Open in app

Sign in

Write

Sign in

Ansible ile Şifre Saklama: Güvenli Otomasyonun Basit Yolu

Şahin Bölükbaşı
4 min readJan 15, 2025

--

Günümüz dijital dünyasında, yazılım geliştirme ve sistem yönetimi süreçleri giderek daha otomatikleşiyor. Bu otomasyonun en popüler araçlarından biri de Ansible. Peki, Ansible nedir ve neden önemlidir? Kısaca özetlemek gerekirse, Ansible, bilgisayar sistemlerinizi yönetmenizi ve yazılımlarınızı dağıtmanızı kolaylaştıran güçlü bir otomasyon aracıdır.

Ancak, otomasyon sürecinde güvenlik her zaman ön planda tutulmalıdır. İşte bu noktada Ansible Vault devreye giriyor. Bu yazımızda, Ansible ile şifre saklamanın ne olduğunu, neden kullanmanız gerektiğini ve geliştirme sürecinde nasıl uygulayabileceğinizi basit bir dille anlatacağız.

Ansible Vault Nedir?

Ansible Vault, Ansible’ın sunduğu bir özelliktir ve temel amacı, otomasyon süreçlerinizde kullandığınız hassas bilgileri (şifreler, API anahtarları vb.) güvenli bir şekilde saklamaktır. Düşünün ki, bir kasanız var ve bu kasayı sadece sizin bildiğiniz bir şifreyle açabiliyorsunuz. Ansible Vault da tam olarak bu şekilde çalışır; gizli bilgilerinizi şifreleyerek korur.

Neden Ansible Vault Kullanmalısınız?

Otomasyon süreçlerinde genellikle veritabanı şifreleri, sunucu erişim bilgileri gibi hassas veriler kullanılır. Bu bilgilerin kötü niyetli kişiler tarafından ele geçirilmesi, büyük güvenlik açıklarına yol açabilir. Ansible Vault kullanarak:

  • Gizli Bilgilerinizi Korursunuz: Şifreleriniz ve diğer hassas verileriniz şifrelenir.
  • Güvenli Paylaşım Sağlarsınız: Takım arkadaşlarınızla güvenli bir şekilde çalışabilirsiniz.
  • Uyumluluğu Sağlarsınız: Güvenlik standartlarına uygun hareket edersiniz.

Ansible Vault Nasıl Kullanılır?

Ansible Vault’u kullanmak oldukça basit ve birkaç adımda gerçekleştirilebilir. İşte temel adımlar:

1. Şifreli Bir Dosya Oluşturma

İlk adım olarak, şifrelemek istediğiniz bilgileri içeren bir dosya oluşturmanız gerekir. Örneğin, veritabanı şifrenizi saklamak için secret.yml adında bir dosya oluşturabilirsiniz.

ansible-vault create secret.yml

Bu komutu çalıştırdığınızda, sizden bir şifre girmeniz istenir. Bu şifreyi hatırlamanız önemlidir çünkü şifreli dosyaları açmak için bu şifreye ihtiyaç duyacaksınız.

2. Var Olan Bir Dosyayı Şifreleme

Eğer halihazırda bir dosyanız varsa ve bunu şifrelemek istiyorsanız, aşağıdaki komutu kullanabilirsiniz:

ansible-vault encrypt mevcut_dosya.yml

3. Şifreli Dosyayı Düzenleme

Şifreli dosyanızı düzenlemek için yine Ansible Vault komutlarını kullanabilirsiniz:

ansible-vault edit secret.yml

Bu komut, dosyayı şifre çözücü bir şekilde açar ve düzenlemenize olanak tanır. Düzenleme işlemi tamamlandığında dosya tekrar şifrelenir.

4. Şifreli Dosyayı Kullanma

Oluşturduğunuz şifreli dosyayı bir Ansible playbook içinde kullanabilirsiniz. Örneğin, veritabanı şifrenizi kullanmak için playbook’unuza şu şekilde ekleyebilirsiniz:

---
- hosts: db_servers
  vars_files:
    - secret.yml
  tasks:
    - name: Veritabanına bağlan
      command: some_command --password {{ db_password }}

Playbook’u çalıştırırken şifreyi girmeniz veya bir şifre dosyası kullanmanız gerekir:

ansible-playbook playbook.yml --ask-vault-pass

Detaylı Bir Kullanım Senaryosu: Web Uygulaması Dağıtımı

Ansible Vault’un gücünü daha iyi anlamak için, basit bir web uygulamasını sunucuya dağıtma sürecini ve bu süreçte şifrelerin nasıl güvenli bir şekilde yönetildiğini ele alalım.

Senaryo

Bir web geliştirici ekibi, MyWebApp adında bir web uygulamasını AWS EC2 sunucularına dağıtmak istiyor. Uygulama, bir PostgreSQL veritabanına bağlanıyor ve veritabanı şifresi gibi hassas bilgilere ihtiyaç duyuyor. Bu bilgileri güvenli bir şekilde yönetmek için Ansible Vault kullanacaklar.

