Я разрабатываю Ansible playbook в течение нескольких недель, поэтому мой опыт работы с такими технологиями относительно короткий. Часть моей стратегии включает использование настраиваемого ansible_ssh_user
для хостов-провайдеров в инвентаре, однако для такого пользователя потребуется своя пара ключей SSH, которая будет включать в себя какой-то план для хранения/хранения его соответствующего частного ключа. В рабочей среде этот плей-лист будет клонирован/вытащен и запущен внутри определенной пьесы node, роль которой заключается в предоставлении остальной инфраструктуры.
Сначала я думал просто поместить этот закрытый ключ в репозиторий playbook git, но, тем не менее, у меня есть другие мысли о нем, в основном из-за очевидных причин безопасности и здравого смысла, поэтому причина, по которой я вам необходимо проконсультировать вас по этому вопросу.
С этим набором в таблице, вот следующие вопросы:
- В среде разработки, основанной на Ansible, разумно ли разумно хранить частный SSH-ключ в контроле источника?
- Будет ли эта практика рекомендована только для сред разработки, тогда как другой локальный ветвь git внутри загрузочной книги node будет затем использоваться для хранения фактического закрытого ключа SSH для производства?
- Было бы лучше рассмотреть этот случайный сценарий через Ansible Vault вместо?, Я никогда не использовал это раньше, но независимо от того, что я еще не могу сказать, будет ли это подходящий случай для его использования.
- В вашем опыте, каким будет ваш подход к этому в производственной среде?, что бы это считалось лучшей практикой в этом конкретном сценарии?