Ansible vault已经在这里被建议了几次，但我更喜欢git-crypt加密我的剧本中的敏感文件。如果你使用git来保存你的ansible playbook，这是一个snap。我发现ansible vault的问题是，我不可避免地会遇到我想要使用的文件的加密副本，在我工作之前必须解密它。git-crypt提供了一个更好的工作流程。

https://github.com/AGWA/git-crypt

使用这个，你可以把你的密码放在你的剧本的var中，并把你的剧本标记为一个加密文件。gitattributes，像这样:

 my_playbook.yml filter=git-crypt diff=git-crypt

你的剧本将在Github上透明加密。然后，您只需要在用于运行ansible的主机上安装加密密钥，或者按照文档上的说明使用gpg进行设置。

这里有一个关于像SSH -agent转发SSH密钥一样转发gpg密钥的很好的问答:https://superuser.com/questions/161973/how-can-i-forward-a-gpg-key-via-ssh-agent。

查看代码(runner/__init__.py)，我认为你可以将其设置在你的库存文件中:

[whatever]
some-host ansible_sudo_pass='foobar'

ansible.cfg配置文件中似乎也有一些规定，但现在还没有实现(constants.py)。

你可以使用ansible vault，它会把你的密码编码成加密的vault。之后，你可以使用变量从金库在剧本。

ansible vault的一些文档: http://docs.ansible.com/playbooks_vault.html

我们使用它作为每个环境的保险库。要编辑vault，我们有如下命令: Ansible-vault编辑库存/生产/group_vars/all/vault

如果你想调用保险库变量，你必须使用ansible-playbook的参数如下: Ansible-playbook -s——vault-password-file=~/.ansible_vault.password

是的，我们存储仓库密码在本地目录明文，但这不是更危险的存储根密码为每个系统。根密码在保险库文件中，或者您可以将它像sudoers文件一样用于您的用户/组。 我建议在服务器上使用sudoers文件。下面是组管理的示例: %admin所有=(所有)NOPASSWD:所有

以上@toast38coza的解决方案对我来说很管用;只是sudo: yes现在在Ansible中被弃用了。 请使用become和become_user。

tasks:
 - name: Restart apache service
   service: name=apache2 state=restarted
   become: yes
   become_user: root

您可以使用sshpass实用程序如下所示，

$ sshpass -p "your pass" ansible pattern -m module -a args \
   -i inventory --ask-sudo-pass

只是一个补充，所以没有人会经历我最近遇到的烦恼:

我相信，最好的解决方案是沿着上面的toast38coza的大致路线。如果将密码文件和剧本静态地绑定在一起是有意义的，那么使用vars_files(或include_vars)遵循他的模板。如果你想让它们分开，你可以在命令行上提供仓库内容，如下所示:

ansible-playbook --ask-vault-pass -e@<PATH_TO_VAULT_FILE> <PLAYBOOK_FILE>

回想起来，这是显而易见的，但这里有一些陷阱:

那个该死的@符号。如果省略它，解析将无声地失败，ansible-playbook将继续进行，就好像您从未指定过该文件一样。 您必须显式地导入保险库的内容，可以使用命令行——extra-vars/-e，也可以在YAML代码中导入。——ask-vault-pass标志本身不做任何事情(除了提示您输入一个稍后可能使用或不使用的值)。

愿你把“@”也写进去，节省一个小时。