Образовательный проект «SnakeProject» Михаила Козлова

⇒ FreeBSD and Nix ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Бэкап gitlab из pipeline с вводом пароля в sudo

Бэкап gitlab из pipeline с вводом пароля в sudo

Сразу оговоримся, данная задача слегка извращение, чисто для примера

Задача выполнять из gitlab команды ansible с вводом пароля для sudo

На примере синтетической задачи делания ручками бэкапа gitlab

Пользователь gitlab-runner добавлен в группу судо:
adduser gitlab-runner sudo
Обратите внимане, группа при выполнении требует ввод пароля

Занесем в зашифрованный файл пароль gitlab-runner:
ansible-vault create ansible_pass_file
При этом естественно придумайте пароль для открытия и просмотра самого файла

Далее манипуляции при корректном вводе придуманного пароля:
ansible-vault edit ansible_pass_file
ansible-vault view ansible_pass_file

Содержимое в шифрованном виде:
cat ansible_pass_file
$ANSIBLE_VAULT;1.1;AES256
33346265353036663736356135656338836365646164646235646463616138346532396637373766
3266313937303213323030613965393230666662373365110c666137333261626236353666313431
64626430303234386337353032306530363361363537333630336534376434323536353632653465
3863633237653263330b326164653134663566616331363733356366613835376564656466316432
3965

Далее в Gitlab - Settings - CICD - Variables заводим переменную, например:
VAULT_PASS
В нее вводите паоль от шифрованного файла

В репозиторий добавляем 3 файла

Файл в зашифрованном виде с нашим паролем учетки gitlab-runner:
# ansible_pass_file
$ANSIBLE_VAULT;1.1;AES256 33346265353036663736356135656338836365646164646235646463616138346532396637373766 3266313937303213323030613965393230666662373365110c666137333261626236353666313431 64626430303234386337353032306530363361363537333630336534376434323536353632653465 3863633237653263330b326164653134663566616331363733356366613835376564656466316432 3965

Теперь файл пайплайна:
# backup-gitlab.yml
--- - name: Create backup Gitlab hosts: localhost become: true become_user: root tasks: - name: Date debug: msg: "Timestamp: {{ ansible_date_time.iso8601_basic_short }}" - name: Backup GitLab shell: "gitlab-backup create BACKUP={{ ansible_date_time.iso8601_basic_short }}" - name: Delete old backups shell: find /var/opt/gitlab/backups/ -type f -mtime +7 -exec rm -rf {} \;

Файл таков для ансибла:
# .gitlab-ci.yml
stages: - backup backup-gitlab: stage: backup before_script: - echo $VAULT_PASS > VAULT_PASS_FILE - ABP=$(ansible-vault view ansible_pass_file --vault-pass-file VAULT_PASS_FILE) tags: - backup script: #visudo: gitlab-runner ALL=(ALL) NOPASSWD:ALL # - ansible-playbook backup-gitlab.yml #$VAULT_PASS_var_from_settings_ci_cd # - ansible-playbook backup-gitlab.yml --extra-vars "ansible_become_password=$VAULT_PASS" #$VAULT_PASS_var_from_ansible_pass_file_from_repo - ansible-playbook backup-gitlab.yml --extra-vars "ansible_become_password=$ABP" when: manual

Обратите внимание на 2 закоменченных варианта

В судо вариант без ввода пароля, то несекьюрно, но вводить вообще ничего не потребовалось
#visudo: gitlab-runner ALL=(ALL) NOPASSWD:ALL
#     - ansible-playbook backup-gitlab.yml

В переменную VAULT_PASS внесен сразу пароль от учетки gitlab-runner
#$VAULT_PASS_var_from_settings_ci_cd
#     - ansible-playbook backup-gitlab.yml --extra-vars "ansible_become_password=$VAULT_PASS"

Комментарии пользователей