DevSecOps:如何使用 Ansible Vault 在 GitLab CI/CD 中安全管理秘密資訊 前言 以下是關於如何在 **GitLab CI/CD** 中使用 **Ansible Vault** 建立安全的 CI/CD 管道的詳細步驟。這將指導你從加密秘密資訊開始,到設置管道進行部署的完整過程。 準備 1. GitLab 帳戶 :確保已擁有一個 GitLab 帳戶並且已經設置好一個 repository。 2. 本地安裝 Ansible :需要在本地安裝 Ansible 來加密/解密秘密文件。 第一步:設置 Ansible 並創建加密的文件 1. 安裝 Ansible : 首先,確保已在本地機器上安裝了 Ansible。在 Ubuntu 上運行以下命令來安裝它: ```bash sudo apt-get install ansible ``` 如果使用其他操作系統,請參考官方的 [Ansible 安裝指南](https://docs.ansible.com/ansible/latest/installation_guide/index.html)。 2. 創建一個秘密文件: 在本地的工作目錄中,創建一個包含敏感資訊的 YAML 文件,例如: ```yaml # secret_vars.yml db_username: myuser db_password: supersecurepassword api_key: someAPIkey12345 ``` 3. 使用 Ansible Vault 加密文件: 運行以下命令來加密 `secret_vars.yml` 文件: ```bash ansible-vault encrypt secret_vars.yml ``` 系統會提示你輸入一個密碼。記住這個密碼,因為你需要在 GitLab Pipeline 中使用它。 你會看到 `secret_vars.yml` 文件已經被加密,內容看起來像這樣: ```yaml $ANSIBLE_VAULT;1.1;AES256 663336393839626139623061656136353937303330376437346539383266