我们目前将大量机密存储在我们的Azure密钥库中以进行平台部署。我们使用Ansible进行部署,但是它似乎不具有密钥库的读取功能(您可以创建,但不能读取!?)。我们的架构师/产品所有者迫使我们将其用于存储,而不是使用本地保管库。
我们当前的解决方案是使用azure CLI登录,然后依次遍历所需的秘密列表,映射到事实,然后从CLI注销。问题在于它的单一动作,而且似乎很慢。
name: Capture KeyVault secret and register variable
local_action: "command az keyvault secret show --name {{ playsecret }} --vault-name {{ az_keyvault_name }}"
register: secretValue
所以这有两个问题,一个解决方案可以同时抵消两个都是理想的,但是一个解决方案都可以。问题: 1. Azure cli登录意味着我们不能异步运行事物。如果两者都在读取机密,则第一个注销,另一个注销。 (由于我们是从业务流程服务器上运行的,因此可以用更多的业务流程框来抵消它,但是成本等) 2.秘密阅读是一个单一的动作,这似乎会使它非常缓慢(我怀疑这更多是出于天蓝,而不是一个棘手的问题)
答案 0 :(得分:1)
有一个预览模块可以帮助您 https://github.com/Azure/azure_preview_modules。它可以让您完成
list.files在您的vars文件中。不幸的是,这不能解决速度慢的问题。