ansible應用管理
主控機:192.168.1.9(centos 7.5)
被控機:192.168.1.8(centos 7.5);192.168.1.7(centos 7.4);192.168.1.6(cnetos 6.9)
虛擬機:vmware 14
做ansible實驗前,必須做好主控機的基於被控機的key驗證登錄
具體參照前面的博文中的基於key驗證。
http://blog.51cto.com/13698281/2118972
安裝ansible
rpm包安裝: EPEL源
yum install ansible
編譯安裝:
yum -y install python-jinja2 PyYAML python-paramiko python-babel python-crypto tar xf ansible-1.5.4.tar.gz cd ansible-1.5.4 python setup.py build python setup.py install mkdir /etc/ansible cp -r examples/* /etc/ansible
Git方式:
git clone git://github.com/ansible/ansible.git --recursive
cd ./ansible
source ./hacking/env-setup
pip安裝: pip是安裝Python包的管理器,類似yum
yum install python-pip python-devel
yum install gcc glibc-devel zibl-devel rpm-bulid openssl-devel
pip install --upgrade pip
pip install ansible --upgrade
確認安裝: ansible --version
相關文件說明
配置文件
/etc/ansible/ansible.cfg 主配置文件,配置ansible工作特性;建議去掉# host_key_checking = False ;disabled SSH key host checking;前提基於key驗證
/etc/ansible/hosts 主機清單
/etc/ansible/roles/ 存放角色的目錄
程序
/usr/bin/ansible 主程序,臨時命令執行工具 /usr/bin/ansible-doc 查看配置文檔,模塊功能查看工具 /usr/bin/ansible-galaxy 下載/上傳優秀代碼或Roles模塊的官網平臺 /usr/bin/ansible-playbook 定制自動化任務,編排劇本工具/usr/bin/ansible-pull 遠程執行命令的工具 /usr/bin/ansible-vault 文件加密工具 /usr/bin/ansible-console 基於Console界面與用戶交互的執行工具
hosts清單
# Ex 1: Ungrouped hosts, specify before any group headers.
## green.example.com
## blue.example.com
## 192.168.100.1
## 192.168.100.10
# Ex 2: A collection of hosts belonging to the ‘webservers‘ group
## [webservers]
## alpha.example.org
## beta.example.org
## 192.168.1.100:9527 #如果此被控機ssh端口為9527,則加一項
## 192.168.1.110
# Here‘s another example of host ranges, this time there are no
# leading 0s:
## db-[99:101]-node.example.com
ansible
特性
模塊化:調用特定的模塊,完成特定任務有Paramiko,PyYAML,Jinja2(模板語言)三個關鍵模塊
支持自定義模塊
基於Python語言實現
部署簡單,基於python和SSH(默認已安裝),agentless
安全,基於OpenSSH
支持playbook編排任務
冪等性:一個任務執行1遍和執行n遍效果一樣,不因重復執行帶來意外情況
無需代理不依賴PKI(無需ssl)
可使用任何編程語言寫模塊
YAML格式,編排任務,支持豐富的數據結構
較強大的多層解決方案
主要組成
ANSIBLE PLAYBOOKS:任務劇本(任務集),編排定義Ansible任務集的配置文件,由Ansible順序依次執行,通常是JSON格式的YML文件
INVENTORY:Ansible管理主機的清單/etc/anaible/hosts
MODULES:Ansible執行命令的功能模塊,多數為內置核心模塊,也可自定義
PLUGINS:模塊功能的補充,如連接類型插件、循環插件、變量插件、過濾插件等,該功能不常用
API:供第三方程序調用的應用程序編程接口
ANSIBLE:組合INVENTORY、API、MODULES、PLUGINS的綠框,可以理解為是ansible命令工具,其為核心執行工具
Ansible命令執行來源:
USER,普通用戶,即SYSTEM ADMINISTRATOR
CMDB(配置管理數據庫) API 調用
PUBLIC/PRIVATE CLOUD API調用
USER-> Ansible Playbook -> Ansibile
利用ansible實現管理的方式:
Ad-Hoc 即ansible命令,主要用於臨時命令使用場景
Ansible-playbook 主要用於長期規劃好的,大型項目的場景,需要有前提
的規劃
Ansible-playbook(劇本)執行過程:
將已有編排好的任務集寫入Ansible-Playbook
通過ansible-playbook命令分拆任務集至逐條ansible命令,按預定規則逐條
執行
ansible主要操作對象:
HOSTS主機
NETWORKING網絡設備
註意事項
執行ansible的主機一般稱為主控端,中控,master或堡壘機
主控端Python版本需要2.6或以上
被控端Python版本小於2.4需要安裝python-simplejson
被控端如開啟SELinux需要安裝libselinux-python
windows不能做為主控端
ansible相關命令
Ansible系列命令
ansible ansible-doc ansible-playbook ansible-vault
ansible-console ansible-galaxy ansible-pull
ansible-doc: 顯示模塊幫助
ansible-doc [options] [module...]
