利用角色简化playbook
一、描述角色结构
1. 利用角色构造ansible playbook
角色(roles)是指某一段写好的通用的playbook代码。
- 通用简单角色:所有的角色,不管在哪里做都是一样的,不会发生改变。
- 不通用的用户数据、项目数据、业务数据,是针对不同用户,项目和业务的。
Ansible角色提供了一种方法,让用户能以通用的方式更加轻松地重复利用Ansible代码。我们可以在标准化目录结构中打包所有任务、变量、文件、模板,以及调配基础架构或部署应用所需的其他资源。只需通过复制相关的目录,将角色从一个项目复制到另一个项目。然后,只需从一个play调用该角色就能执行它。
Ansible角色具有下列优点:
- 角色可以分组内容,从而与他人轻松共享代码
- 可以编写角色来定义系统类型的基本要素:Web服务器、数据库服务器、Git存储库,或满足其他用途
- 角色使得较大型项目更容易管理
- 角色可以由不同的管理员并行开发(各自开发各自的,要用的时候包含进来或者列出来就可以了)
注意:除了自行编写、使用、重用和共享角色外,还可以从其他来源获取角色。
一些角色已包含在rhel-system-roles软件包中,用户也可以从Ansible Galaxy网站获取由社区提供支持的许多角色
2. 检查ansible角色结构
Ansible角色由子目录和文件的标准化结构定义。顶级目录定义角色本身的名称。文件整理到子目录中,子目录按照各个文件在角色中的用途进行命名,如tasks和handlers。files和templates子目录中包含由其他YAML文件中的任务引用的文件。
site.yml
webservers.yml
fooservers.yml
roles/ //角色
common/ //通用的角色
tasks/ //任务
handlers/ //处理程序
files/ //文件
templates/ //模板
vars/ //变量
defaults/ //默认的
meta/
webservers/ //部署网站的角色
tasks/
defaults/
meta/
user.example角色的目录结构
[root@ansible roles]# tree user.example/
user.example/ //角色的名字
├── defaults //表示默认值的变量,没穿新的参数才会用到,传了新的参数就会被覆盖
│ └── main.yml //变量文件,写各种变量的默认值。main:主程序
├── files //放安装包、配置文件、脚本之类的
├── handlers //放处理程序
│ └── main.yml //写处理程序
├── meta
│ └── main.yml
├── README.md //说明文档
├── tasks //任务
│ └── main.yml //任务文件
├── templates //模板文件,带上.j2后缀
├── tests
│ ├── inventory
│ └── test.yml
└── vars //变量
└── main.yml //变量文件,变量:变量的值
Ansible角色子目录和功能
| 子目录 | 功能 |
|---|---|
| defaults | 此目录中的main.yml文件包含角色变量的默认值,使用角色时可以覆盖这些默认值。 这些变量的优先级较低,应该在play中更改和自定义。 |
| files | 此目录包含由角色任务引用的静态文件。 |
| handlers | 此目录中的main.yml文件包含角色的处理程序定义。 |
| meta | 此目录中的main.yml文件包含与角色相关的信息,如作者、许可证、平台和可选的角色依赖项。 |
| tasks | 此目录中的main.yml文件包含角色的任务定义。 |
| templates | 此目录包含由角色任务引用的Jinja2模板。 |
| tests | 此目录可以包含清单和名为test.yml的playbook,可用于测试角色。 |
| vars | 此目录中的main.yml文件定义角色的变量值。这些变量通常用于角色内部用途。 这些变量的优先级较高,在playbook中使用时不应更改。如果你定义的变量的值不想被别人修改的话,就写到vars里面。如果希望别人可以更改的话,就写到default里面。 |
并非每个角色都拥有所有这些目录。
3. 定义变量和默认值
角色变量通过在角色目录层次结构中创建含有键值对的vars/main.yml文件来定义。与其他变量一样,这些角色变量在角色YAML文件中引用:{{ VAR_NAME }}。这些变量具有较高的优先级,无法被清单变量覆盖。这些变量旨在供角色的内部功能使用。
默认变量允许为可在play中使用的变量设置默认值,以配置角色或自定义其行为。它们通过在角色目录层次结构中创建含有键值对的defaults/main.yml文件来定义。默认变量具有任何可用变量中最低的优先级。它们很容易被包括清单变量在内的任何其他变量覆盖。这些变量旨在让用户在编写使用该角色的play时可以准确地自定义或控制它将要执行的操作。它们可用于向角色提供所需的信息,以正确地配置或部署某些对象。
在vars/main.yml或defaults/main.yml中定义具体的变量,但不要在两者中都定义。有意要覆盖变量的值时,应使用默认变量。
注意:
角色不应该包含特定于站点的数据(例如网站的内容,网站的用户和密码,数据库的ip、密码、用户)。它们绝对不应包含任何机密,如密码或私钥。
这是因为角色应该是通用的,可以重复利用并自由共享。特定于站点的详细信息不应硬编码(写死)到角色中。角色代码不可改
机密应当通过其他途径提供给角色。这是用户可能要在调用角色时设置角色变量的一个原因。play中设置的角色变量可以提供机密,或指向含有该机密的Ansible Vault加密文件。
4. 在playbook中使用ansible角色
对于每个指定的角色,角色任务、角色处理程序、角色变量和角色依赖项将按照顺序导入到playbook中。角色中的任何copy、script、template或include_tasks/import_tasks任务都可引用角色中相关的文件、模板或任务文件,且无需相对或绝对路径名称。Ansible将分别在角色的files、templates或tasks子目录中寻找它们。
