如果您的问题是每个group_hosts都有未加密和加密的vars文件。

您可以使用此ansible功能：http://docs.ansible.com/ansible/playbooks_best_practices.html#best-practices-for-variables-and-vaults

group_vars/ 
  san_diego/
    vars.yml  # unencrypted yaml file
    vault.yml # encrypted yaml file

Ansible将自动读取vault.yml作为加密的yaml文件。

更新：解决方案below也是很好的解决方案（因为Ansible 2.3）

从Ansible 2.3开始，您可以加密Single Encrypted Variable。 IMO，需要一个演练，因为doco看起来很简洁。

给出一个例子：mysql_password: password123（在main.yml内）

运行如下命令：

ansible-vault encrypt_string password123 --ask-vault-pass

这将产生：

    !vault |
$ANSIBLE_VAULT;1.1;AES256
66386439653236336462626566653063336164663966303231363934653561363964363833
3136626431626536303530376336343832656537303632313433360a626438346336353331
Encryption successful

将其粘贴到您的main.yml中：

mysql_password: !vault |
    $ANSIBLE_VAULT;1.1;AES256
    66386439653236336462626566653063336164663966303231363934653561363964363833
    3136626431626536303530376336343832656537303632313433360a626438346336353331

运行剧本：

不，是的zxsw poi

通过调试验证：

ansible-playbook -i hosts main.yml --ask-vault-pass

在Ansible 2.3的这个时候，可以在一个简单的yaml中包含加密和未加密的变量。加密变量的格式如下：

- debug:
    msg: "mysql Pwd: {{ mysql_password }}"

您可以使用密码或密码文件使用以下语句加密变量：

dbServer: PlainDatabaseServer
dbName: PlainDatabaseName
dbUser: PlainUser
dbPasswd: !vault |
      $ANSIBLE_VAULT;1.1;AES256
      63633363616165656538656537323835343634633063386137353637646663333939623464666437
      6263383933656635316436313934366564316337623435350a386362613838373363393534383232
      39663162363066313431623466363763356466376538613532333731613538373431623239626330
      6463373238366630360a623566616535376339326431363465663431623462356238636333306663
      6439

此语句返回上面的yaml中dbPasswd变量中显示的文本。

要运行使用加密变量的playbook，只需添加以下var：

ansible-vault encrypt_string "dummy" --vault-password-file pass-ansible.txt

或者您可以使用--ask-vault-pass执行相同的操作，在执行playbook时要求您输入密码：

 ansible-playbook playbooks/myplaybook --vault-password-file pass-ansible.txt

你可以做类似的事情。

1. 创建一个密码文件（一行包含您的密码的纯文本文件）
2. 在ansible项目文件夹中创建一个ansible-playbook playbooks/myplaybook --ask-vault-pass ansible.cfg
3. 创建一个剧本文件（例如[defaults] vault_password_file = <path/to/your/password/file> ） playbook.yml
4. 创建一个变量文件（例如 - name: my ansible playbook hosts: 127.0.0.1 vars_files: - 'vars.yml' tasks: - name: print secure variable debug: msg="my secure variable '{{ my_secure_variable }}'"` ） vars.yml
5. 加密变量文件（使用my_secure_variable: "X_my_secret_X" 从ansible项目位置加密） ansible.cfg
6. 运行你的剧本（来自ansible项目位置与ansible-vault encrypt vars.yml ） ansible.cfg

你应该得到类似于的输出：

ansible-playbook -i "localhost," playbook.yml

这取决于您的工作流程。您可以根据Sebastian Stigler的建议使用$ ansible-playbook playbook.yml -i 'localhost,' PLAY [my ansible playbook] **************************************************** GATHERING FACTS *************************************************************** ok: [127.0.0.1] TASK: [print secure variable] ************************************************* ok: [127.0.0.1] => { "msg": "my secure variable 'X_my_secret_X' " } PLAY RECAP ******************************************************************** 127.0.0.1 : ok=2 changed=0 unreachable=0 failed=0 文件，或者如果您想使用库存文件，您只需在库存目录中添加另一个“类似ini”的文件并对其进行加密。

group_vars

然后，在命令行中使用$ mkdir my_inventory/ $ cat >> hosts << EOF [san_diego] host1 host2 [san_francisco] host3 host4 [west_coast] san_diego san_francisco EOF $ cat >> inventory_crypted_vars << EOF [west_coast:vars] db_server=foo.example.com db_host=5432 db_password=top secret password EOF ，或创建一个包含以下内容的本地-i my_inventory/：

ansible.cfg

你应该被设定。 Ansible将在运行时合并这两个文件。

在提交之前使用[defaults] hostfile = ./my_inventory/ 并且你已经设置好了。

您可能需要预提交挂钩以确保您没有提交文件的未加密版本。例如ansible-vault encrypt my_inventory/inventory_crypted_vars会做的伎俩（相应地调整a pre-commit hook like this）。

您可以使用group_vars（请参阅FILES_PATTERN）。

在您的剧本中创建一个名为http://docs.ansible.com/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable的子目录。 在那里，您创建一个名为group_vars的文件，并在其中放入以下条目：

west_coast

然后可以将此文件转换为ansible库。