community.vmware.vcenter_standard_key_provider 模块 – 在 vCenter 服务器上添加、重新配置或删除标准密钥提供程序

注意

此模块是 community.vmware 集合 (版本 5.2.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.vmware

要在 playbook 中使用它,请指定:community.vmware.vcenter_standard_key_provider

概要

  • 此模块用于在 vCenter 服务器上添加、重新配置或删除标准密钥提供程序。有关更多信息,请参阅 VMware 文档:标准密钥提供程序

参数

参数

注释

hostname

字符串

vSphere vCenter 或 ESXi 服务器的主机名或 IP 地址。

如果任务中未指定此值,则将使用环境变量 VMWARE_HOST 的值。

kms_info

列表 / 元素=字典

外部密钥服务器 (KMS) 的信息。

kms_info[].kms_namekms_info[].kms_ip 在添加标准密钥提供程序时是必需的。

如果未指定 kms_info[].kms_port,则将使用默认端口 5696。

kms_info[].kms_ipkms_info[].kms_port 可以为名称为 kms_info[].kms_name 的现有 KMS 重新配置。

默认值: []

kms_ip

字符串

外部 KMS 的 IP 地址。

kms_name

字符串

要配置的 KMS 的名称。

kms_port

整数

外部 KMS 的端口。

remove_kms

布尔值

从 KMIP 集群中删除名称为 kms_info[].kms_name 的已配置 KMS。

选项

  • false

  • true

kms_password

字符串

用于向 KMS 进行身份验证的密码。

kms_username

字符串

用于向 KMS 进行身份验证的用户名。

make_kms_trust_vc

字典

将标准密钥提供程序添加到 vCenter Server 后,您可以建立受信任的连接,具体过程取决于密钥提供程序接受的证书以及贵公司的策略。

这里实现了三种方法:(1)通过 make_kms_trust_vc.upload_client_certmake_kms_trust_vc.upload_client_key 参数上传客户端证书和私钥;(2)通过 make_kms_trust_vc.download_self-signed-cert 参数生成、更新和下载vCenter自签名证书;(3)通过 make_kms_trust_vc.download_client_csr 参数下载生成的证书签名请求 (CSR),将其发送到KMS,然后通过 make_kms_trust_vc.upload_kms_signed_client_csr 参数上传KMS签名的CSR。

此项并非强制设置,如果未设置,请手动前往vCenter设置与KMS的信任连接。

download_client_csr

路径

本地机器上用于保存vCenter生成的CSR的绝对路径。

然后使用 make_kms_trust_vc.upload_kms_signed_client_csr 将KMS签名的CSR上传到vCenter。

download_self_signed_cert

路径

本地机器上用于保存vCenter生成的客户端自签名证书的绝对路径。

upload_client_cert

路径

客户端证书的绝对文件路径。

向KMS供应商请求证书和私钥。文件为PEM格式的X509文件。

KMS服务器可能已经信任该证书。

upload_client_key

路径

要与 make_kms_trust_vc.upload_client_cert 一起上传的客户端私钥的绝对文件路径。

upload_kms_signed_client_csr

路径

make_kms_trust_vc.download_client_csr 下载的KMS签名的CSR的绝对文件路径。

mark_default

布尔值

将名称为 name 的指定密钥提供程序设置为默认密钥提供程序。

如果新添加的密钥提供程序是vCenter中唯一的密钥提供程序,则添加后会将其标记为默认值。

选项

  • false ← (默认)

  • true

name

字符串 / 必需

要添加到vCenter、重新配置或从中删除的密钥提供程序的名称。

密码

别名:pass,pwd

字符串

vSphere vCenter或ESXi服务器的密码。

如果任务中未指定此值,则将使用环境变量 VMWARE_PASSWORD 的值。

端口

整数

vSphere vCenter或ESXi服务器的端口号。

如果任务中未指定此值,则将使用环境变量 VMWARE_PORT 的值。

默认值: 443

proxy_host

字符串

将接收所有HTTPS请求并转发它们的代理的地址。

格式为主机名或IP地址。

如果任务中未指定此值,则将使用环境变量 VMWARE_PROXY_HOST 的值。

proxy_port

整数

代理服务器的端口。

proxy_server

字符串

连接到KMS的代理服务器地址。

状态

字符串

如果设置为 absent,则将从vCenter中删除指定的密钥提供程序。

如果设置为 present,则将重新配置指定的密钥提供程序或添加新的密钥提供程序。

选项

  • "present" ← (默认)

  • "absent"

用户名

别名:admin,user

字符串

vSphere vCenter或ESXi服务器的用户名。

如果任务中未指定此值,则将使用环境变量 VMWARE_USER 的值。

validate_certs

布尔值

允许在SSL证书无效时连接。当证书不受信任时,将其设置为 false

如果任务中未指定此值,则将使用环境变量 VMWARE_VALIDATE_CERTS 的值。

选项

  • false

  • true ← (默认)

备注

注意

  • 所有模块都需要API写入访问权限,因此不受免费ESXi许可证的支持。

  • 所有变量和VMware对象名称都区分大小写。

示例

- name: Add a new Standard Key Provider with client certificate and private key
  community.vmware.vcenter_standard_key_provider:
    hostname: "{{ vcenter_hostname }}"
    username: "{{ vcenter_username }}"
    password: "{{ vcenter_password }}"
    name: 'test_standard_kp'
    state: 'present'
    mark_default: true
    kms_info:
      - kms_name: test_kms_1
        kms_ip: 192.168.1.10
    make_kms_trust_vc:
      upload_client_cert: "/tmp/test_cert.pem"
      upload_client_key: "/tmp/test_cert_key.pem"
  register: add_skp_result

- name: Remove the KMS from the key provider cluster
  community.vmware.vcenter_standard_key_provider:
    hostname: "{{ vcenter_hostname }}"
    username: "{{ vcenter_username }}"
    password: "{{ vcenter_password }}"
    name: 'test_standard_kp'
    state: 'present'
    kms_info:
      - kms_name: test_kms_1
        remove_kms: true
  register: remove_kms_result

- name: Remove the Standard Key Provider
  community.vmware.vcenter_standard_key_provider:
    hostname: "{{ vcenter_hostname }}"
    username: "{{ vcenter_username }}"
    password: "{{ vcenter_password }}"
    name: 'test_standard_kp'
    state: 'absent'
  register: remove_kp_result

返回值

常用的返回值已在此处记录,以下是此模块特有的字段

描述

key_provider_clusters

列表 / 元素=字符串

密钥提供程序集群信息

返回:始终

示例: [{"has_backup": null, "key_id": null, "key_provide_id": "test_standard", "management_type": null, "servers": [{"address": "192.168.1.10", "name": "test_kms", "port": 5696, "protocol": "", "proxy": "", "proxy_port": null, "user_name": ""}], "tpm_required": null, "use_as_default": true}]

作者

  • Diane Wang (@Tomorrow9)