一,工具简介
1.1 ansible简介
批量管理服务器工具
无需部署agent,通过ssh进行管理
中小型公司常用的自动化运维工具
1.2 jenkins简介
可视化运维(主要用在可视化部署)
持续构建,可以和git,snv结合
可结合ssh实现可视化运维
可结合ansible实现可视化运维
1.3 环境说明
Centos7.5 (yum -y install net-tools vim)
关闭防火墙(systemctl stop firewalld关闭防火墙,systemctl disable firewalld关闭防火墙开机启动)
二,Ansible服务的部署和安装
2.1 ansible安装 ——————通过yum源的方式安装ansible
yum -y install epel-release
yum -y install ansible
2.2 生产环境ansible管理服务器ssh登录安全策略
2.2.1 生产环境ssh登录策略
运维修改时提前备份是好习惯 cp /etc/ssh/shhd_config{,.bak}
[root@gaowei ~]# cat -n /etc/ssh/sshd_config.bak | sed -n '17p;38p;43p;47p;65p;79p;115p'
17 #Port 22 #修改ssh连接端口
38 #PermitRootLogin yes #是否允许root账号远程登陆
43 #PubkeyAuthentication yes #是否开启公钥连接认证
47 AuthorizedKeysFile .ssh/authorized_keys #公钥文件的放置位置
65 PasswordAuthentication yes #是否开启密码验证登陆
79 GSSAPIAuthentication yes #是否关闭GSSAPI认证
115 #UseDNS yes #是否关闭DNS反向解析
[root@gaowei ~]# cat -n /etc/ssh/sshd_config | sed -n '17p;38p;43p;47p;65p;79p;115p'
17 Port 22221 #工作中需要设定到1万以上的端口,避免被扫描出来。
38 PermitRootLogin yes #如果不是超大规模的服务器,为了方便我们可以暂时开启root远程登录
43 PubkeyAuthentication yes #开启公钥认证模式
47 AuthorizedKeysFile .ssh/authorized_keys #公钥放置位置
65 PasswordAuthentication no #为了安全我们关闭服务器的密码认证方式
79 GSSAPIAuthentication no #关闭GSSAPI认证,极大提高ssh连接速度
115 UseDNS no #关闭DNS反向解析,极大提高ssh连接速度
2.2.2 设置xshell私钥登录linux
#查看服务器端IP
[root@ansible .ssh]# hostname -I
192.168.200.134
#在Linux服务器端生成rsa密钥对
[root@ansible ~]# ssh-keygen #一直回车
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:royhAEKx9bhe4jLZ3SzfZ/yvhkzPgToDIx+1gSxoOLM root@www
The keys randomart image is:
+---[RSA 2048]----+
| . . |
| + o |
| o..... . |
|.+ o.. o o |
|o =o .. S o . |
|oE= +.o= . o . |
|.+ +.ooo= = + . |
| .o. +oo.+ * + |
| . . o. .= ooo. |
+----[SHA256]-----+
#将生成的公钥导入到服务器端的~/.ssh/authorized_keys文件里
[root@ansible ~]# cd .ssh/
[root@ansible .ssh]# ls
id_rsa id_rsa.pub
[root@ansible .ssh]# cat id_rsa.pub > authorized_keys
[root@ansible .ssh]# chmod 600 authorized_keys #权限必须600否则不生效
[root@ansible .ssh]# cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDS7U4vgjCpWrMFwnWjUlrebldvPw5NNQpnyGT/1cTsyI6ryPm19J+IQ2wNn67BpYz0NKyLjq/hYlSxlQmD7xHwNM5KQirUYPgwPhhDqGuNE+UrBZ2lUkknt358YWGpEC+TUPy/MLNbnIepPpZr0y0qyXmtp7KpeXJwLeKLzZLpHnzA8Vr3A7w/jNaDnQJmKYvDvD0Q6O54CVkkSdxaYPAT1hVfX1pKz0dSNQbJpl5ZJXigQo26M+7qYXeUBxI5Guaapl6uT5sySzTBwwd9Yt49NKE/kIivClegVfHPGF4iSqfCiCd2BTJGTuCVBS2j4lhrjTLyWRO8po7BM4yImRGf root@www
#将私钥文件id_rsa复制一份改名为rd_rsa_root并导出到宿主机桌面上
[root@ansible .ssh]# ls
authorized_keys id_rsa id_rsa.pub
[root@ansible .ssh]# cp id_rsa id_rsa_root
[root@ansible .ssh]# ls
authorized_keys id_rsa.pub id_rsa id_rsa_root
查看导入到桌面上的私钥文件
最后 xshell显示登陆成功!