如果使用roles部分将角色导入到play中,这些角色会在用户为该play定义的任何任务之前运行。
5. 控制执行顺序
对于playbook中的每个play,任务按照任务列表中的顺序来执行。执行完所有任务后,将执行任务通知的处理程序。
在角色添加到play中后,角色任务将添加到任务列表的开头。如果play中包含第二个角色,其任务列表添加到第一个角色之后。
角色处理程序添加到play中的方式与角色任务添加到play中相同。每个play定义一个处理程序列表。角色处理程序先添加到处理程序列表,后跟play的handlers部分中定义的任何处理程序。
在某些情形中,可能需要在角色之前执行一些play任务。若要支持这样的情形,可以为play配置pre_tasks部分。列在此部分中的所有任务将在执行任何角色之前执行。如果这些任务中有任何一个通知了处理程序,则这些处理程序任务也在角色或普通任务之前执行。
此外,play也支持post_tasks关键字。这些任务在play的普通任务和它们通知的任何处理程序运行之后执行。
[root@ansible playbook]# cat sx.yml
- name: Play to illustrate order of execution
hosts: 'apache'
vars:
timesync_ntp_servers:
- hostname: time1.aliyun.com //时间同步服务器
iburst: yes
power: true //定义变量
pre_tasks:
- debug:
msg: 'pre-task'
changed_when: power //什么时候让它发生改变,变成changed状态,让它触发
notify: my handler
roles:
- timesync
tasks:
- debug:
msg: 'first task'
changed_when: power
notify: my handler
post_tasks:
- debug:
msg: 'post-task'
changed_when: power
notify: my handler
handlers:
- name: my handler
debug:
msg: Running my handler
[root@ansible ansible]# ansible-playbook playbook/sx.yml
PLAY [Play to illustrate order of execution] ******************************************************************************
TASK [Gathering Facts] ****************************************************************************************************
ok: [192.168.47.129]
TASK [debug] **************************************************************************************************************
changed: [192.168.47.129] => {
"msg": "pre-task"
}
RUNNING HANDLER [my handler] **********************************************************************************************
ok: [192.168.47.129] => {
"msg": "Running my handler"
}
TASK [timesync : Check if only NTP is needed] *****************************************************************************
ok: [192.168.47.129]
TASK [timesync : Check if single PTP is needed] ***************************************************************************
skipping: [192.168.47.129]
.....................
在上例中,每个部分中都执行debug任务来通知my handler处理程序。my handler任务执行了三次:
在执行了所有pre_tasks任务后
在执行了所有角色任务和tasks部分中的任务后
在执行了所有post_tasks后
除了将角色包含在play的roles部分中外,也可以使用普通任务将角色添加到play中。使用include_role模块可以动态包含角色,使用import_role模块则可静态导入角色。
二、利用系统角色重用内容
1. 红帽企业Linux系统角色
自RHEL7.4开始,操作系统随附了多个Ansible角色,作为rhel-system-roles软件包的一部分。在RHEL8中,该软件包可以从AppStream中获取。
RHEL系统角色
| 名称 | 状态 | 角色描述 |
|---|---|---|
| rhel-system-roles.kdump | 全面支持 | 配置kdump崩溃恢复服务 |
| rhel-system-roles.network | 全面支持 | 配置网络接口 |
| rhel-system-roles.selinux | 全面支持 | 配置和管理SELinux自定义, 包括SELinux模式、文件和端口上下文、 布尔值设置以及SELinux用户 |
| rhel-system-roles.timesync | 全面支持 | 使用网络时间协议或精确时间协议配置时间同步 |
| rhel-system-roles.postfix | 技术预览 | 使用Postfix服务将每个主机配置为邮件传输代理 |
| rhel-system-roles.firewall | 开发中 | 配置主机的防火墙 |
