Ansible Semaphore升级后密钥解密失败问题分析与解决

问题现象

在使用Docker部署的Ansible Semaphore系统中，当用户从2.9.112版本升级到2.10.7版本后，发现所有模板都无法正常运行，系统报错"Failed to install inventory: cannot decrypt access key, perhaps encryption key was changed"。

问题背景

Ansible Semaphore是一个基于Web的Ansible任务管理界面，它使用加密机制来保护敏感信息如访问密钥。在2.10.x版本中，系统引入了更严格的密钥管理机制，特别是对SEMAPHORE_ACCESS_KEY_ENCRYPTION环境变量的处理方式发生了变化。

根本原因

在2.10.7版本之前，系统可能在没有显式设置SEMAPHORE_ACCESS_KEY_ENCRYPTION环境变量的情况下也能正常工作。但升级后，系统强制要求正确处理这个加密密钥变量。当这个变量被新设置或修改时，会导致系统无法解密之前存储的加密数据。

解决方案

根据社区验证，有以下两种解决方法：

1. 保持加密密钥为空：将SEMAPHORE_ACCESS_KEY_ENCRYPTION环境变量设置为空字符串。这种方法适用于之前没有特别设置加密密钥的情况。

SEMAPHORE_ACCESS_KEY_ENCRYPTION=

2. 使用固定加密密钥：如果你需要保持加密功能，可以设置一个固定的加密密钥值。但请注意，一旦设置后不应更改，否则会导致已加密数据无法解密。

实施建议

1. 在升级前备份数据库和关键配置
2. 测试环境中先验证升级过程
3. 对于生产环境，建议在低峰期进行升级操作
4. 升级后立即验证关键功能是否正常

版本兼容性说明

此问题主要影响从2.9.x升级到2.10.x版本的用户。后续版本(如2.10.8-beta)也存在相同行为。如果回退到2.9.112版本，系统可以恢复正常，但这只是临时解决方案。

最佳实践

对于Ansible Semaphore的密钥管理，建议：

• 在初始部署时就明确设置SEMAPHORE_ACCESS_KEY_ENCRYPTION
• 记录并安全存储加密密钥
• 避免在系统运行后随意更改加密密钥
• 定期测试备份和恢复流程

通过以上措施，可以确保Ansible Semaphore系统的稳定运行和数据安全。