ansible
文章目录
### 1.构建ansible清单
1.1定义清单
清单定义Ansible将要管理的一批主机。这些主机也可以分配到组中,以进行集中管理。组可以包含子组,主机也可以是多个组的成员。清单还可以设置应用到它所定义的主机和组的变量。
可以通过两种方式定义主机清单。静态主机清单可以通过文本文件定义。动态主机清单可以根据需要使用外部信息提供程序通过脚本或其他程序来生成。
1.2验证清单
但通常而言,可以将受管主机组织为主机组。通过主机组,可以更加有效的对一系列系统运行Ansible。这时,每一部分的开头为以中括号括起来的主机组名称。其后为该组中每一受管主机的主机名或IP地址,每行一个。
//开头四个主机不属于任何组的
[root@ansible ~]# cat /etc/ansible/hosts
green.example.com
blue.example.com
192.168.100.1
192.168.100.10
[webservers]
alpha.example.org
beta.example.org
192.168.1.100
192.168.1.110
www[001:006].example.com
[dbservers]
db01.intranet.mydomain.net
db02.intranet.mydomain.net
10.25.1.56
10.25.1.57
//查看所有的主机
[root@ansible ~]# ansible all --list-hosts
hosts (18):
green.example.com
blue.example.com
192.168.100.1
192.168.100.10
alpha.example.org
beta.example.org
192.168.1.100
192.168.1.110
www001.example.com
www002.example.com
www003.example.com
www004.example.com
www005.example.com
www006.example.com
db01.intranet.mydomain.net
db02.intranet.mydomain.net
10.25.1.56
10.25.1.57
//查看webservers组的主机
[root@ansible ~]# ansible webservers --list-hosts
hosts (10):
alpha.example.org
beta.example.org
192.168.1.100
192.168.1.110
www001.example.com
www002.example.com
www003.example.com
www004.example.com
www005.example.com
www006.example.com
//查看不存在的主机看看输出什么内容
[root@ansible ~]# ansible sdasdasdasdasd --list-hosts
[WARNING]: Could not match supplied host pattern, ignoring: sdasdasdasdasd
[WARNING]: No hosts matched, nothing to do
hosts (0):
如果清单中含有名称相同的主机和主机组,ansible 命令将显示警告并以主机作为其目标。主机组则被忽略。
1.3覆盖清单位置
/etc/ansible/hosts文件被视为系统的默认静态清单文件。不过,通常的做法是不使用该文件,而是在Ansible配置文件中为清单文件定义一个不同的位置。
//将清单默认位置改为/etc/ansible/inventory,也是优先级最低的
[root@ansible ansible]# vim ansible.cfg
........
inventory = /etc/ansible/inventory
......
[root@ansible ansible]# touch inventory
[root@ansible ansible]# ls
ansible.cfg hosts inventory roles
[root@ansible ansible]# vim inventory
[root@ansible ansible]# cat inventory
web1
[webserver]
192.168.159.103
[dbserver]
192.168.159.104
//需要给web1做一个域名映射
[root@ansible ansible]# cat /etc/hosts
192.168.159.101 web1
//输出的时invenory清单里的内容
[root@ansible ansible]# ansible all --list-hosts
hosts (3):
web1
192.168.159.103
192.168.159.104
//列出不属于任何组的受管主机
[root@ansible ansible]# ansible ungrouped --list-hosts
hosts (1):
web1
//列出属于某组的受管主机:
[root@ansible ansible]# ansible webserver --list-hosts
hosts (1):
192.168.159.103
[root@ansible ansible]# ansible dbserver --list-hosts
hosts (1):
192.168.159.104
####1.4自定义清单文件
主机ip | 用途 | 位置 | 运行环境 |
---|---|---|---|
192.168.159.101 | web服务器 | 南昌 | 测试 |
192.168.159.100 | web服务器 | 襄阳 | 生产 |
192.168.159.104 | 数据库服务器 | 蕲春 | 生产 |
[root@ansible ansible]# vim inventory
[root@ansible ansible]# cat inventory
[webserver]
192.168.159.103
web1
[dbserver]
192.168.159.104
//要使用这种模板就会很不安全,用户名和密码全部都暴露了,所以要用密钥来访问
root@localhost ~]# vim /etc/ansible/inventory
[webservers]
172.16.103.129 ansible_user=root ansible_password=your_pass
172.16.103.130 ansible_user=root ansible_password=your_pass
[db-servers]
172.16.103.131 ansible_user=root ansible_password=your_pass
//生成密钥
[root@ansible ansible]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:tZoCf60o40LRCTsx8NOgpO4kDB3qR1+fxbC3gET+ol4 root@ansible
The key's randomart image is:
+---[RSA 3072]----+
|.oo .o . |
|o=++ o . + |
|= +B.. + o.+ |
|= =.+ . o.=.. |
|.= +.. .S+.. |
|+ o o. .+ |
| o .oE+ . |
| . + .+ . |
| o.+. . |
+----[SHA256]-----+
[root@ansible .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.159.100
[root@ansible ansible]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.159.104
[root@ansible ansible]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.159.101
//用ping命令进行测试,ping成功
[root@ansible ansible]# ansible all -m ping
The authenticity of host 'web1 (192.168.159.101)' can't be established.