| rhel-system-roles.tuned | 开发中 | 配置tuned服务,以调优系统性能 |
2. 简化配置管理
举例而言,RHEL7的建议时间同步服务为chronyd服务。但在RHEL6中,建议的服务为ntpd服务。在混合了RHEL6和7主机的环境中,管理员必须管理这两个服务的配置文件。
借助RHEL系统角色,管理员不再需要维护这两个服务的配置文件。管理员可以使用rhel-system-roles.timesync角色来配置RHEL6和7主机的时间同步。一个包含角色变量的简化YAML文件可以为这两种类型的主机定义时间同步配置。
3. 安装RHEL系统角色
RHEL系统角色由rhel-system-roles软件包提供,该软件包可从AppStream流获取。在Ansible控制节点上安装该软件包。
安装RHEL系统角色
[root@ansible ~]# yum -y install rhel-system-roles
安装后,RHEL系统角色位于/usr/share/ansible/roles目录中:
[root@ansible ~]# cd /usr/share/ansible/roles/
[root@ansible roles]# ls
linux-system-roles.kdump rhel-system-roles.kdump
linux-system-roles.network rhel-system-roles.network
linux-system-roles.postfix rhel-system-roles.postfix
linux-system-roles.selinux rhel-system-roles.selinux
linux-system-roles.storage rhel-system-roles.storage
linux-system-roles.timesync rhel-system-roles.timesync
红帽企业Linux中的默认roles_path在路径中包含/usr/share/ansible/roles,因此在playbook引用这些角色时Ansible可以很轻松的找到它们。
注意:
如果在当前Ansible配置文件中覆盖了roles_path,设置了环境变量ANSIBLE_ROLES_PATH,或者roles_path中更早列出的目录下存在另一个同名的角色,则Ansible可能无法找到系统角色。
4. 访问RHEL系统角色的文档
[root@ansible playbook]# mkdir roles
[root@ansible playbook]# cd roles/
[root@ansible roles]# cp -a /usr/share/ansible/roles/rhel-system-roles.timesync timesync
[root@ansible roles]# ls
timesync
[root@ansible roles]# ll
总用量 0
drwxr-xr-x. 11 root root 187 8月 4 21:53 timesync
安装后,RHEL系统角色的文档位于**/usr/share/doc/rhel-system-roles-/目录中。
每个角色的文档目录均包含一个README.md**文件。README.md文件含有角色的说明,以及角色用法信息。
README.md文件也会说明影响角色行为的角色变量。通常,README.md文件中含有一个playbook代码片段,用于演示常见配置场景的变量设置。
部分角色文档目录中含有示例playbook。首次使用某一角色时,请查看文档目录中的任何额外示例playbook。
RHEL系统角色的角色文档与Linux系统角色的文档相匹配。使用Web浏览器来访问位于Ansible Galaxy网站https://galaxy.ansible.com/docs/上的角色文档。
5. 时间同步角色示例
假设需要在服务器上配置NTP时间同步。我们可以自行编写自动化来执行每一个必要的任务。但是,RHEL系统角色中有一个可以执行此操作角色,那就是rhel-system-roles.timesync。
该角色的详细记录位于**/usr/share/doc/rhel-system-roles/timesync目录下的README.md**中。此文件说明了影响角色行为的所有变量,还包含演示了不同时间同步配置的三个playbook代码片段。
为了手动配置NTP服务器,该角色具有一个名为timesync_ntp_servers的变量。此变量取一个要使用的NTP服务器的列表作为值。列表中的每一项均由一个或多个属性构成。
timesync_ntp_servers属性与用途
hostname:要与其同步的NTP服务器的主机名。
iburst:一个布尔值,用于启用或禁用快速初始同步。在角色中默认为no,但通常应该将属性设为yes.
使用rhel-system-roles.timesync角色将受管主机配置为利用快速初始同步从三个NTP服务器获取时间
[root@ansible playbook]# cat time.yml
---
- hosts: apache
vars:
timesync_ntp_servers:
- hostname: time1.aliyun.com //时间同步的服务器
iburst: yes
roles:
- timesync
[root@ansible playbook]# ansible-playbook time.yml
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [timesync : Check if only NTP is needed] **********************************
ok: [192.168.47.129]
TASK [timesync : Check if single PTP is needed] ********************************
skipping: [192.168.47.129]
TASK [timesync : Check if both NTP and PTP are needed] *************************
skipping: [192.168.47.129]
//执行之前
[root@apache ~]# date
1988年 08月 18日 星期四 18:00:03 CDT
//执行之后
[root@apache ~]# date
2021年 08月 04日 星期三 22:10:24 CST
[root@apache ~]# rpm -qa|grep chrony
chrony-3.5-1.el8.x86_64
[root@apache ~]# ls /etc/chrony.conf
/etc/chrony.conf
[root@apache ~]# cat /etc/chrony.conf
# Ansible managed
server time1.aliyun.com iburst
# Allow the system clock to be stepped in the first three updates.
makestep 1.0 3
# Enable kernel synchronization of the real-time clock (RTC).
rtcsync
# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift
6. SELINUX角色示例
如果想要用selinux角色,前提是selinux服务要打开
rhel-system-roles.selinux角色可以简化SELinux配置设置的管理。它通过利用SELinux相关的Ansible模块来实施。与自行编写任务相比,使用此角色的优势是它能让用户摆脱编写这些任务的职责。取而代之,用户将为角色提供变量以对其进行配置,且角色中维护的代码将确保应用用户需要的SELinux配置。
此角色可以执行的任务包括:
- 设置enforcing或permissive模式
- 对文件系统层次结构的各部分运行restorecon
- 设置SELinux布尔值
- 永久设置SELinux文件上下文
- 设置SELinux用户映射
7. 调用SELinux角色
有时候,SELinux角色必须确保重新引导受管主机,以便能够完整应用其更改。但是,它本身从不会重新引导主机。selinux模块不具备重启功能。如此一来,用户便可以控制重新引导的处理方式。
其工作方式为,该角色将一个布尔值变量selinux_reboot_required设为True,如果需要重新引导,则失败。你可以使用block/rescure结构来从失败中恢复,具体操作为:如果该变量未设为true,则让play失败,如果值是true,则重新引导受管主机并重新运行该角色。
8. 配置SELinux角色
用于配置rhel-system-roles.selinux角色的变量的详细记录位于其README.md文件中。以下示例演示了使用此角色的一些方法。
[root@ansible ansible]# cp -a /usr/share/ansible/roles/rhel-system-roles.selinux playbook/roles/selinux
[root@ansible ansible]# cat playbook/test.yml
---
- hosts: apache
vars:
selinux_state: disabled //selinux_state变量设置SELinux的运行模式。它可以设为enforcing、permissive或disabled。如果未设置,则不更改模式。
tasks:
- name: selinux
block:
- include_role: //包含的角色
name: selinux
rescue:
- name: if failed reason require reboot //失败的原因是需要重启
fail:
when: not selinux_reboot_required //如果这个变量不存在或没有被定义
- name: reboot
reboot:
- name: config selinux
include_role: //包含角色
name: selinux
[root@ansible playbook]# ansible-playbook test.yml
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [include_role : selinux] **************************************************
TASK [selinux : Install SELinux python2 tools] *********************************
skipping: [192.168.47.129]
TASK [selinux : Install SELinux python3 tools] *********************************
ok: [192.168.47.129]
TASK [selinux : refresh facts] *************************************************
ok: [192.168.47.129]
//执行之前selinux状态为disabled
[root@apache ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
//执行之后selinux状态为Enforcing
[root@apache ~]# getenforce
Enforcing
9. 配置SELinux角色
selinux_ports变量取应当具有特定SELinux类型的端口的列表作为值。
[root@ansible playbook]# cp test.yml httpd.yml
[root@ansible files]# scp 192.168.47.129:/etc/httpd/conf/httpd.conf httpd.conf.j2
httpd.conf 100% 12KB 11.8MB/s 00:00
[root@ansible files]# vim httpd.conf.j2
44 #Listen 12.34.56.78:80
45 Listen {{ PORT }}
[root@apache ~]# semanage port -l|grep http //确保没有82端口,如果有给它删掉
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@ansible playbook]# cat httpd.yml
---
- hosts: apache
vars:
selinux_state: enforcing
selinux_ports: //加入规则
- ports: '82'
setype: 'http_port_t'
proto: 'tcp'
state: 'present'
PORT: 82 //通过传变量的方式
tasks:
- name: install httpd
yum:
name: httpd
state: present
- name: config httpd
template:
src: files/httpd.conf.j2
dest: /etc/httpd/conf/httpd.conf
- name: selinux for httpd
block:
- include_role:
name: selinux
rescue:
- name: if failed reason require reboot
fail:
when: not selinux_reboot_required
- name: reboot
reboot:
- name: config selinux
include_role:
name: selinux
- name: service for httpd
service:
name: httpd
state: started
enabled: yes
[root@ansible ansible]# ansible-playbook playbook/httpd.yml
PLAY [apache] *************************************************************************************************************
TASK [Gathering Facts] ****************************************************************************************************
ok: [192.168.47.129]
TASK [install httpd] ******************************************************************************************************
ok: [192.168.47.129]
TASK [config httpd] *******************************************************************************************************
ok: [192.168.47.129]
TASK [include_role : selinux] *********************************************************************************************
TASK [selinux : Install SELinux python2 tools] ****************************************************************************
skipping: [192.168.47.129]
TASK [selinux : Install SELinux python3 tools] ****************************************************************************
ok: [192.168.47.129]
TASK [selinux : refresh facts] ********************************************************************************************
ok: [192.168.47.129]
TASK [selinux : Install SELinux tool semanage on Fedora] ******************************************************************
ok: [192.168.47.129]
TASK [selinux : Set permanent SELinux state if enabled] *******************************************************************
ok: [192.168.47.129]
[root@apache ~]# semanage port -l|grep http // 过滤
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 82, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@apache ~]# ss -antl //查看端口号
LISTEN 0 128 *:82 *:*
[root@apache ~]# grep 82 /etc/httpd/conf/httpd.conf
Listen 82
selinux打开状态下访问,默认情况下打开是访问不了的,现在可以访问是因为加了82端口放行了
方法二:定义变量的地方可以引用另外一个变量
[root@ansible playbook]# cat httpd.yml
---
- hosts: apache
vars:
