我在这个问题上撕了我的头发，现在我找到了一个解决方案，这是我想要的:

每台主机1个加密文件，包含sudo密码

/etc/ansible/hosts:

[all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa

[some_service_group]
node-0
node-1

然后为每个主机创建一个加密的var文件，如下所示:

ansible-vault create /etc/ansible/host_vars/node-0

与内容

ansible_sudo_pass: "my_sudo_pass_for_host_node-0"

如何组织保险库密码(通过——ask-vault-pass输入)或CFG由您决定

基于此，我怀疑你可以加密整个hosts文件…

非常简单，只需在变量file中添加:

例子:

$ vim group_vars/all

加上这些:

Ansible_connection: ssh
Ansible_ssh_user: rafael
Ansible_ssh_pass: password123
Ansible_become_pass: password123

我不认为ansible会让你在标志中指定密码，因为你希望这样做。 可能在配置的某个地方可以设置这个，但这将使使用ansible整体不太安全，不建议使用。

您可以做的一件事是在目标计算机上创建一个用户，并向其授予所有命令或受限制的命令列表的无密码sudo特权。

如果你运行sudo visudo并输入如下一行，那么用户'privilegedUser'在运行sudo service xxxx start时应该不需要输入密码:

%privilegedUser ALL= NOPASSWD: /usr/bin/service

查看代码(runner/__init__.py)，我认为你可以将其设置在你的库存文件中:

[whatever]
some-host ansible_sudo_pass='foobar'

ansible.cfg配置文件中似乎也有一些规定，但现在还没有实现(constants.py)。

如果你愿意将密码保存在纯文本文件中，另一种选择是使用带有——extra-vars参数的JSON文件(确保将该文件排除在源代码控制之外):

ansible-playbook --extra-vars "@private_vars.json" playbook.yml 

Ansible从1.3开始就支持这个选项。

文档强烈建议不要将sudo密码设置为明文:

提醒一下，密码永远不应该以纯文本的形式存储。有关使用Ansible Vault加密您的密码和其他秘密的信息，请参见使用Ansible Vault加密内容。

相反，当运行ansible-playbook时，你应该在命令行上使用——ask-become-pass

之前版本的Ansible使用——ask-sudo-pass和sudo来代替become。