Ansible 簡介
Ansible 是一個開源的基於 OpenSSH 的自動化配置管理工具。可以用它來配置系統、部署軟體和編排更高階的 IT 任務,比如持續部署或零停機更新。Ansible 的主要目標是簡單和易用,並且它還高度關注安全性和可靠性。基於這樣的目標,Ansible 適用於開發人員、系統管理員、釋出工程師、IT 經理,以及介於兩者之間的所有人。Ansible 適合管理幾乎所有的環境,從擁有少數例項的小型環境到有數千個例項的企業環境。
使用 Ansible 無須在被管理的機器上安裝代理,所以不存在如何升級遠端守護程序的問題,也不存在由於解除安裝了守護程序而無法管理系統的問題。
Ansible 的主要功能
管理員可以通過 Ansible 在成百上千臺計算機上同時執行指令(任務)。
對於管理員來說,經常需要執行下面的任務:
- 維護現存的比較複雜的伺服器時,手動登入的方式很容易遺漏一些操作,或者是執行一些未預期的操作。
- 手動初始化新的伺服器耗時耗力!
對於這兩種情況,如果完全通過 shell 指令碼實現。指令碼會過於複雜,極難維護。當然我們也可以使用同類的工具,比如 Puppet and Chef。這兩個工具的特點是:需要學習新的知識棧(其實 Ansible 也是有學習成本的)。
相比 Puppet 和 Chef 使用 Ansible 可以延續之前使用 shell 指令碼的工作習慣和方式,因而其學習成本會低一些。下面是 Ansible 的一些優勢:
- 可以逐行的執行 shell 命令。
- 不需要另外的客戶端工具(linux 一般會自帶 ssh 工具)。
- 相同的配置只被執行一次(多次執行同一配置不會出問題)。
Ansible 的工作方式
使用 Ansible 無須在被管理的客戶端電腦上安裝代理之類的元件。它通過普通的 SSH 進行通訊,以便從遠端計算機檢索資訊、發出命令和複製檔案。這是 Ansible 簡化伺服器管理的一種方式。任何公開 SSH 埠的伺服器都可以通過 Ansible 進行配置和管理。
Ansible 採用模組化的設計,所以非常容易擴充套件到各種特定的使用場景。模組可以用任何語言編寫,並使用標準 JSON 進行通訊。Ansible 的配置檔案是用 YAML 格式編寫的,因為它使用起來非常簡單,並且與主流的標記語言很相似。除了通過命令列工具 Ansible 還可以通過配置指令碼(Playbooks)與客戶端互動。
安裝 Ansible
$ sudo apt-add-repository -y ppa:ansible/ansible $ sudo apt-get update $ sudo apt-get install -y ansible
安裝完成後檢查一下版本:
$ ansible --version
2.7.1 是筆者在寫本文時的最新版本。
配置客戶端主機的 SSH 祕鑰
對於自動化來說,最後是通過祕鑰進行認證,這樣就不會把使用者的密碼以明文的方式寫在腳本里。下面的命令把安裝了 ansible 的主機上當前使用者的 SSH 公鑰安裝到了被管理的客戶端 192.168.21.145 和 192.168.21.148 上:
$ ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]192.168.21.145 $ ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]192.168.21.148
說明:這兩臺被管理的客戶端主機執行的也都是 Ubuntu 16.04。
然後嘗試通過下面的命令以不輸密碼的方式連線到遠端主機中:
$ ssh [email protected]192.168.21.145 $ ssh [email protected]192.168.21.148
如果能夠成功登陸,說明 SSH 的配置已經 OK 了。
配置使用者執行 sudo 時不需要密碼
在我們執行的自動化操作中,有很大一部分是需要 root 許可權的,比如執行更新、安裝軟體等等。這樣的操作會因為在以 sudo 方式執行是提升使用者輸入密碼而失敗,比如下面的命令:
$ ansible testservers -b -u nick -a "apt update"
-b 選項預設把使用者 nick 提升為 root 許可權,但是需要輸入使用者 nick 的密碼,所以自動化執行的命令失敗了。當然我們可以同時新增 -K 選項,這是 ansible 會停下來與使用者互動,等待使用者輸入密碼:
但這真的不是我想要的結果,我需要的是指令碼能夠自動化的不需要互動的完成任務!
這個問題的解決方法是把使用者設定為執行 sudo 命令時不需要輸入密碼,讓我們在客戶機 192.168.21.148 上執行下面的命令:
$ sudo visudo
為使用者 nick 新增下面的行:
nick ALL=(ALL) NOPASSWD: ALL
該行內容配置使用者 nick 在執行 sudo 命令時不需要輸入密碼,儲存後讓我們再次執行下面的命令:
$ ansible testservers -b -u nick -a "apt update"
這次終於可以執行 root 許可權的命令了!