Adım 1: Proje Yapısını Oluşturma

Öncelikle, Ansible projesi için bir dizin yapısı oluşturalım:

mywebapp-deployment/
├── inventory.ini
├── playbook.yml
├── roles/
│   └── webserver/
│       ├── tasks/
│       │   └── main.yml
│       └── templates/
│           └── webapp.conf.j2
└── secrets/
    └── secret.yml

Adım 2: Envanter Dosyasını Hazırlama

inventory.ini dosyasında sunucu bilgilerini belirtelim:

[webservers]
webserver1.example.com
webserver2.example.com
[dbservers]
dbserver1.example.com

Adım 3: Şifreli Dosyayı Oluşturma

Veritabanı şifresini saklamak için secrets/secret.yml dosyasını oluşturalım:

ansible-vault create secrets/secret.yml

Dosyanın içine şu bilgileri ekleyin:

db_password: "GizliVeritabaniSifresi123!"

Adım 4: Playbook Yazımı

playbook.yml dosyasını aşağıdaki gibi oluşturun:

---
- hosts: webservers
  become: yes
  vars_files:
    - secrets/secret.yml
  roles:
    - webserver
- hosts: dbservers
  become: yes
  vars_files:
    - secrets/secret.yml
  tasks:
    - name: PostgreSQL Yükleme
      apt:
        name: postgresql
        state: present
    - name: Veritabanı Kullanıcısı Oluşturma
      postgresql_user:
        name: mywebapp_user
        password: "{{ db_password }}"
        state: present
    - name: Veritabanı Oluşturma
      postgresql_db:
        name: mywebapp_db
        owner: mywebapp_user
        state: present

Adım 5: Web Sunucusu Rolünü Tanımlama

roles/webserver/tasks/main.yml dosyasını oluşturun:

---
- name: Web Sunucusunu Kurma
  apt:
    name: nginx
    state: present
- name: Uygulama Dosyalarını Kopyalama
  copy:
    src: /local/path/to/mywebapp/
    dest: /var/www/mywebapp/
    owner: www-data
    group: www-data
    mode: '0755'
- name: Web Uygulaması Konfigürasyonunu Ayarlama
  template:
    src: webapp.conf.j2
    dest: /etc/nginx/sites-available/mywebapp.conf
- name: Nginx'i Yeniden Başlatma
  service:
    name: nginx
    state: restarted

roles/webserver/templates/webapp.conf.j2 dosyasını aşağıdaki gibi oluşturun:

server {
    listen 80;
    server_name {{ inventory_hostname }};location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Adım 6: Playbook’u Çalıştırma

Oluşturduğunuz playbook’u çalıştırarak dağıtım işlemini başlatabilirsiniz:

ansible-playbook playbook.yml --ask-vault-pass

Komutu çalıştırdığınızda, Ansible Vault şifrenizi girmeniz istenecek ve şifreli dosyalar güvenli bir şekilde kullanılacaktır.

Geliştirme Sürecinde Ansible Vault Nasıl Kullanılır?

Geliştirme yaparken Ansible Vault’u kullanmak, projenizin güvenliğini artırmanın yanı sıra, takımınızın da bu hassas bilgilere güvenli bir şekilde erişmesini sağlar. İşte bazı ipuçları:

  • Şifreleri Kodu İçinde Saklamayın: Şifrelerinizi doğrudan playbook’larınızın içinde yazmak yerine, şifreli dosyalarda saklayın.
  • Versiyon Kontrolü: Şifreli dosyalarınızı Git gibi versiyon kontrol sistemlerinde saklayabilirsiniz. Ancak, Vault şifreleri koruduğu için güvenlidir.
  • Takım İçinde Paylaşım: Takım arkadaşlarınızla şifreli dosyaları paylaşırken, sadece gerekli kişilerin şifreye erişmesini sağlayın.
  • Otomasyon Araçlarıyla Entegrasyon: CI/CD süreçlerinizde Ansible Vault’u entegre ederek, otomatik dağıtımlarınızda güvenliği sağlayın.
  • Şifre Yönetimi: Şifrelerinizi düzenli aralıklarla güncelleyerek güvenliği artırın ve eski şifreleri sistemden kaldırın.

Sonuç

Ansible Vault, otomasyon süreçlerinizde güvenliği sağlamak için vazgeçilmez bir araçtır. Şifrelerinizi ve diğer hassas bilgilerinizi güvenli bir şekilde saklayarak, projelerinizin daha güvenli ve yönetilebilir olmasını sağlar. Ansible kullanıyorsanız ve güvenlik sizin için önemliyse, Ansible Vault’u mutlaka keşfetmelisiniz.

Daha fazla bilgi ve detaylı dokümantasyon için Ansible Vault Belgeleri sayfasını ziyaret edebilirsiniz.

Ansible Playbook
Ansible
DevOps
Security
Development

--

--

Şahin Bölükbaşı
Şahin Bölükbaşı

Written by Şahin Bölükbaşı

21 Followers
6 Following

Software Developer 💻

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams