实验环境:

主控机:192.168.1.9(centos 7.5) 被控机:192.168.1.8(centos 7.5);192.168.1.7(centos 7.4);192.168.1.6(cnetos 6.9) 虚拟机:vmware 14 做ansible实验前,必须做好主控机的基于被控机的key验证登录 具体参照前面的博文中的基于key验证。 http://blog.51cto.com/13698281/2118972

安装ansible

rpm包安装: EPEL源

yum install ansible

编译安装:

yum -y install python-jinja2 PyYAML python-paramiko python-babel python-crypto
tar xf ansible-1.5.4.tar.gz
cd ansible-1.5.4
python setup.py build
python setup.py install
mkdir /etc/ansible
cp -r examples/* /etc/ansible

Git方式:

git clone git://github.com/ansible/ansible.git --recursive
cd ./ansible
source ./hacking/env-setup

pip安装: pip是安装Python包的管理器,类似yum

yum install python-pip python-devel
yum install gcc glibc-devel zibl-devel rpm-bulid openssl-devel
pip install --upgrade pip
pip install ansible --upgrade

确认安装: ansible --version

相关文件说明

配置文件

/etc/ansible/ansible.cfg 主配置文件,配置ansible工作特性;建议去掉# host_key_checking = False ;disabled SSH key host checking;前提基于key验证
/etc/ansible/hosts 主机清单
/etc/ansible/roles/ 存放角色的目录

程序

/usr/bin/ansible 主程序,临时命令执行工具
/usr/bin/ansible-doc 查看配置文档,模块功能查看工具
/usr/bin/ansible-galaxy 下载/上传优秀代码或Roles模块的官网平台
/usr/bin/ansible-playbook 定制自动化任务,编排剧本工具/usr/bin/ansible-pull 远程执行命令的工具
/usr/bin/ansible-vault 文件加密工具
/usr/bin/ansible-console 基于Console界面与用户交互的执行工具

hosts清单

# Ex 1: Ungrouped hosts, specify before any group headers.

## green.example.com
## blue.example.com
## 192.168.100.1
## 192.168.100.10

# Ex 2: A collection of hosts belonging to the 'webservers' group

## [webservers]
## alpha.example.org
## beta.example.org
## 192.168.1.100:9527  #如果此被控机ssh端口为9527,则加一项
## 192.168.1.110

# Here's another example of host ranges, this time there are no
# leading 0s:
## db-[99:101]-node.example.com   

ansible

特性

模块化:调用特定的模块,完成特定任务有Paramiko,PyYAML,Jinja2(模板语言)三个关键模块 支持自定义模块 基于Python语言实现 部署简单,基于python和SSH(默认已安装),agentless 安全,基于OpenSSH 支持playbook编排任务 幂等性:一个任务执行1遍和执行n遍效果一样,不因重复执行带来意外情况 无需代理不依赖PKI(无需ssl) 可使用任何编程语言写模块 YAML格式,编排任务,支持丰富的数据结构 较强大的多层解决方案

主要组成

ANSIBLE PLAYBOOKS:任务剧本(任务集),编排定义Ansible任务集的配置文件,由Ansible顺序依次执行,通常是JSON格式的YML文件
INVENTORY:Ansible管理主机的清单/etc/anaible/hosts
MODULES:Ansible执行命令的功能模块,多数为内置核心模块,也可自定义
PLUGINS:模块功能的补充,如连接类型插件、循环插件、变量插件、过滤插件等,该功能不常用
API:供第三方程序调用的应用程序编程接口
ANSIBLE:组合INVENTORY、API、MODULES、PLUGINS的绿框,可以理解为是ansible命令工具,其为核心执行工具

Ansible命令执行来源

USER,普通用户,即SYSTEM ADMINISTRATOR
CMDB(配置管理数据库) API 调用
PUBLIC/PRIVATE CLOUD API调用
USER-> Ansible Playbook -> Ansibile

利用ansible实现管理的方式

Ad-Hoc 即ansible命令,主要用于临时命令使用场景
Ansible-playbook 主要用于长期规划好的,大型项目的场景,需要有前提
的规划

Ansible-playbook(剧本)执行过程:

将已有编排好的任务集写入Ansible-Playbook
通过ansible-playbook命令分拆任务集至逐条ansible命令,按预定规则逐条
执行

ansible主要操作对象

HOSTS主机
NETWORKING网络设备

注意事项

执行ansible的主机一般称为主控端,中控,master或堡垒机
主控端Python版本需要2.6或以上
被控端Python版本小于2.4需要安装python-simplejson
被控端如开启SELinux需要安装libselinux-python
windows不能做为主控端

ansible相关命令

Ansible系列命令

ansible ansible-doc ansible-playbook ansible-vault
ansible-console ansible-galaxy ansible-pull
ansible-doc: 显示模块帮助
ansible-doc [options] [module...]
-a 显示所有模块的文档
-l, --list 列出可用模块
-s, --snippet显示指定模块的playbook片段

示例:

ansible-doc –l 列出所有模块
ansible-doc ping 查看指定模块帮助用法
ansible-doc –s ping 查看指定模块帮助用法

命令行

ansible <host-pattern> [-m module_name] [-a args]
--version 显示版本
-m module 指定模块,默认为command
-v 详细过程 –vv -vvv更详细
--list-hosts 显示主机列表,可简写—list
-k, --ask-pass 提示输入ssh连接密码,默认Key验证
-K, --ask-become-pass 提示输入sudo时的口令
-C, --check 检查,并不执行
-T, --timeout=TIMEOUT 执行命令的超时时间,默认10s
-u, --user=REMOTE_USER 执行远程执行的用户
-b, --become 代替旧版的sudo 切换

ansible命令执行过程

  1. 加载自己的配置文件 默认/etc/ansible/ansible.cfg
  2. 加载自己对应的模块文件,如command
  3. 通过ansible将模块或命令生成对应的临时py文件,并将该 文件传输至远程服务器的对应执行用户$HOME/.ansible/tmp/ansible-tmp-数字/XXX.PY文件
  4. 给文件+x执行
  5. 执行并返回结果
  6. 删除临时py文件,sleep 0退出

执行状态:

绿色:执行成功并且不需要做改变的操作 ×××:执行成功并且对目标主机做变更 红色:执行失败

ansible常用模块

Command:在远程主机执行命令,默认模块,可忽略-m选项

ansible srvs -m command -a 'service vsftpd start'
ansible srvs -m command -a 'echo password |passwd --stdin user'
 #不成功,此命令不支持 $VARNAME < > | ; & 等,用shell模块实现

Shell:和command相似,用shell执行命令

ansible srv -m shell -a 'echo password |passwd –stdin user'
#调用bash执行命令 类似 cat /tmp/stanley.md | awk -F'|' '{print $1,$2}' &>/tmp/example.txt 这些复杂命令,即使使用shell也可能会失败,解决办法:写到脚本时,copy到远程,执行,再把需要的结果拉回执行命令的机器

Script:运行脚本

 -a "/PATH/TO/SCRIPT_FILE"
 asnsible websrvs -m script -a f1.sh

** Copy**:从服务器复制文件到客户端,

 ansible srv -m copy -a "src=/root/f1.sh dest=/tmp/f2.sh owner=user mode=600 backup=yes"
#如目标存在,默认覆盖,此处指定先备份
 ansible srv -m copy -a "content='test content\n' dest=/tmp/f1.txt" # 利用内容,直接生成目标文件

Fetch:从客户端取文件至服务器端,copy相反,目录可先tar

ansible srv -m fetch -a 'src=/root/a.sh dest=/data/scripts'

File:设置文件属性

ansible srv -m file -a "path=/root/a.sh owner=user mode=755"
ansible web -m file -a 'src=/app/testfile dest=/app/testfile-link state=link'

Hostname:管理主机名

ansible node1 -m hostname -a "name=websrv"

Cron:计划任务

#支持时间:minute,hour,day,month,weekday
ansible srv -m cron -a "minute=*/5 job='/usr/sbin/ntpdate 172.16.0.1 &>/dev/null'
name=Synctime" #创建任务
ansible srv -m cron -a 'state=absent name=Synctime'  #删除任务

Yum:管理包

ansible srv -m yum -a 'name=httpd state=latest' #安装
ansible srv -m yum -a 'name=httpd state=absent' #删除

Ansible-vault

 功能:管理加密解密yml文件
 ansible-vault [create|decrypt|edit|encrypt|rekey|view]
 ansible-vault encrypt hello.yml 加密
 ansible-vault decrypt hello.yml 解密
 ansible-vault view hello.yml 查看
 ansible-vault edit hello.yml 编辑加密文件
 ansible-vault rekey hello.yml 修改口令
 ansible-vault create new.yml 创建新文件

playbook

playbook是由一个或多个“play”组成的列表 play的主要功能在于将事先归并为一组的主机装扮成事先通过ansible中的task定义好的角色。从根本上来讲,所谓task无非是调用ansible的一个module。将多个play组织在一个playbook中,即可以让它们联同起来按事先编排的机制同唱一台大戏 Playbook采用YAML语言编写

YAML介绍

YAML是一个可读性高的用来表达资料序列的格式。YAML参考了其他多种语言,包括:XML、C语言、Python、Perl以及电子邮件格式RFC2822等。Clark Evans在2001年在首次发表了这种语言,另外Ingy döt Net与Oren Ben-Kiki也是这语言的共同设计者 YAML Ain't Markup Language,即YAML不是XML。不过,在开发的这种语言时,YAML的意思其实是:"Yet Another Markup Language"(仍是一种标记语言) 特性 YAML的可读性好 YAML和脚本语言的交互性好 YAML使用实现语言的数据类型 YAML有一个一致的信息模型 YAML易于实现 YAML可以基于流来处理 YAML表达能力强,扩展性好 更多的内容及规范参见 http://www.yaml.org

playbook与shell脚本

SHELL脚本

#!/bin/bash
# 安装Apache
yum install --quiet -y httpd
# 复制配置文件
cp /tmp/httpd.conf /etc/httpd/conf/httpd.conf
cp/tmp/vhosts.conf /etc/httpd/conf.d/
# 启动Apache,并设置开机启动
service httpd start
chkconfig httpd on

Playbook定义

---
- hosts: all
tasks:
- name: "安装Apache"
yum: name=httpd
- name: "复制配置文件"
copy: src=/tmp/httpd.conf dest=/etc/httpd/conf/
copy: src=/tmp/vhosts.conf dest=/etc/httpd/conf.cd/
- name: "启动Apache,并设置开机启动"
service: name=httpd state=started enabled=yes

palybook变量

变量名:仅能由字母、数字和下划线组成,且只能以字母开头 变量来源: 1 ansible setup facts 远程主机的所有变量都可直接调用 2 在/etc/ansible/hosts中定义 普通变量:主机组中主机单独定义,优先级高于公共变量 公共(组)变量:针对主机组中所有主机定义统一变量 3 通过命令行指定变量,优先级最高 ansible-playbook –e varname=value 4 在playbook中定义 vars:

  • var1: value1
  • var2: value2 5 在role中定义

模板templates

文本文件,嵌套有脚本(使用模板编程语言编写) Jinja2语言,使用字面量,有下面形式 字符串:使用单引号或双引号 数字:整数,浮点数 列表:[item1, item2, ...] 元组:(item1, item2, ...) 字典:{key1:value1, key2:value2, ...} 布尔型:true/false 算术运算:+, -, *, /, //, %, **

比较操作:==, !=, >, >=, <, <=

==	比较两个对象是否相等
!=	比较两个对象是否不等
>	如果左边大于右边,返回 true 
>=	如果左边大于等于右边,返回 true 
<	如果左边小于右边,返回 true 
<=	如果左边小于等于右边,返回 true 

逻辑运算:and, or, not 流表达式:For If When

tasks:
- name: install conf file to centos7
  template: src=nginx.conf.c7.j2
  when: ansible_distribution_major_version == "7"

示例:for.yml

---                                                                                  
- hosts: all
  remote_user: root
  vars:
    ports:
      - listen_port: 81
        name: web1
        rootdir: web1.com
      - listen_port: 82
        name: web2
        rootdir: web2.com
      - listen_port: 83
        name: web3
        rootdir: web3.com

  tasks:
    - name: copy templates conf
      template: src=forif.conf.j2 dest=/data/forif.conf

templates/for.conf.j2

{% for p in ports %}                                                                 
server{
    listen {{ p.listen_port }}
    name {{ p.name }}
    rootdir {{ p.rootdir }}
}
{% endfor %}

Handlers

Handlers是task列表,这些task与前述的task并没有本质上的不同,用于当关注的资源发生变化时,才会采取一定的操作;

notify这个action可用于在每个play的最后被触发,这样可以避免多次有改变发生时每次都执行指定的操作,仅在所有的变化发生完成后一次性地执行指定操作。在notify中列出的操作称为handler,也即notify中调用handler中定义的操作。

---
- hosts: websrvs
  remote_user: root

  tasks:
    - name: install httpd package
      yum: name=httpd
    - name: copy configuration file for httpd
      copy: src=files/httpd.conf dest=/etc/httpd/conf/httpd.conf
      notify: restart service
    - name: start httpd service
      service: name=httpd state=started

  handlers:
    - name: restart service
      service: name=httpd state=restarted

roles

roles ansilbe自1.2版本引入的新特性,用于层次性、结构化地组织playbook。roles能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用roles只需要在playbook中使用include指令即可。简单来讲,roles就是通过分别将变量、文件、任务、模板及处理器放置于单独的目录中,并可以便捷地include它们的一种机制。角色一般用于基于主机构建服务的场景中,但也可以是用于构建守护进程等场景中 复杂场景:建议使用roles,代码复用度高 变更指定主机或主机组 如命名不规范维护和传承成本大 某些功能需多个Playbook,通过Includes即可实现 下面的nginx的roles,可通过下载

ansible-galaxy install geerlingguy.nginx