Ansible 自动化基石：变量定义、优先级控制与 Vault 敏感信息加密实战指南

一、 Ansible 变量 (Variables)

1.变量是Ansible实现自动化、灵活性和可重用性的基石。它们允许存储值并在Playbook、清单（inventory）和角色（roles）中重复使用。

2.变量命名规则 (Naming)

规则：变量名必须以字母开头，只能包含字母、数字和下划线（_）。

建议：使用全局唯一的、具有描述性的名称，避免冲突。

3.变量定义与作用域 (Definition & Scope)

Playbook内定义：

vars 块：在play的开头直接定义变量。

vars_files 指令：引用外部YAML文件来加载变量，便于管理复杂或敏感信息。

清单（Inventory）相关定义：

主机变量 (Host Variables)：应用于特定主机的变量。优先级高于同名的组变量。

组变量 (Group Variables)：应用于主机组中所有主机的变量。

推荐方式：使用 host_vars/ 和 group_vars/ 目录。在这些目录下创建与主机名或组名同名的YAML文件来存放变量。这种方式结构清晰，易于维护。

4.变量优先级 (Variable Precedence)

核心原则：优先级高的变量会覆盖优先级低的同名变量。

从低到高排列：清单中定义的组变量；group_vars/ 目录中的组变量文件；清单中定义的主机变量；host_vars/ 目录中的主机变量文件；事实 (Facts) (运行时发现的主机信息)；Playbook中的 vars 和 vars_files；任务级别的变量；命令行 --extra-vars (-e) (优先级最高，常用于临时覆盖)。

5.使用变量 (Using Variables)

语法：在Playbook中通过 {{ variable_name }} 的Jinja2模板语法引用变量。

重要实践：始终使用引号包围包含变量的值（例如 path: "{{ my_path }}"）。这可以防止YAML解析器将变量名误解为字典的开始，避免语法错误。

6.已注册变量 (Registered Variables)

目的：捕获任务的执行结果（stdout, stderr, return code等），用于后续任务的条件判断、调试或信息传递。

方法：使用 register 关键字。例如：

yaml

- name: Get service status

  command: systemctl is-active httpd

  register: service_result

使用：注册的变量（如 service_result）可以在后续任务中通过 {{ service_result.stdout }}, {{ service_result.rc }} 等方式访问。

7.字典变量 (Dictionary Variables)

目的：将一组相关的配置数据组织在一起，提高代码的可读性和可维护性。

定义：在YAML中使用键值对结构。

yaml

users:

  user1:

    name: alice

    group: web

  user2:

    name: bob

    group: db

使用：结合 loop 进行迭代，访问字典中的值。

yaml

- name: Ensure users exist

  user:

    name: "{{ item.name }}"

    groups: "{{ item.group }}"

  loop: "{{ users.values() }}"

二、 Ansible 机密管理 (Managing Secrets with Ansible Vault)

1.Ansible Vault是用于加密敏感数据（如密码、API密钥、私钥）的工具，确保这些信息不会以明文形式暴露。

2.核心功能：

加密和解密任何Ansible使用的结构化数据文件（YAML, JSON等）。

使用AES256对称加密，通过密码保护。

3.常用命令 (ansible-vault)：

create filename：创建并加密新文件。

view filename：查看加密文件内容（不解密文件本身）。

edit filename：解密、编辑、再加密文件（会改写原文件）。

encrypt filename：加密已存在的文件。

decrypt filename：永久解密文件。

rekey filename：更改加密文件的密码。

4.在Playbook中使用Vault加密文件：

交互式输入密码：运行playbook时使用 --vault-id @prompt 选项。注意：使用 ansible-navigator 时，可能需要先禁用 playbook artifact 功能，否则命令会挂起。

使用密码文件：使用 --vault-password-file /path/to/vault_pass 选项。安全警告：密码文件本身包含明文密码，必须严格保护其文件权限（如 chmod 600）。

环境变量：可通过 $ANSIBLE_VAULT_PASSWORD_FILE 环境变量指定默认的密码文件位置。

5.管理变量文件的推荐做法：

将敏感变量和普通变量分开存放。

使用 group_vars/ 或 host_vars/ 目录结构。

在 host_vars/<hostname>/ 目录下，可以同时存在明文变量文件（如 vars.yml）和加密的Vault文件（如 vault.yml）。Ansible会自动合并加载。

优先在Playbook级别使用 vars_files 引用Vault加密的变量文件，因为Playbook变量的优先级高于清单变量。