Telegram Group & Telegram Channel
Telegram Group » Taiwan » Библиотека девопса | DevOps, SRE, Sysadmin » Telegram Webview » Post 58
Библиотека девопса | DevOps, SRE, Sysadmin
🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib
www.tg-me.com/tw/telegram/com.devopslib/58
8.9K views



tg-me.com/devopslib/58
Create:
Last Update:

🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib

BY Библиотека девопса | DevOps, SRE, Sysadmin


Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283

Share with your friend now:
tg-me.com/devopslib/58

View MORE
Open in Telegram


telegram Telegram | DID YOU KNOW?

Date: |

What is Secret Chats of Telegram

Secret Chats are one of the service’s additional security features; it allows messages to be sent with client-to-client encryption. This setup means that, unlike regular messages, these secret messages can only be accessed from the device’s that initiated and accepted the chat. Additionally, Telegram notes that secret chats leave no trace on the company’s services and offer a self-destruct timer.

Telegram is riding high, adding tens of million of users this year. Now the bill is coming due.Telegram is one of the few significant social-media challengers to Facebook Inc., FB -1.90% on a trajectory toward one billion users active each month by the end of 2022, up from roughly 550 million today.

telegram from tw


🛠 Как не облажаться с ansible vault на продеРаботать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит

 Библиотека девопса | DevOps, SRE, Sysadmin TG
Webview: 58
Библиотека девопса | DevOps, SRE, Sysadmin.Telegram Webview
Библиотека девопса | DevOps, SRE, Sysadmin Telegram TG Channel
Telegram Updated:
Telegram Библиотека девопса | DevOps, SRE, Sysadmin
FROM USA