selinux_state: enforcing
selinux_ports:
- ports: '{{ port }}' //或在定义变量的地方去使用变量
setype: 'http_port_t'
proto: 'tcp'
state: 'present'
port: 83
tasks:
- name: install httpd
yum:
name: httpd
state: present
- name: config httpd
template:
src: files/httpd.conf.j2
dest: /etc/httpd/conf/httpd.conf
notify: restart httpd //一旦发生改变,通知重启httpd服务
- name: selinux for httpd
block:
- include_role:
name: selinux
rescue:
- name: if failed reason require reboot
fail:
when: not selinux_reboot_required
- name: reboot
reboot:
- name: config selinux
include_role:
name: selinux
- name: service for httpd
service:
name: httpd
state: started
enabled: yes
handlers:
- name: restart httpd
service:
name: httpd
state: restarted
[root@ansible playbook]# ansible-playbook httpd.yml
[WARNING]: Found variable using reserved name: port
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [install httpd] ***********************************************************
ok: [192.168.47.129]
TASK [config httpd] ************************************************************
ok: [192.168.47.129]
TASK [include_role : selinux] **************************************************
TASK [selinux : Install SELinux python2 tools] *********************************
skipping: [192.168.47.129]
TASK [selinux : Install SELinux python3 tools] *********************************
ok: [192.168.47.129]
TASK [selinux : refresh facts] *************************************************
ok: [192.168.47.129]
TASK [selinux : Install SELinux tool semanage on Fedora] ***********************
ok: [192.168.47.129]
TASK [selinux : Set permanent SELinux state if enabled] ************************
ok: [192.168.47.129]
TASK [selinux : Set permanent SELinux state if disabled] ***********************
skipping: [192.168.47.129]
TASK [selinux : Set ansible facts if needed] ***********************************
ok: [192.168.47.129]
TASK [selinux : Fail if reboot is required] ************************************
skipping: [192.168.47.129]
TASK [selinux : debug] *********************************************************
skipping: [192.168.47.129]
TASK [selinux : Drop all local modifications] **********************************
skipping: [192.168.47.129]
TASK [selinux : Purge all SELinux boolean local modifications] *****************
skipping: [192.168.47.129]
[root@apache ~]# semanage port -l|grep http
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 83, 82, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@apache ~]# ss -antl //必须重启服务后才会改变
LISTEN 0 128 *:83 *:*
[root@apache ~]# grep 83 /etc/httpd/conf/httpd.conf
Listen 83
三、创建角色
之前使用的角色是通过安装一个系统包,通过红帽系统提供的一个安装包得来的。角色可以做成一个rpm包,但是自己做的时候没必要做成rpm包,因为我们写的时候是写的一个文件,直接把文件打包就可以,在哪个地方用直接复制过去,直接解压就可以了。
**角色的来源 **
- 发行商制作(企业)
- 自己制作
- 第三方制作
角色创建流程
在Ansible中创建角色不需要特别的开发工具。创建和使用角色包含三个步骤:
- 创建角色目录结构
- 定义角色内容
- 在playbook中使用角色
1. 创建角色目录结构
默认情况下,Ansible在Ansible Playbook所在目录的roles子目录中查找角色。这样,用户可以利用playbook和其他支持文件存储角色。
如果Ansible无法在该位置找到角色,它会按照顺序在Ansible配置设置roles_path所指定的目录中查找。此变量包含要搜索的目录的冒号分隔列表。此变量的默认值为:
~/.ansible/roles:/usr/share/ansible/roles:/etc/ansible/roles
这允许用户将角色安装到由多个项目共享的系统上。例如,用户可能将自己的角色安装在自己的主目录下的~/.ansible/roles子目录中,而系统可能将所有用户的角色安装在/usr/share/ansible/roles目录中。
每个角色具有自己的目录,采用标准化的目录结构。例如,以下目录结构包含了定义motd角色的文件。
[root@localhost ~]# tree roles/
roles/
└── motd
├── defaults
│ └── main.yml
├── files
├── handlers
├── meta
│ └── main.yml
├── tasks
│ └── main.yml
└── templates
└── motd.j2
README.md提供人类可读的基本角色描述、有关如何使用该角色的文档和示例,以及其发挥作用所需要满足的任何非Ansible要求。
meta子目录包含一个main.yml文件,该文件指定有关模块的作者、许可证、兼容性和依赖项的信息。
files子目录包含固定内容的文件,而templates子目录则包含使用时可由角色部署的模板。
其他子目录中可以包含main.yml文件,它们定义默认的变量值、处理程序、任务、角色元数据或变量,具体取决于所处的子目录。
如果某一子目录存在但为空,如本例中的handlers,它将被忽略。如果某一角色不使用功能,则其子目录可以完全省略。
2. 创建角色框架
可以使用标准Linux命令创建新角色所需的所有子目录和文件。此外,也可以通过命令行实用程序来自动执行新角色创建过程。
方法一:通过系统命令的方式直接来创建
// 手动创建角色结构的目录的一种方式(很麻烦)
[root@ansible roles]# mkdir -p httpd/{defaults,vars,templates,files,tasks,handlers}
[root@ansible roles]# tree httpd/
httpd/
├── defaults
├── files
├── handlers
├── tasks
├── templates
└── vars
6 directories, 0 files
[root@ansible roles]# touch httpd/{defaults/main.yml,vars/main.yml}
[root@ansible roles]# tree httpd/
httpd/
├── defaults
│ └── main.yml
├── files
├── handlers
├── tasks
├── templates
└── vars
└── main.yml
6 directories, 2 files
ansible-galaxy命令行工具可用于管理Ansible角色,包括新角色的创建。用户可以运行ansible-galaxy init来创建新角色的目录结构。指定角色的名称作为命令的参数,该命令在当前工作目录中为新角色创建子目录。
方法二: 通过ansible-galaxy命令创建角色
//自动创建
[root@ansible roles]# ansible-galaxy init httpd //用ansible-galaxy init初始化一个角色叫httpd
- Role httpd was created successfully
[root@ansible roles]# ls
httpd selinux timesync
[root@ansible roles]# tree httpd/
httpd/
├── defaults
│ └── main.yml
├── files
├── handlers
│ └── main.yml
├── meta
│ └── main.yml
├── README.md
├── tasks
│ └── main.yml
├── templates
├── tests
│ ├── inventory
│ └── test.yml
└── vars
└── main.yml
8 directories, 8 files
3. 定义角色内容
创建目录结构后,用户必须编写角色的内容。ROLENAME/tasks/main.yml任务文件是一个不错的起点,它是由角色运行的主要任务列表。
[root@ansible roles]# tree httpd/
httpd/
├── defaults
│ └── main.yml //写了port端口号
├── files
├── handlers
│ └── main.yml //写了处理程序,重启服务
├── meta
│ └── main.yml
├── README.md
├── tasks
│ └── main.yml //安装与配置
├── templates
│ └── httpd.conf.j2 //模板文件
├── tests
│ ├── inventory
│ └── test.yml
└── vars
└── main.yml
8 directories, 9 files
[root@ansible httpd]# cd templates/
[root@ansible templates]# cp /etc/ansible/playbook/files/httpd.conf.j2 .