清單(inventory)
清單是 ansible 的一個配置檔案,在清單中我們可以指定被管理的客戶端機器。Ansible 預設的清單檔案為 /etc/ansible/hosts,當然我們也可以通過 -i 選項指定其它的清單檔案,比如下面的例子:
$ ansible myservers -i /etc/ansible/myhosts -b -u nick -a "apt update"
在清單檔案中,我們可以指定 ansible 命令操作的主機物件。對於單個的主機,可以在清單中寫主機域名,也可以直接寫 IP 地址:
如果要同時對對個主機進行操作,可以把它們定義在一個組中:
在執行 ansible 命令時,指定清單中定義的主機名稱或者組名就可以了。比如我們在 /etc/ansible/hosts 檔案中定義了一個名稱為 testservers 的組,它包含了兩個主機:
然後通過下面的命令分別在這兩臺主機上執行 df -h 命令:
$ ansible testservers -u nick -a "df -h"
從輸出的結果可以看出 df -h 命令在兩臺目標主機上都執行了。
模組
Ansible 把類似的操作封裝到模組中,這樣就可以通過外掛的方式對 Ansible 進行擴充套件了。每個模組都能接收引數,幾乎所有的模組都接受鍵值對(key=value)引數,這些引數通過空格進行分隔。也有一些模組不接收引數,只需在命令列輸入相關的命令就能呼叫。如果要執行單個命令,可以使用 command 模組:
$ ansible testservers -m command -u nick -a "df -h" $ ansible webservers -m command -a "/sbin/reboot -t now"
因為 command 是 ansible 執行命令是使用的預設模組,所以我們可以在命令列中省略它:
$ ansible testservers -u nick -a "df -h" $ ansible testservers -b -u nick -a "/sbin/reboot -t now"
這樣的寫法本質上和前面的寫法是一樣的。
如果要執行其它模組中的命令就需要通過 -m 選項顯式的指定模組的名稱,比如執行 service 模組中的命令:
$ ansible testservers -m service -a "name=httpd state=started"
如果要把檔案從本機拷貝到客戶端主機上去,就需要使用 copy 模組:
$ ansible testservers -m copy -u nick -a "src=./app.js dest=./myapp/app.js"
Ansible 預設內建了很多好用的模組,你可以從其官方文件中的模組部分瞭解更多模組相關的內容。
playbook
如果 Ansible 的功能僅僅是能夠執行當個的命令和指令碼就顯得太弱了。Ansible 的 laybook 功能支援把命令以 yaml 的格式寫在配置檔案中,然後一次性執行配置檔案中的所有命令(這一點類似於 chef 中的 cookbook)。比如我們可以把前面演示的 df -h 命令以配置檔案的方式寫在 playbook 中:
---- hosts: testservers
become: true
become_user: root
tasks:
- name: check disk
command: df -h
把上面的程式碼儲存在檔案 playbook.yml 中,當然你可以根據自己的喜好命名這個檔案。其中 hosts 表示對哪些主機進行操作,become 就是我們在命令列上用過的 -b 選項,這裡我們通過 become_user: root 顯式的指定把當前使用者的許可權提升為 root 使用者許可權來執行命令。下面的 tasks 則是對任務的定義,name 是獨一無二的一個任務名(如果有多個同名的 task,只執行第一個),接著是 task 中的命令,這裡我們還是簡單的執行 df -h 命令。然後執行下面的命令,注意這次執行的是 ansible-playbook 命令,並且需要指定編輯好的 playbook 的檔名稱作為引數:
$ ansible-playbook -u nick playbook.yml
這樣一個簡單的 playbook 就可以正常工作了,當然實際的生產環境中你可能會把 playbook 編寫的非常複雜!
跳過首次 ssh 連線時的確認提示
這是一個在自動化的過程中經常碰到的問題,所以有必要提一下。如果你不是通過 ssh-copy-id 命令把公鑰新增到目標機器上的(多數的環境都不是這麼做的),在首次執行 ansible 命令時需要使用者確認連線的安全性:
這是非常悲催的,因為我們要實現的目標是自動化的執行命令,而不需要進行互動式的操作。
這個問題的解決方案是配置 ansible,跳過這一步的檢查。具體的做法是在配置檔案 /etc/ansible/ansible.cfg 中找到行 host_key_checking = False,並去掉行頭的註釋字元:
然後再執行 ansible 命令就不會提示使用者進行互動式驗證了。
總結
Ansible 是一個強大的自動化工具,並以其簡介的用法,對開發者(系統運維工程師)友好的特點在自動化的流程中佔據了一席之地。在這個 devops 已經成為主流的時代,如果能夠熟練的使用 ansible ,相信必定會讓你的 devops 實踐如虎添翼。