ECDSA key fingerprint is SHA256:tGT6Gw1m3L8XMXHgNwagltsGGnnUD1R6rR+tVI2pwRY.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
192.168.159.104 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/libexec/platform-python"
},
"changed": false,
"ping": "pong"
}
192.168.159.100 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/libexec/platform-python"
},
"changed": false,
"ping": "pong"
}
web1 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/libexec/platform-python"
},
"changed": false,
"ping": "pong"
}
2.ansible配置文件
2.1配置ansible
ANSIBLE_CONFIG:Ansible命令会优先检查该环境变量以及这个环境变量指向的配置文件 Export 环境变量:设置环境变量 Unset 环境变量: 取消环境变量 |
---|
./ansible.cfg:当前工作目录,即当前执行ansible指令的目录,如果ANSIBEL_CONFIG环境变量(上一优先级配置文件)未定义,则优先使用该配置文件 |
~/.ansible.cfg:用户家目录下的隐藏文件,若当前工作目录下不存在ansible.cfg配置文件(上一优先级目录中的文件),则会查找用户家目录下的该隐藏文件 |
/etc/ansible/ansible.cfg:默认配置文件,如果上面两个路径下的ansible.cfg都不存在,则使用该文件 |
由于ansible配置文件可以放入的位置有多种,因此Ansible当前使用哪一个配置文件可能会令人困惑。我们可以运行以下命令来清楚地确认所安装的Ansible版本以及正在使用的配置文件。
[root@ansible ansible]# ansible --version
ansible 2.9.27
config file = /etc/ansible/ansible.cfg
configured module search path = ['/root/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /usr/lib/python3.6/site-packages/ansible
executable location = /usr/bin/ansible
python version = 3.6.8 (default, Sep 10 2021, 09:13:53) [GCC 8.5.0 20210514 (Red Hat 8.5.0-3)]
2.2管理配置文件中的设置
Ansible配置文件由几个部分组成,每一部分含有以键值对形式定义的设置。部分的标题以中括号括起来。对于基本操作,请使用以下两部分:
- [defaults]部分设置Ansible操作的默认值
- [privilege_escalation]配置Ansible如何在受管主机上执行特权升级
例如,下面是典型的ansible.cfg文件:
[defaults]
inventory = ./inventory
remote_user = user
ask_pass = false
[privilege_escalation]
become = true
become_method = sudo
become_user = root
become_ask_pass = false
下表说明了此文件中的指令:
Ansible配置
指令 | 描述 |
---|---|
inventory | 指定清单文件的路径。 |
remote_user | 要在受管主机上登录的用户名。如果未指定则使用当前用户名 |
ask_pass | 是否提示输入SSH密码。如果使用SSH公钥身份验证则可以是false |
become | 连接后是否自动在受管主机上切换用户(通常切换为root) 这也可以通过play来指定。 |
become_method | 如何切换用户(通常为sudo,这也是默认设置,但可选择su) |
become_user | 要在受管主机上切换到的用户(通常是root,这也是默认值) |
become_ask_pass | 是否需要为become_method提示输入密码。默认为false。 |
2.3配置连接
Ansible需要知道如何与其受管主机通信。更改配置文件的一个最常见原因是为了控制Ansible使用什么方法和用户来管理受管主机。需要的一些信息包括:
- 列出受管主机和主机组的清单的位置
- 要使用哪一种连接协议来与受管主机通信(默认为SSH),以及是否需要非标准网络端口来连接服务器
- 要在受管主机上使用哪一远程用户;这可以是root用户或者某一非特权用户
