С ansible-vault просто чудовищно работать через гит, любая модификация и

меняется весь файл. Перешли на строчный формат - но теперь расшифровать пароль - откровенно через Ж. ansible localhost -m debug -a var='...' -e "@~/...." —ask-vault-pass
есть способы как-то проще делать?

Мне всегда казалось что ansible-vault это компромисс на случай если прям совсем надо положить что-то секретное, отсюда и неудобства

а что есть не компромисс?

не хранить секреты в гите, наверное…

а зачем весь файл шифровать если можно отдельные значения

А почему нет? Оно же зашифровано. И всё в одном месте. И запуск деплоя - гит клон и понеслось, в тем числе через .gitlab-ci.

Так и делаем. Но теперь посмотреть и тем более поправить одно значение это боль.

коллега выше писал что ему неудобно хранить все в одном зашифрованом файле

Я могу ошибаться, но на мой взгляд это дело привычки/удобства, например vscode есть плагины удобно и быстро можно шифровать/дешифровать..

Посоветуйте плагин пожалуйста

так а чего такой негатив в отношении ansible-vault? Пусть себе меняется в коммитил и делов то?

а теперь представим что там условно 50 ключей. Или 10 private keys (для тех же ссл сертов, сами серты хранятся открыто). И что мы можем сказать по коммиту? Что у нас обновилось 100 кб. Всё. Что конкретно - невозможно сказать, если по комментам непонятно то чекаутить все версии и в каждую делать edit. Бонусом - крайне легко подложить свинью, заменив 2 ключа, но описав в комменте только 1. Вариант 2 - 1 ключ - ровно 1 файл. Черезжопу, но работать будет (почти) вменяемо.

ну в этом кейсе да. Но тогда стоит подумать и о других вариантах для хранения ssl сертификатов

сохраняя простоту развёртывания, как у прогеров-девопсов, так и на серверах. Учитывая возможность работы без инета. Так что все внешние решения не катят. И что остаётся?