-a 顯示所有模塊的文檔
-l, --list 列出可用模塊
-s, --snippet顯示指定模塊的playbook片段
示例:
ansible-doc –l 列出所有模塊
ansible-doc ping 查看指定模塊幫助用法
ansible-doc –s ping 查看指定模塊幫助用法
命令行
ansible <host-pattern> [-m module_name] [-a args]
--version 顯示版本
-m module 指定模塊,默認為command
-v 詳細過程 –vv -vvv更詳細
--list-hosts 顯示主機列表,可簡寫—list
-k, --ask-pass 提示輸入ssh連接密碼,默認Key驗證
-K, --ask-become-pass 提示輸入sudo時的口令
-C, --check 檢查,並不執行
-T, --timeout=TIMEOUT 執行命令的超時時間,默認10s
-u, --user=REMOTE_USER 執行遠程執行的用戶
-b, --become 代替舊版的sudo 切換
ansible命令執行過程
- 加載自己的配置文件 默認/etc/ansible/ansible.cfg
- 加載自己對應的模塊文件,如command
- 通過ansible將模塊或命令生成對應的臨時py文件,並將該 文件傳輸至遠程服務器的對應執行用戶$HOME/.ansible/tmp/ansible-tmp-數字/XXX.PY文件
- 給文件+x執行
- 執行並返回結果
- 刪除臨時py文件,sleep 0退出
執行狀態:
綠色:執行成功並且不需要做改變的操作
×××:執行成功並且對目標主機做變更
紅色:執行失敗
ansible常用模塊
Command:在遠程主機執行命令,默認模塊,可忽略-m選項
ansible srvs -m command -a ‘service vsftpd start‘
ansible srvs -m command -a ‘echo password |passwd --stdin user‘
#不成功,此命令不支持 $VARNAME < > | ; & 等,用shell模塊實現
Shell:和command相似,用shell執行命令
ansible srv -m shell -a ‘echo password |passwd –stdin user‘
#調用bash執行命令 類似 cat /tmp/stanley.md | awk -F‘|‘ ‘{print $1,$2}‘ &>/tmp/example.txt 這些復雜命令,即使使用shell也可能會失敗,解決辦法:寫到腳本時,copy到遠程,執行,再把需要的結果拉回執行命令的機器
Script:運行腳本
-a "/PATH/TO/SCRIPT_FILE"
asnsible websrvs -m script -a f1.sh
Copy:從服務器復制文件到客戶端,
ansible srv -m copy -a "src=/root/f1.sh dest=/tmp/f2.sh owner=user mode=600 backup=yes"
#如目標存在,默認覆蓋,此處指定先備份
ansible srv -m copy -a "content=‘test content\n‘ dest=/tmp/f1.txt" # 利用內容,直接生成目標文件
Fetch:從客戶端取文件至服務器端,copy相反,目錄可先tar
ansible srv -m fetch -a ‘src=/root/a.sh dest=/data/scripts‘
File:設置文件屬性
ansible srv -m file -a "path=/root/a.sh owner=user mode=755"
ansible web -m file -a ‘src=/app/testfile dest=/app/testfile-link state=link‘
Hostname:管理主機名
ansible node1 -m hostname -a "name=websrv"
Cron:計劃任務
#支持時間:minute,hour,day,month,weekday
ansible srv -m cron -a "minute=*/5 job=‘/usr/sbin/ntpdate 172.16.0.1 &>/dev/null‘
name=Synctime" #創建任務
ansible srv -m cron -a ‘state=absent name=Synctime‘ #刪除任務
Yum:管理包
ansible srv -m yum -a ‘name=httpd state=latest‘ #安裝
ansible srv -m yum -a ‘name=httpd state=absent‘ #刪除
Ansible-vault
功能:管理加密解密yml文件
ansible-vault [create|decrypt|edit|encrypt|rekey|view]
ansible-vault encrypt hello.yml 加密
ansible-vault decrypt hello.yml 解密
ansible-vault view hello.yml 查看
ansible-vault edit hello.yml 編輯加密文件
ansible-vault rekey hello.yml 修改口令
ansible-vault create new.yml 創建新文件
playbook
playbook是由一個或多個“play”組成的列表
play的主要功能在於將事先歸並為一組的主機裝扮成事先通過ansible中的task定義好的角色。從根本上來講,所謂task無非是調用ansible的一個module。將多個play組織在一個playbook中,即可以讓它們聯同起來按事先編排的機制同唱一臺大戲
Playbook采用YAML語言編寫
YAML介紹
YAML是一個可讀性高的用來表達資料序列的格式。YAML參考了其他多種語言,包括:XML、C語言、Python、Perl以及電子郵件格式RFC2822等。Clark Evans在2001年在首次發表了這種語言,另外Ingy d?t Net與Oren Ben-Kiki也是這語言的共同設計者
YAML Ain‘t Markup Language,即YAML不是XML。不過,在開發的這種語言時,YAML的意思其實是:"Yet Another Markup Language"(仍是一種標記語言)
