只是一个补充，所以没有人会经历我最近遇到的烦恼:

我相信，最好的解决方案是沿着上面的toast38coza的大致路线。如果将密码文件和剧本静态地绑定在一起是有意义的，那么使用vars_files(或include_vars)遵循他的模板。如果你想让它们分开，你可以在命令行上提供仓库内容，如下所示:

ansible-playbook --ask-vault-pass -e@<PATH_TO_VAULT_FILE> <PLAYBOOK_FILE>

回想起来，这是显而易见的，但这里有一些陷阱:

那个该死的@符号。如果省略它，解析将无声地失败，ansible-playbook将继续进行，就好像您从未指定过该文件一样。 您必须显式地导入保险库的内容，可以使用命令行——extra-vars/-e，也可以在YAML代码中导入。——ask-vault-pass标志本身不做任何事情(除了提示您输入一个稍后可能使用或不使用的值)。

愿你把“@”也写进去，节省一个小时。

我不认为ansible会让你在标志中指定密码，因为你希望这样做。 可能在配置的某个地方可以设置这个，但这将使使用ansible整体不太安全，不建议使用。

您可以做的一件事是在目标计算机上创建一个用户，并向其授予所有命令或受限制的命令列表的无密码sudo特权。

如果你运行sudo visudo并输入如下一行，那么用户'privilegedUser'在运行sudo service xxxx start时应该不需要输入密码:

%privilegedUser ALL= NOPASSWD: /usr/bin/service

查看代码(runner/__init__.py)，我认为你可以将其设置在你的库存文件中:

[whatever]
some-host ansible_sudo_pass='foobar'

ansible.cfg配置文件中似乎也有一些规定，但现在还没有实现(constants.py)。

你可以在命令行通过——extra-vars "name=value"传递变量。Sudo密码变量为ansible_sudo_pass。所以你的命令看起来像这样:

ansible-playbook playbook.yml -i inventory.ini --user=username \
                              --extra-vars "ansible_sudo_pass=yourPassword"

2017年更新:Ansible 2.2.1.0现在使用var ansible_become_pass。两种方法似乎都有效。

2021年更新:ansible_become_pass仍然有效，但现在，我们应该使用-e而不是——extra-vars

只要提示其他解决方案。 你可以设置你的ansible用户在没有密码的情况下运行sudo(这是GCP虚拟机的默认设置)

sudo visudo

添加行(tom是用户):

tom ALL=(ALL) NOPASSWD:ALL

您可以使用sshpass实用程序如下所示，

$ sshpass -p "your pass" ansible pattern -m module -a args \
   -i inventory --ask-sudo-pass