Ansible에서 바이너리 파일을 암호화하는 방법?

Ansible Vault 를 사용하여 Ansible Playbook git 저장소에 비밀번호, 인증서의 개인 키 등을 저장하고 있습니다. 기존의 모든 개인 데이터는 텍스트 형식이므로 변수에 저장할 수 있습니다. 그런 다음 템플릿 또는 content복사 모듈 의 매개 변수 와 함께 사용됩니다 .

슬프게도 바이너리 형식의 Java KeyStore 파일이 있습니다. 따라서 변수 안에 저장할 수 없거나 적어도 어떻게 해야할지 모르겠습니다. 파일이 git에있는 동안 파일을 올바르게 암호화하는 가장 쉬운 방법은 무엇입니까 ansible-playbook?

내가 성공하지 않고 이미 시도한 것 :

• 이진 파일을 base64로 인코딩하고 인코딩 된 데이터를 변수에 저장하고 with with 템플릿 모듈을 사용합니다 {{base64_data | b64decode}}. EF BF BD결과 파일의 16 진 덤프 가 많이 발생합니다. 3 바이트는 유니 코드 대체 문자를 UTF-8로 인코딩하므로 이진 데이터를 텍스트로 해석하는 데 문제가 있습니다.
• 이진 파일을 base64로 인코딩하고, 인코딩 된 데이터를 변수에 저장하고 와 함께 복사 모듈을 사용합니다 content="{{base64_data | b64decode}}". Ansible은 "변수가 모듈 args에 새 매개 변수를 삽입했습니다"라고 불평합니다. 큰 따옴표 대신 작은 따옴표를 사용하는 경우 Ansible은 "오류 구문 분석 인수 문자열"및 터미널에 덤프 된 모든 이진 데이터의 사본으로 불평합니다.

base64 변수와 함께 쉘 명령을 사용하여이를 수행 할 수 있습니다.

- vars:
  - myvar: "<my_base64_var>"
- name: Create binary file
  shell: "echo '{{myvar}}' | base64 -d > /var/tmp/binary.dat"

에릭

가능한 설정을위한 방법은 다음과 같습니다.

-우리는 https://www.agwa.name/projects/git-crypt/를 사용하여 개별 민감한 자료 (저장소의 작은 하위 집합)를 암호화합니다 -우리는 항상 git sign 태그를 사용하여 커밋합니다-서명되지 않은 파일이 있는지 주기적으로 확인합니다

git-crypt의 장점은 git 필터를 사용하므로 암호화가 투명하다는 것입니다. 또한 암호화 된 컨텐츠를 손상시키지 않고 개발자에게 저장소에 대한 액세스 권한을 부여 할 수 있습니다 (복호화 키를 얻을 수없는 경우 암호화 된 파일은 무시 됨).