DEVOPSLIB Telegram 58
tgoop.com » United States » Библиотека девопса | DevOps, SRE, Sysadmin » Telegram web » Post 58
Библиотека девопса | DevOps, SRE, Sysadmin
🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib
👍5
www.tgoop.com/devopslib/58
9.68K views



tgoop.com/devopslib/58
Create:
Last Update:

🛠 Как не облажаться с ansible vault на проде

Работать с секретами через Ansible Vault — штука хорошая. Но вот ошибка — и у тебя либо прод лежит, либо пароль в логах. Вот несколько советов, как не сжечь всё к чертям:


🔐 1. Никогда не коммить vault-пароль.
Создай .vault_pass.txt локально и добавь его в .gitignore. Или лучше вообще используй --ask-vault-pass и вводи вручную.


🧪 2. Проверяй перед запуском.
ansible-vault view vars/secret.yml — убедись, что содержимое адекватное. Особенно если правишь руками.


🚨 3. Разделяй окружения.
Разные vault-файлы на dev/stage/prod. И разные пароли. Один пароль на всё = один билет в ад.


📦 4. Не храни бинарные файлы в vault.
Vault — для конфигов, токенов, API-ключей. Не надо туда пихать ssh-key в .pem формате. Это зло. Лучше — зашифруй файл gpg’шкой и держи отдельно.


🧯 5. Сделай дешифровку в CI защищённой.
Vault-пароль передавай через секреты CI/CD. Никогда — через env переменные в открытом виде. Используй зашифрованные secrets в GitLab/GitHub Actions.

И помни: если можешь не хранить секрет в repo — не храни.

Подпишись 👉@devopslib

BY Библиотека девопса | DevOps, SRE, Sysadmin


Share with your friend now:
tgoop.com/devopslib/58

View MORE
Open in Telegram


Telegram News

Date: |

With the sharp downturn in the crypto market, yelling has become a coping mechanism for many crypto traders. This screaming therapy became popular after the surge of Goblintown Ethereum NFTs at the end of May or early June. Here, holders made incoherent groaning sounds in late-night Twitter spaces. They also role-played as urine-loving Goblin creatures. Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” ‘Ban’ on Telegram Telegram users themselves will be able to flag and report potentially false content. Today, we will address Telegram channels and how to use them for maximum benefit.
from us


🛠 Как не облажаться с ansible vault на проде

 Библиотека девопса | DevOps, SRE, Sysadmin TG
web: 58
Библиотека девопса | DevOps, SRE, Sysadmin.Telegram web
Библиотека девопса | DevOps, SRE, Sysadmin Telegram TG Channel
Telegram Updated:
Telegram Библиотека девопса | DevOps, SRE, Sysadmin
FROM American