2.2.3 用户权限策略
在生产环境中,如果遇到禁止root用户远程登录系统,授权仅普通用户登陆系统,那么需要管理员权限执行sudo提权即可,避免root用户之间登陆。
1 #创建一个普通用户yunjisuan
2 [root@ansible ~]# useradd yunjisuan
3 [root@ansible ~]# echo "123123" | passwd --stdin yunjisuan
4 更改用户 yunjisuan 的密码 。
5 passwd:所有的身份验证令牌已经成功更新。
6 #以root账号授权普通用户yunjisuan所有权限并免输入密码
7 [root@ansible ~]# sed -n '93p' /etc/sudoers
8 yunjisuan ALL=(ALL) ALL
9 #切换到yunjisuan用户测试提权
10 [root@ansible ~]# su - yunjisuan
11 [yunjisuan@ansible ~]$ sudo -l
12 我们信任您已经从系统管理员那里了解了日常注意事项。
13 总结起来无外乎这三点:
14 #1) 尊重别人的隐私。
15 #2) 输入前要先考虑(后果和风险)。
16 #3) 权力越大,责任越大。
17 [sudo] yunjisuan 的密码:
18 匹配 %2$s 上 %1$s 的默认条目:
19 !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
20 env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
21 env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
22 secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
23 用户 yunjisuan 可以在 ansible 上运行以下命令:
24 (ALL) ALL
25 #测试提权
26 [yunjisuan@ansible ~]$ ls /root
27 ls: 无法打开目录/root: 权限不够
28 [yunjisuan@ansible ~]$ sudo ls /root
29 anaconda-ks.cfg
2.2.4 配置xshell远程密钥登录服务器端普通用户
1 #给yunjisuan普通用户创建公钥认证。注意权限。权限过大,公钥验证会失败
2 [root@ansible ~]# mkdir -p /home/yunjisuan/.ssh
3 [root@ansible ~]# chmod 700 /home/yunjisuan/.ssh
4 [root@ansible ~]# chown yunjisuan.yunjisuan /home/yunjisuan/.ssh
5 [root@ansible ~]# cp ~/.ssh/authorized_keys /home/yunjisuan/.ssh/
6 [root@ansible ~]# chmod 600 /home/yunjisuan/.ssh/authorized_keys
7 [root@ansible ~]# chown yunjisuan.yunjisuan /home/yunjisuan/.ssh/authorized_keys
然后我们xshell远程登录普通用户到ansible服务器端,xshell还是用刚才导入的哪个私钥文件即可,方法
和上面相同,只是用户名是yunjisuan,登录成功后,我们关闭ansible管理服务器端的root账号ssh远程登 录即可。
1 #在生产环境我们一般是要禁止服务器root账号远程登录功能的(一旦关闭,密钥和密码登陆方式都不能再登陆)
2 #如果我们想用root账号进行操作,那么远程密钥连接普通用户在切换成root账号即可
3 yunjisuan@ansible ~]$ sudo su -
4 [sudo] yunjisuan 的密码:
5 上一次登录:日 9月 9 21:01:31 CST 2018从 192.168.200.1pts/1 上
6 [root@ansible ~]#
7 #关闭Ansible管理服务器的root账号SSH远程登录功能
8 [root@ansible ~]# sed -n '38p' /etc/ssh/sshd_config
9 PermitRootLogin no
10 #重启动sshd服务
11 [root@ansible ~]# systemctl restart sshd
2.2.5 配置Ansible管理服务器sudo审计日志
1 #开启sudo日志
2 [root@ansible ~]# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf
3 [root@ansible ~]# echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
4 [root@ansible ~]# systemctl restart rsyslog
5 #测试sudo日志记录
6 [root@ansible ~]# exit
7 登出
8 [yunjisuan@ansible ~]$ sudo su -
9 [sudo] yunjisuan 的密码:
10 上一次登录:日 9月 9 21:40:11 CST 2018pts/0 上
11 #查看/var/log/sudo.log日志
12 [root@ansible ~]# cat /var/log/sudo.log
13 Sep 9 21:49:12 : yunjisuan : TTY=pts/0 ; PWD=/home/yunjisuan ; USER=root ;
14 COMMAND=/bin/su -
