Народ, такой простой вопрос, а поставил меня в тупик. А

как применить ansible-vault encrypt внутри плейбука? Не shell/command же вызывать. Пока переложил функционал на gitlab pipeline, но чет неудобно.

А что шифрует? Что-то на клиентской машине?

Не, на раннере гитлаба прямо. (local_action). Плейбук формирует несколько файлов (ключи и токен после инициализации hashi vault). Хочу их зашифровать ansible vault, запаковать в архив и залить в хранилище артифактов. Пока сделал так - плейбук останавливается на этапе формирования файлов, далее в gitlab-CI pipeline на баше шифровка, запаковка и курлом заливка в артифактори. Коряво немного выглядит.

Можно сначала формировать файл(ы) с зашифрованными ключами, потом брать из него данные в плейбук Можно хранить изначально в зашифрованном виде

😁Видимо не так объяснил. А то получается как в анекдоте - "Чтобы продать что-то ненужное, нужно сначала купить что-то ненужное"))

Волт модуля вроде нет

Да вот сам в @хуе )

https://serverfault.com/questions/1060617/how-to-create-an-ansible-vault-file-from-a-task

вот кстати удобная штука вместо ansible encrypt, можно юзать без паролей public/private keys https://github.com/FiloSottile/age для передачи всяких секретов прям идеально зашла в ci/cd

Это + еще один велосипед). Сильно усложнит. Это мне надо еще контейнер с этой тулзой собрать для гитлаб ранера, а с учетом того, что у нас в сборочной среде нет инета - целая история....

Так морочиться только для того, чтобы не писать плагин - ну я вот даже хз....

У меня и так слишком сложно получается и чем дальше иду, тем дальше отодвигаются сроки реализации. Пытаюсь упростить.

У нас потом некому будет поддерживать вот это все.

То бишь лучше и проще башсибл поддерживать?

Башсибла не будет в плейбуке.

Ну вообще действительно проще 😏

Ну нет....я его выпиливаю ото всюду.

еще как вариант sops, модуль есть

Будешь смеяться - вот эта вся история - автоматизация развертывания Hashicorp Vault )))