Telegram Group & Telegram Channel
Telegram Group » Korea » Библиотека девопса | DevOps, SRE, Sysadmin » Telegram Webview » Post 58
Библиотека девопса | DevOps, SRE, Sysadmin
🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib
www.tg-me.com/kr/telegram/com.devopslib/58
8.9K views



tg-me.com/devopslib/58
Create:
Last Update:

🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib

BY Библиотека девопса | DevOps, SRE, Sysadmin


Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283

Share with your friend now:
tg-me.com/devopslib/58

View MORE
Open in Telegram


telegram Telegram | DID YOU KNOW?

Date: |

Traders also expressed uncertainty about the situation with China Evergrande, as the indebted property company has not provided clarification about a key interest payment.In economic news, the Commerce Department reported an unexpected increase in U.S. new home sales in August.Crude oil prices climbed Friday and front-month WTI oil futures contracts saw gains for a fifth straight week amid tighter supplies. West Texas Intermediate Crude oil futures for November rose $0.68 or 0.9 percent at 73.98 a barrel. WTI Crude futures gained 2.8 percent for the week.

telegram from kr


🛠 Как не облажаться с ansible vault на продеРаботать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит

 Библиотека девопса | DevOps, SRE, Sysadmin TG
Webview: 58
Библиотека девопса | DevOps, SRE, Sysadmin.Telegram Webview
Библиотека девопса | DevOps, SRE, Sysadmin Telegram TG Channel
Telegram Updated:
Telegram Библиотека девопса | DevOps, SRE, Sysadmin
FROM USA