特性
YAML的可讀性好
YAML和腳本語言的交互性好
YAML使用實現語言的數據類型
YAML有一個一致的信息模型
YAML易於實現
YAML可以基於流來處理
YAML表達能力強,擴展性好
更多的內容及規範參見
http://www.yaml.org
playbook與shell腳本
?SHELL腳本
#!/bin/bash
# 安裝Apache
yum install --quiet -y httpd
# 復制配置文件
cp /tmp/httpd.conf /etc/httpd/conf/httpd.conf
cp/tmp/vhosts.conf /etc/httpd/conf.d/
# 啟動Apache,並設置開機啟動
service httpd start
chkconfig httpd on
Playbook定義
---
- hosts: all
tasks:
- name: "安裝Apache"
yum: name=httpd
- name: "復制配置文件"
copy: src=/tmp/httpd.conf dest=/etc/httpd/conf/
copy: src=/tmp/vhosts.conf dest=/etc/httpd/conf.cd/
- name: "啟動Apache,並設置開機啟動"
service: name=httpd state=started enabled=yes
palybook變量
變量名:僅能由字母、數字和下劃線組成,且只能以字母開頭
變量來源:
1 ansible setup facts 遠程主機的所有變量都可直接調用
2 在/etc/ansible/hosts中定義
普通變量:主機組中主機單獨定義,優先級高於公共變量
公共(組)變量:針對主機組中所有主機定義統一變量
3 通過命令行指定變量,優先級最高
ansible-playbook –e varname=value
4 在playbook中定義
vars:
- var1: value1
- var2: value2
5 在role中定義
模板templates
文本文件,嵌套有腳本(使用模板編程語言編寫)
Jinja2語言,使用字面量,有下面形式
字符串:使用單引號或雙引號
數字:整數,浮點數
列表:[item1, item2, ...]
元組:(item1, item2, ...)
字典:{key1:value1, key2:value2, ...}
布爾型:true/false
算術運算:+, -, *, /, //, %, **
比較操作:==, !=, >, >=, <, <=
== 比較兩個對象是否相等
!= 比較兩個對象是否不等
> 如果左邊大於右邊,返回 true
>= 如果左邊大於等於右邊,返回 true
< 如果左邊小於右邊,返回 true
<= 如果左邊小於等於右邊,返回 true
邏輯運算:and, or, not
流表達式:For If When
tasks:
- name: install conf file to centos7
template: src=nginx.conf.c7.j2
when: ansible_distribution_major_version == "7"
示例:for.yml
---
- hosts: all
remote_user: root
vars:
ports:
- listen_port: 81
name: web1
rootdir: web1.com
- listen_port: 82
name: web2
rootdir: web2.com
- listen_port: 83
name: web3
rootdir: web3.com
tasks:
- name: copy templates conf
template: src=forif.conf.j2 dest=/data/forif.conf
templates/for.conf.j2
{% for p in ports %}
server{
listen {{ p.listen_port }}
name {{ p.name }}
rootdir {{ p.rootdir }}
}
{% endfor %}
Handlers
Handlers是task列表,這些task與前述的task並沒有本質上的不同,用於當關註的資源發生變化時,才會采取一定的操作;
notify這個action可用於在每個play的最後被觸發,這樣可以避免多次有改變發生時每次都執行指定的操作,僅在所有的變化發生完成後一次性地執行指定操作。在notify中列出的操作稱為handler,也即notify中調用handler中定義的操作。
---
- hosts: websrvs
remote_user: root
tasks:
- name: install httpd package
yum: name=httpd
- name: copy configuration file for httpd
copy: src=files/httpd.conf dest=/etc/httpd/conf/httpd.conf
notify: restart service
- name: start httpd service
service: name=httpd state=started
handlers:
- name: restart service
service: name=httpd state=restarted
roles
roles
ansilbe自1.2版本引入的新特性,用於層次性、結構化地組織playbook。roles能夠根據層次型結構自動裝載變量文件、tasks以及handlers等。要使用roles只需要在playbook中使用include指令即可。簡單來講,roles就是通過分別將變量、文件、任務、模板及處理器放置於單獨的目錄中,並可以便捷地include它們的一種機制。角色一般用於基於主機構建服務的場景中,但也可以是用於構建守護進程等場景中
復雜場景:建議使用roles,代碼復用度高
變更指定主機或主機組
如命名不規範維護和傳承成本大
某些功能需多個Playbook,通過Includes即可實現
下面的nginx的roles,可通過下載
ansible-galaxy install geerlingguy.nginx
ansible應用管理