[root@ansible templates]# ls
httpd.conf.j2
[root@ansible httpd]# cat defaults/main.yml
---
# defaults file for httpd
port: 80
[root@ansible httpd]# cat handlers/main.yml
---
# handlers file for httpd
- name: restart httpd
service:
name: httpd
state: restarted
[root@ansible httpd]# cat tasks/main.yml
---
# tasks file for httpd
- name: install httpd
yum:
name: httpd
state: present
- name: config httpd
template:
src: templates/httpd.conf.j2
dest: /etc/httpd/conf/httpd.conf
notify: restart httpd
- name: service httpd
service:
name: httpd
state: started
enabled: yes
[root@ansible playbook]# cat httpd.yml
---
- hosts: apache
roles:
- httpd
[root@ansible ansible]# ansible-playbook playbook/httpd.yml
[WARNING]: Found variable using reserved name: port
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [install httpd] ***********************************************************
ok: [192.168.47.129]
TASK [config httpd] ************************************************************
changed: [192.168.47.129]
TASK [service httpd] ***********************************************************
ok: [192.168.47.129]
RUNNING HANDLER [restart httpd] ************************************************
changed: [192.168.47.129]
PLAY RECAP *********************************************************************
192.168.47.129 : ok=5 changed=2 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
[root@apache ~]# ss -antl
LISTEN 0 128 *:80 *:*
4. 角色内容开发的推荐做法
角色允许以模块化方式编写playbook。为了最大限度地提高新开发角色的效率,请考虑在角色开发中采用以下推荐做法:
在角色自己的版本控制存储库中维护每个角色。Ansible很适合使用基于git的存储库。
角色存储库中不应存储敏感信息,如密码或SSH密钥。敏感值应以变量的形式进行参数化,其默认值应不敏感。使用角色的playbook负责通过Ansible Vault变量文件、环境变量或其他ansible-playbook选项定义敏感变量。
使用ansible-galaxy init启动角色,然后删除不需要的任何目录和文件。
创建并维护README.md和meta/main.yml文件,以记录用户的角色的用途、作者和用法。
让角色侧重于特定的用途或功能。可以编写多个角色,而不是让一个角色承担许多任务。
经常重用和重构角色。避免为边缘配置创建新的角色。如果现有角色能够完成大部分的所需配置,请重构现有角色以集成新的配置方案。使用集成和回归测试技术来确保角色提供所需的新功能,并且不对现有的playbook造成问题。
5. 定义角色依赖项
角色依赖项使得角色可以将其他角色作为依赖项包含在内。例如,一个定义文档服务器的角色可能依赖于另一个安装和配置web服务器的角色。依赖关系在角色目录层次结构中的meta/main.yml文件内定义。
默认情况下,角色仅作为依赖项添加到playbook中一次。若有其他角色也将它作为依赖项列出,它不会再次运行。此行为可以被覆盖,将meta/main.yml文件中的allow_duplicates变量设置为yes即可。
重要:限制角色对其他角色的依赖。依赖项使得维护角色变得更加困难,尤其是当它具有许多复杂的依赖项时。
6. 在playbook中使用角色
要访问角色,可在play的roles:部分引用它。下列playbook引用了motd角色。由于没有指定变量,因此将使用默认变量值应用该角色。
---
- name: use motd role playbook
hosts: remote.example.com
remote_user: devops
become: true
roles:
- motd
执行该playbook时,因为角色而执行的任务可以通过角色名称前缀来加以识别。
ansible-playbook -i inventory use-motd-role.yml
7. 通过变量更改角色的行为
角色变量的优先级:
- 角色内嵌参数、事实、通过include_vars加载的变量、注册的变量
- vars/main.yml中定义的变量
- playbook中vars部分定义的变量
- 主机变量、主机组变量 defaults/main.yml中定义的变量
编写良好的角色利用默认变量来改变角色行为,使之与相关的配置场景相符。这有助于让角色变得更为通用,可在各种不同的上下文中重复利用。
如果通过以下方式定义了相同的变量,则角色的defaults目录中定义的变量的值将被覆盖:
在清单文件中定义,作为主机变量或组变量
在playbook项目的group_vars或host_vars目录下的YAML文件中定义
作为变量嵌套在play的vars关键字中定义
在play的roles关键字中包含该角色时作为变量定义
将两个角色变量的不同值搭配使用。
[root@ansible httpd]# mv defaults/main.yml vars/
[root@ansible httpd]# ls vars/
main.yml
[root@ansible httpd]# cat vars/main.yml
---
# defaults file for httpd
port: 80
[root@ansible httpd]# cat ../../httpd.yml
---
- hosts: apache
vars:
port: 83
roles:
- httpd
[root@ansible ansible]# ansible-playbook playbook/httpd.yml
[WARNING]: Found variable using reserved name: port
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [install httpd] ***********************************************************
ok: [192.168.47.129]
TASK [config httpd] ************************************************************