- 如果远程用户为非特权用户,Ansible需要知道它是否应尝试将特权升级为root以及如何进行升级(例如,通过sudo)
- 是否提示输入SSH密码或sudo密码以进行登录或获取特权
2.4清单位置
在[defaults]部分中,inventory指令可以直接指向某一静态清单文件,或者指向含有多个静态清单文件和动态清单脚本的某一目录。
[defaults]
inventory = ./inventory
2.5连接设置
默认情况下,Ansible使用SSH协议连接受管主机。控制Ansible如何连接受管主机的最重要参数在[defaults]部分中设置。
默认情况下,Ansible尝试连接受管主机时使用的用户名与运行ansible命令的本地用户相同。若要指定不同的远程用户,请将remote_user参数设置为该用户名。
如果为运行Ansible的本地用户配置了SSH私钥,使得它们能够在受管主机上进行远程用户的身份验证,则Ansible将自动登录。如果不是这种情况,可以通过设置指令ask_pass = true,将Ansible配置为提示本地用户输入由远程用户使用的密码。
[defaults]
inventory = ./inventory
remote_user = root
ask_pass = true
假设在使用一个Linux控制节点,并对受管主机使用OpenSSH,如果可以使用密码以远程用户身份登录,那么我们可以设置基于SSH密钥的身份验证,从而能够设置ask_pass = false。
第一步是确保在~/.ssh中为控制节点上的用户配置了SSH密钥对。并且使用ssh-copy-id命令将本地的公钥复制到受管主机中。
2.6升级特权
鉴于安全性和审计原因,Ansible可能需要先以非特权用户身份连接远程主机,然后再通过特权升级获得root用户身份的管理权限。这可以在Ansible配置文件的[privilege_escalation]部分中设置。
要默认启用特权升级,可以在配置文件中设置指令become = true。即使默认为该设置,也可以在运行临时命令或Ansible Playbook时通过各种方式覆盖它。(例如,有时候可能要运行一些不需要特权升级的任务或play。)
become_method指令指定如何升级特权。有多个选项可用,但默认为使用sudo。类似地,become_user指令指定要升级到的用户,但默认为root。
如果所选的become_method机制要求用户输入密码才能升级特权,可以在配置文件中设置become_ask_pass = true指令。
以下示例ansible.cfg文件假设你可以通过基于SSH密钥的身份验证以someuser用户身份连接受管主机,并且someuser可以使用sudo以root用户身份运行命令而不必输入密码:
[defaults]
inventory = ./inventory
remote_user = someuser
ask_pass = false
[privilege_escalation]
become = true
become_method = sudo
become_user = root
become_ask_pass = false
2.7配置文件注释
Ansible配置文件允许使用两种注释字符:井号或分号。
位于行开头的#号会注释掉整行。它不能和指令位于同一行中。
分号字符可以注释掉所在行中其右侧的所有内容。它可以和指令位于同一行中,只要该指令在其左侧。
3.临时命令
使用临时命令可以快速执行单个Ansible任务,不需要将它保存下来供以后再次运行。它们是简单的在线操作,无需编写playbook即可运行。
临时命令对快速测试和更改很有用。例如,可以使用临时命令确保一组服务器上的/etc/hosts文件中存在某一特定的行。可以使用另一个临时命令在许多不同的计算机上高效的重启服务,或者确保特定的软件包为最新版本。
临时命令对于通过Ansible快速执行简单的任务非常有用。它们确实也存在局限,而且总体而言,要使用Ansible Playbook来充分发挥Ansible的作用。但在许多情形中,临时命令正是快速执行简单任务所需要的工具。
ansible运行临时命令的语法:
ansible host-pattern -m module [-a 'module arguments'] [-i inventory]
host-pattern参数用于指定在其上运行临时命令的受管主机。它可以是清单中的特定受管主机或主机组。也可以用后面的-i选项指定特定的清单而不使用默认清单。
-m选项将Ansible应在目标主机上运行的module名称作为参数。模块是为了实施任务而执行的小程序。一些模块不需要额外的信息,但其他模块需要使用额外的参数来指定其操作详情。-a选项以带引号字符串形式取这些参数的列表。
一种最简单的临时命令使用ping模块。此模块不执行ICMP ping,而是检查能否在受管主机上运行基于Python的模块。例如,以下临时命令确定清单中的所有受管主机能否运行标准的模块:
[root@localhost ~]# ansible all -m ping
172.16.103.131 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}
......