2.2.6 配置主机清单
/etc/ansible/hosts文件中可以定义被管理主机,Ansible通过读取/etc/ansible/hosts文件内定义的主机清单批量做一些操作。
1 [root@ansible ~]# cat /etc/ansible/hosts
2 [nginx]
3 Web01 ansible_ssh_host=192.168.200.140
4 Web02 ansible_ssh_host=192.168.200.141
5 说明:
6 ansible_ssh_host:被管理主机IP
7 ansible_ssh_user:被管理主机用户名
8 ansible_ssh_pass:被管理主机用户的登陆密码
9 ansible_sudo_pass:被管理主机用户sudo时的密码
2.2.7 设置ssh免密码登录
为了避免Ansible下发指令时需要输入被管理主机的密码,可以通过证书签名达到SSH无密码登陆。使用ssh-keygen产生一对密钥,并通过ssh-copy-id命令来发送生成的公钥。
1 [root@ansible ~]# ls ~/.ssh/
2 authorized_keys id_rsa id_rsa.pub
3 [root@ansible ~]# ssh-copy-id 192.168.200.184
4 [root@ansible ~]# ssh-copy-id 192.168.200.185
当然,我们也可以在控制端主机的hosts文件里直接写入连接方式,用户,密码也能下发指令。但是生产环境不建议这么做。因为这样明文密码容易泄露,另外如果被控制主机修改了密码,这里也需要一起更改,不便于管理。
2.2.8 Ansible服务器简单的综合安全管理策略
1 #禁止非root用户查看Ansible管理服务器端/etc/hosts文件
2 [root@ansible ~]# ll /etc/hosts
3 -rw-r--r--. 1 root root 180 9月 9 00:38 /etc/hosts
4 [root@ansible ~]# chmod 600 /etc/hosts
5 #禁止非root用户查看Ansible的主机清单配置文件
6 [root@ansible ~]# ll /etc/ansible/hosts
7 -rw-r--r-- 1 root root 87 9月 9 21:59 /etc/ansible/hosts
8 [root@ansible ~]# chmod 600 /etc/ansible/hosts
到此,我们Ansible服务器简单安全策略就算完成!
三,Ansible的基础应用
Ansible可以使用命令行的方式进行自动化管理。命令的基本语法如下所示:
1 ansible <被操控的主机或主机组或all> [-m 模块名] [-a 具体命令]
2 说明:
3 主机组名====> /etc/ansible/hosts里设定的nginx,apache,web
4 主机名====> Web01,Web02
5 all ====>/etc/ansible/hosts里设定的所有主机
6 模块名====> command,cron,shell,file等
3.1 ping模块
Ansible中使用ping模块来检测指定主机的连通性
1 #测试单主机
2 [root@ansible ~]# ansible Web01 -m ping
3 Web01 | SUCCESS => {
4 "changed": false,
5 "ping": "pong"
6 }
7 #测试单主机
8 [root@ansible ~]# ansible Web02 -m ping
9 Web02 | SUCCESS => {
10 "changed": false,
11 "ping": "pong"
12 }
13 #测试主机组
14 [root@ansible ~]# ansible nginx -m ping
15 Web02 | SUCCESS => {
16 "changed": false,
17 "ping": "pong"
18 }
19 Web01 | SUCCESS => {
20 "changed": false,
21 "ping": "pong"
22 }
23 #测试所有的被管理主机
24 [root@ansible ~]# ansible all -m ping
25 Web02 | SUCCESS => {
26 "changed": false,
27 "ping": "pong"
28 }
29 Web01 | SUCCESS => {
30 "changed": false,
31 "ping": "pong"
32 }
3.2 shell模块(command模块)
由于此模块在远程主机执行命令,不支持管道符和重定向等复杂命令,可完全呗shell模块代替,所以我们只讲shell模块。
1 #在Web01上创建用户yunjisuan,并非交互方式设定密码
2 [root@ansible ~]# ansible Web01 -m shell -a 'useradd yunjisuan'
3 Web01 | SUCCESS | rc=0 >>
4 [root@ansible ~]# ansible Web01 -m shell -a 'echo 123123 | passwd --stdin yunjisuan'
5 Web01 | SUCCESS | rc=0 >>
6 更改用户 yunjisuan 的密码 。
7 passwd:所有的身份验证令牌已经成功更新。
8 [root@ansible ~]# ansible Web01 -m shell -a 'id yunjisuan'
9 Web01 | SUCCESS | rc=0 >>
10 uid=1000(yunjisuan) gid=1000(yunjisuan) 组=1000(yunjisuan)
