过正常流程,我可以提供保管库密码文件以使用--vault-password-file ~/.vault_pass.txt对其进行解密,并将更改部署到远程EC2实例。所以我不需要公开密码文件。

但我的要求与此不同。在创建新的EC2实例时,我需要在user-data脚本中包含ansible-playbook更改。理想情况下,我应该在实例运行后自动准备好所有设置。

我通过以下简单的user-data脚本部署Terraform实例:

#!/usr/bin/bash

yum -y update
/usr/local/bin/aws s3 cp s3://<BUCKET>/ansible.tar.gz ansible.tar.gz
gtar zxvf ansible.tar.gz
cd ansible
ansible-playbook -i inventory/ec2.py -c local ROLE.yml

所以我必须将我的密码文件上传到用户数据脚本,如果在剧本中,有一些加密的变量。

我能做些什么来避免它? Ansible Tower会对此请求有所帮助吗?

我用CredStash进行了测试,但仍然是鸡和鸡蛋问题。

1 个答案:

答案 0 :(得分:2)

如果您希望您的实例自行配置,他们将需要所有凭据或其他方式来获取凭据,理想情况下是某种形式的一次性通行证。

我能想到的最好的事情就是使用Hashicorp's Vault来存储凭据(可能是我们所有的秘密,或者只是Ansible Vault密码,然后可以用来取消对您的保密Ansible变量)并让您的部署过程创建one time use token,通过Terraform's templating将其注入用户数据脚本。

要做到这一点,你可能想要用一些形式的帮助脚本包装你的Terraform apply命令,这些脚本看起来像这样(未经测试):

#!/bin/bash

vault_host="10.0.0.3"
vault_port="8200"

response=`curl \
            -X POST \
            -H "X-Vault-Token:$VAULT_TOKEN" \
            -d '{"num_uses":"1"}' \
            http://${vault_host}:${vault_port}/auth/token/create/ansible_vault_read`

vault_token=`echo ${response} | jq '.auth.client_token' --raw-output`

terraform apply \
  -var 'vault_host=${vault_host}'
  -var 'vault_port=${vault_port}'
  -var 'vault_token=${vault_token}'

然后你的用户数据脚本需要在Terraform中模仿这样的东西(也是未经测试的):

template.tf:

resource "template_file" "init" {
    template = "${file("${path.module}/init.tpl")}"

    vars {
        vault_host  = "${var.vault_host}"
        vault_port  = "${var.vault_port}"
        vault_token = "${var.vault_token}"
    }
}

init.tpl:

#!/usr/bin/bash

yum -y update

response=`curl \
            -H "X-Vault-Token: ${vault_token}" \
            -X GET \
            http://${vault_host}:${vault_port}/v1/secret/ansible_vault_pass`

ansible_vault_password=`echo ${response} | jq '.data.ansible_vault_pass' --raw-output`

echo ${ansible_vault_password} > ~/.vault_pass.txt

/usr/local/bin/aws s3 cp s3://<BUCKET>/ansible.tar.gz ansible.tar.gz
gtar zxvf ansible.tar.gz
cd ansible
ansible-playbook -i inventory/ec2.py -c local ROLE.yml --vault-password-file ~/.vault_pass.txt

或者你可以简单地让实例调用诸如Ansible Tower之类的东西来触发对它运行的剧本。这使您可以保留中央盒子上的秘密进行配置,而不必将它们分发到您正在部署的每个实例。

使用Ansible Tower,这是使用callbacks完成的,您需要设置作业模板,然后让您的用户数据脚本卷曲塔以触发配置运行。您可以将用户数据脚本更改为以下内容:

template.tf:

resource "template_file" "init" {
    template = "${file("${path.module}/init.tpl")}"

    vars {
        ansible_tower_host      = "${var.ansible_tower_host}"
        ansible_host_config_key = "${var.ansible_host_config_key}"
    }
}

init.tpl:

#!/usr/bin/bash

curl \
  -X POST
  --data "host_config_key=${ansible_host_config_key}" \
  http://{${ansible_tower_host}/v1/job_templates/1/callback/

host_config_key乍一看似乎是一个秘密,但它是一个共享密钥,可用于多个主机访问作业模板,Ansible Tower仍将只在主机定义为静态时运行作业模板的库存,或者如果您正在使用动态库存,那么如果在该查找中找到了主机。

相关问题
最新问题