Ansible常用模块
模块类别 | 模块 |
---|---|
文件模块 | copy:将本地文件复制到受管主机 file:设置文件的权限和其他属性 lineinfile:确保特定行是否在文件中 synchronize:使用rsync同步内容 |
软件包模块 | package:使用操作系统本机的自动检测软件包管理器管理软件包 yum:使用yum管理软件包 apt:使用APT管理软件包 dnf:使用dnf管理软件包 gem:管理Ruby gem pip:从PyPI管理Python软件包 |
系统模块 | firewalld:使用firewalld管理防火墙 reboot:重启计算机 service:管理服务 user:添加、删除和管理用户帐户 |
Net Tools模块 | get_url:通过HTTP、HTTPS或FTP下载文件 nmcli:管理网络 uri:与Web服务交互 |
例如,以下临时命令使用user模块来确保heipi用户存在于web1上并且其UID为250:
[root@ansible ~]# ansible web1 -m user -a 'name=heipi uid=250 state=present' web1 | CHANGED => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/libexec/platform-python"
},
"changed": true,
"comment": "",
"create_home": true,
"group": 1001,
"home": "/home/heipi",
"name": "heipi",
"shell": "/bin/bash",
"state": "present",
"stderr": "The memcache was not invalidated by NSS responder.\n",
"stderr_lines": [
"The memcache was not invalidated by NSS responder."
],
"system": false,
"uid": 250
}
[root@ansible ~]# ssh web1
Last login: Thu Oct 20 16:34:05 2022 from 192.168.159.103
[root@node3 ~]# id heipi
uid=250(heipi) gid=1001(heipi) groups=1001(heipi)
大多数模块为idempoten(幂等,可以多次执行)t,这表示它们可以安全地多次运行;如果系统已处于正确的状态,它们不会进行任何操作。
在受管主机上运行任意命令
command模块允许管理员在受管主机的命令行中运行任意命令。要运行的命令通过-a选项指定为该模块的参数。例如,以下命令将对webservers组的受管主机运行hostname命令:
//这里的command可以去除,因为是默认的命令模块,但是别的模块不能去除,比如说上面的创建用户user模块就不能去除。
[root@ansible ~]# ansible webserver -m command -a 'hostname'
web1 | CHANGED | rc=0 >>
node3
192.168.159.100 | CHANGED | rc=0 >>
node1
//-o是以单行格式显示ansible临时命令的输出。
[root@ansible ~]# ansible all -a 'hostname' -o
192.168.159.100 | CHANGED | rc=0 | (stdout) node1
web1 | CHANGED | rc=0 | (stdout) node3
192.168.159.104 | CHANGED | rc=0 | (stdout) node2
command模块允许管理员对受管主机快速执行远程命令。这些命令不是由受管主机上的shell加以处理。因此,它们无法访问shell环境变量,也不能执行重定向和管道等shell操作。
在命令需要shell处理的情形中,管理员可以使用shell模块。与command模块类似,可以在临时命令中将要执行的命令作为参数传递给该模块。Ansible随后对受管主机远程执行该命令。与command模块不同的是,这些命令将通过受管主机上的shell进行处理。因此,可以访问shell环境变量,也可以使用重定向和管道等操作。
以下示例演示了command与shell的区别。如果尝试使用这两个模块执行内建的Bash命令set,只有使用shell模块才会成功:
[root@ansible ~]# ansible 192.168.159.104 -m command -a 'set'
192.168.159.104 | FAILED | rc=2 >>
[Errno 2] No such file or directory: b'set': b'set'
[root@ansible ~]# ansible 192.168.159.104 -m shell -a 'set'
192.168.159.104 | CHANGED | rc=0 >>
BASH=/bin/sh
BASHOPTS=cmdhist:complete_fullquote:extquote:force_fignore:hostcomplete:interactive_comments:progcomp:promptvars:sourcepath
BASH_ALIASES=()
BASH_ARGC=()
BASH_ARGV=()
BASH_CMDS=()
BASH_EXECUTION_STRING=set
BASH_LINENO=()
BASH_SOURCE=()
................................
ansible命令参数自动补全
[root@ansible ansible]# yum -y install python3-argcomplete
[root@ansible ansible]# bash -version //bash的版本要大于或等于4.2
[root@ansible ansible]# activate-global-python-argcomplete
[root@ansible ansible]# bash