如何在Ansible中加密二进制文件？

我们正在使用Ansible Vault在Ansible Playbook git存储库中存储密码，证书的私钥等。我们所有现有的私有数据都是文本形式的，因此我们可以将其存储在变量中。然后将它们用于模板或与content复制模块的参数一起使用。

现在，我们有一个Java KeyStore文件，可悲的是它具有二进制格式。因此，它不能存储在变量中-至少我不知道该怎么做。将文件保存在git中但在运行时可用，最简单的方法是对其进行正确加密ansible-playbook？

我已经尝试过但没有成功的东西：

• 在base64中对二进制文件进行编码，将编码后的数据存储在变量中，并使用带有的模板模块{{base64_data | b64decode}}。导致大量的EF BF BD十六进制转储结果文件。这三个字节对UTF-8中的Unicode替换字符进行编码，因此将二进制数据解释为文本存在问题。
• 在base64中对二进制文件进行编码，将编码后的数据存储在变量中，然后将复制模块与一起使用content="{{base64_data | b64decode}}"。Ansible抱怨“一个变量在模块args中插入了一个新参数”。当使用单引号而不是双引号时，Ansible抱怨“错误解析参数字符串”，并将所有二进制数据的副本转储到终端...

您可以使用带有base64变量的shell命令来执行此操作。

- vars:
  - myvar: "<my_base64_var>"
- name: Create binary file
  shell: "echo '{{myvar}}' | base64 -d > /var/tmp/binary.dat"

埃里克

我们为ansible设置执行​​此操作的方式是：

-我们使用https://www.agwa.name/projects/git-crypt/加密单个敏感材料（我们存储库的一小部分） -我们都始终使用git符号标签进行提交-我们定期检查是否有未签名的文件

git-crypt的优点在于，由于它依赖于git过滤器，因此加密是透明的。另外，您可以在不损害加密内容的情况下将访问权授予开发人员（如果无法获得解密密钥，它将忽略加密文件）。