ok: [192.168.47.129]
TASK [service httpd] ***********************************************************
ok: [192.168.47.129]
PLAY RECAP *********************************************************************
192.168.47.129 : ok=4 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
[root@apache ~]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:80 *:* //还是80,说明vars里面的东西是没有被httpd.yml里面的vars里面的东西覆盖的
以这种方式定义时,port变量将替换同一名称的默认变量的值。嵌套在vars关键字内的任何变量定义不会替换在角色的vars目录中定义的同一变量的值。
[root@ansible httpd]# cat ../../httpd.yml
---
- hosts: apache
roles:
- role: httpd
port: 83
[root@ansible ansible]# ansible-playbook playbook/httpd.yml
[WARNING]: Found variable using reserved name: port
PLAY [apache] ******************************************************************
TASK [Gathering Facts] *********************************************************
ok: [192.168.47.129]
TASK [install httpd] ***********************************************************
ok: [192.168.47.129]
TASK [config httpd] ************************************************************
ok: [192.168.47.129]
TASK [service httpd] ***********************************************************
ok: [192.168.47.129]
PLAY RECAP *********************************************************************
192.168.47.129 : ok=4 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
重要
在play中使用角色变量时,变量的优先顺序可能会让人困惑。
几乎任何其他变量都会覆盖角色的默认变量,如清单变量、playvars变量,以及内嵌的角色参数等。
较少的变量可以覆盖角色的vars目录中定义的变量。事实、通过include_vars加载的变量、注册的变量和角色参数是其中一些具备这种能力的变量。清单变量和playvars无此能力。这非常重要,因为它有助于避免用户的play意外改变角色的内部功能。
不过,正如上述示例中最后一个所示,作为角色参数内嵌声明的变量具有非常高的优先级。它们可以覆盖角色的vars目录中定义的变量。
如果某一角色参数的名称与playvars或角色vars中设置的变量或者清单变量或playbook变量的名称相同,该角色参数将覆盖另一个变量。
四、使用ansible galaxy部署角色
1. 介绍ansible galaxy
Ansible Galaxy [https://galaxy.ansible.com]是一个Ansible内容公共资源库,这些内容由许许多多Ansible管理员和用户编写。它包含数千个Ansible角色,具有可搜索的数据库,可帮助Ansible用户确定或许有助于他们完成管理任务的角色。Ansible Galaxy含有面向新的Ansible用户和角色开发人员的文档和视频链接。
此外,用于从Ansible Galaxy获取和管理角色的ansible-galaxy命令也可用于为您的项目获取和管理自有的git存储库中的角色。
1.1 获取Ansible Galaxy帮助
通过Ansible Galaxy网站主页上的Documenttaion标签,可以进入描述如何使用Ansible Galaxy的页面。其中包含了介绍如何从Ansible Galaxy下载和使用角色的内容。该页面也提供关于如何开发角色并上传到Ansible Galaxy的说明。
1.2 浏览Ansible Galaxy中的角色
通过Ansible Galaxy网站主页上左侧的Search标签,用户可以访问关于Ansible Galaxy上发布的角色的信息。用户可以使用标记通过角色的名称或通过其他角色属性来搜索Ansible角色。结果按照Best Match分数降序排列,此分数依据角色质量、角色受欢迎程度和搜索条件计算而得。
2. Ansible Galaxy命令行工具
2.1 从命令行搜索角色
[root@ansible ansible]# ansible-galaxy --help
usage: ansible-galaxy [-h] [--version] [-v] TYPE ...
Perform various Role and Collection related operations.
positional arguments:
TYPE
collection Manage an Ansible Galaxy collection. //管理ansible galaxy的collection
role Manage an Ansible Galaxy role. //管理ansible galaxy的角色
optional arguments:
--version show program's version number, config file location,
configured module search path, module location, executable
location and exit
-h, --help show this help message and exit
-v, --verbose verbose mode (-vvv for more, -vvvv to enable connection
debugging)
[root@ansible ansible]# ansible-galaxy role --help
usage: ansible-galaxy role [-h] ROLE_ACTION ...
positional arguments:
ROLE_ACTION
init Initialize new role with the base structure of a role.
remove Delete roles from roles_path. //从角色目录删除角色,但这个角色目录必须是安装的角色,才能去删除
delete Removes the role from Galaxy. It does not remove or alter the
actual GitHub repository.
list Show the name and version of each role installed in the //在角色目录里面查看名字和版本对于每个角色已经安装的角色
roles_path.
search Search the Galaxy database by tags, platforms, author and
multiple keywords. //从galaxy数据库去查找角色,用它的版本,平台,作者,关键字去搜索
import Import a role //导入角色
setup Manage the integration between Galaxy and the given source. //管理集成,在galaxy和指定的源之间去管理集成
info View more details about a specific role. //看详细信息
install Install role(s) from file(s), URL(s) or Ansible Galaxy //安装角色从文件,URL(网上的某一个链接文件去装)或者ansible的galaxy
optional arguments:
-h, --help show this help message and exit
[root@ansible roles]# ansible-galaxy role init nginx //创建角色并初始化,role是面向对象的
- Role nginx was created successfully
[root@ansible roles]# tree nginx/
nginx/
├── defaults
│ └── main.yml
├── files
├── handlers
│ └── main.yml
├── meta
│ └── main.yml
├── README.md
├── tasks
│ └── main.yml
├── templates
├── tests
│ ├── inventory
│ └── test.yml
└── vars
└── main.yml
8 directories, 8 files
[root@ansible ~]# ansible-galaxy role search httpd //查找角色
Found 329 roles matching your search:
Name Description
---- -----------
2kloc.trellis-monit Install and configure Monit service in Trellis.
aarunmichael.base_httpd your role description
a_arvind_k.base_httpd your role description
abdelmouhssine.hardening_cis_apache_http_server_2_4_benchmark CLOUD APPLICATION AND SECURITY ENGINEER
abdusamy.web_server_role Deploy http virtual hosts using customized configuration
acandid.httpd Install httpd and ssl.
acropia.httpd IT Professional
adellam.389ds_server Installs 389DS LDAP server. Also configures TLS, logging, c>
ahuffman.patching An Ansible Role to perform automated patching of systems.
ahuffman.sat6_create_hosts An Ansible role to create new virtual and bare-metal hosts >
aishee.ansible_redhat_centos_7 Apply RHEL 7 CIS Baseline
AlbanAndrieu.ansible-workstation A role for installing workstation
alikins.certbot Installs and configures Certbot (for Let's Encrypt).
alikins.php PHP for RedHat/CentOS/Fedora/Debian/Ubuntu.
alvistack.httpd Ansible Role for Apache HTTP Server Installation
amanbolat.ansible_role_certbot Installs and configures Certbot (for Let's Encrypt).
aminvakil.httpd_initial Installs and Configures Apache HTTPD on Debian Buster
:
2.2 从Ansible Galaxy安装角色
ansible-galaxy install子命令从Ansible Galaxy下载角色,并将它安装到控制节点本地。
默认情况下,角色安装到用户的roles_path下的第一个可写目录中。根据为Ansible设置的默认roles_path,角色通常将安装到用户的~/.ansible/roles目录。默认的roles_path可能会被用户当前Ansible配置文件或环境变量ANSIBLE_ROLES_PATH覆盖,这将影响ansible-galaxy的行为。
用户可以通过使用-p DIRECTORY选项,指定具体的目录来安装角色。
[root@ansible playbook]# cd roles/
[root@ansible roles]# ansible-galaxy role install robertdebock.httpd -p . //把角色安装到当前位置
- downloading role 'httpd', owned by robertdebock
- downloading role from https://github.com/robertdebock/ansible-role-httpd/archive/7.0.0.tar.gz
- extracting robertdebock.httpd to /etc/ansible/playbook/roles/robertdebock.httpd
- robertdebock.httpd (7.0.0) was installed successfully
[root@ansible roles]# ls
robertdebock.httpd
[root@ansible roles]# ansible-galaxy role install robertdebock.httpd -p ./httpd
- downloading role 'httpd', owned by robertdebock
- downloading role from https://github.com/robertdebock/ansible-role-httpd/archive/7.0.0.tar.gz
- extracting robertdebock.httpd to /etc/ansible/playbook/roles/httpd/robertdebock.httpd
- robertdebock.httpd (7.0.0) was installed successfully
[root@ansible roles]# ls
httpd robertdebock.httpd
[root@ansible roles]# ansible-galaxy list -p . //在当前位置查找角色,如果当前位置是不在它的路径下面的,就可以指定位置,如果当前位置没有的话就会去找其他地方,当前位置有的话,其他地方也去找
# /etc/ansible/playbook/roles
- timesync, (unknown version)
- selinux, (unknown version)
- httpd, (unknown version)
- apache, (unknown version)
- nginx, (unknown version)
- robertdebock.httpd, 7.0.0
# /usr/share/ansible/roles
- linux-system-roles.kdump, (unknown version)
- linux-system-roles.network, (unknown version)
- linux-system-roles.postfix, (unknown version)
- linux-system-roles.selinux, (unknown version)
- linux-system-roles.storage, (unknown version)
- linux-system-roles.timesync, (unknown version)
- rhel-system-roles.kdump, (unknown version)
- rhel-system-roles.network, (unknown version)
- rhel-system-roles.postfix, (unknown version)
- rhel-system-roles.selinux, (unknown version)
- rhel-system-roles.storage, (unknown version)
- rhel-system-roles.timesync, (unknown version)
# /etc/ansible/roles
[WARNING]: - the configured path /root/.ansible/roles does not exist.
[root@ansible roles]# ansible-galaxy role remove robertdebock.httpd -p . //移除,自己创建的也可以移除
- successfully removed robertdebock.httpd
2.3 管理下载的角色
ansible-galaxy命令也可管理本地的角色,如位于playbook项目的roles目录中的角色。ansible-galaxy list子命令列出本地找到的角色。
ansible-galaxy list
使用ansible-galaxy remove子命令本地删除角色。
ansible-galaxy role remove robertdebock.httpd
189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