11 [root@ansible ~]# ansible Web01 -m shell -a 'tail -1 /etc/shadow'
12 Web01 | SUCCESS | rc=0 >>
13 yunjisuan:$6$4y7c1tkV$oPZW0psDdAzJp5RomBrOpSlTuvsdQ/5JaBYHU.LOPsYQ0o7EpPFRMuh/X9ruwcmBcZbN.l/glBTfDKm//jJP60:17782:0:99999:7:::
14 #在所有被管理的主机的/etc/hosts文件里添加Ansible管理服务器的IP地址映射
15 [root@ansible ~]# ansible all -m shell -a 'echo "ansible 192.168.200.134" >> /etc/hosts'
16 Web02 | SUCCESS | rc=0 >>
17 Web01 | SUCCESS | rc=0 >>
18 [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
19 Web01 | SUCCESS | rc=0 >>
20 ansible 192.168.200.143
21 Web02 | SUCCESS | rc=0 >>
22 ansible 192.168.200.143
3.3 cron模块
Ansible中的cron模块用于定义任务计划。
crontab时间周期:分钟,小时,日期,月份,周
crontab任务:job 指明运行的命令是什么
crontab任务描述:name 定时任务描述(定时任务清楚的依据)
crontab任务的用户身份:user 指定定时任务以哪个用户身份执行
state状态:present 表示添加 (省略状态时默认使用);adsent 表示移除
1 #添加定时任务计划,在所有被管理的主机里每十分钟输出hello字符串,定时任务描述为test cron job
2 [root@ansible ~]# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job"'
3 Web02 | SUCCESS => {
4 "changed": true,
5 "envs": [],
6 "jobs": [
7 "test cron job"
8 ]
9 }
10 Web01 | SUCCESS => {
11 "changed": true,
12 "envs": [],
13 "jobs": [
14 "test cron job"
15 ]
16 }
17 [root@ansible ~]# ansible all -m shell -a 'crontab -l'
18 Web01 | SUCCESS | rc=0 >>
19 #Ansible: test cron job
20 */10 * * * * /bin/echo hello
21 Web02 | SUCCESS | rc=0 >>
22 #Ansible: test cron job
23 */10 * * * * /bin/echo hello
24 #删除描述为test cron job的定时任务
25 [root@ansible ~]# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job" state=absent'
26 Web02 | SUCCESS => {
27 "changed": true,
28 "envs": [],
29 "jobs": []
30 }
31 Web01 | SUCCESS => {
32 "changed": true,
33 "envs": [],
34 "jobs": []
35 }
36 [root@ansible ~]# ansible all -m shell -a 'crontab -l'
37 Web02 | SUCCESS | rc=0 >>
38 Web01 | SUCCESS | rc=0 >>
39 #给Web01服务器上的普通用户yunjisuan添加一个定时任务
40 [root@ansible ~]# ansible Web01 -m shell -a 'id yunjisuan'
41 Web01 | SUCCESS | rc=0 >>
42 uid=1000(yunjisuan) gid=1000(yunjisuan) 组=1000(yunjisuan)
43 [root@ansible ~]# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan"'
44 Web01 | SUCCESS => {
45 "changed": true,
46 "envs": [],
47 "jobs": [
48 "yunjisuan cron job"
49 ]
50 }
51 [root@ansible ~]# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
52 Web01 | SUCCESS | rc=0 >>
53 #Ansible: yunjisuan cron job
54 */10 * * * * /bin/echo hello
55 [root@ansible ~]# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan" state="absent"'
56 Web01 | SUCCESS => {
57 "changed": true,
58 "envs": [],
59 "jobs": []
60 }
61 [root@ansible ~]# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
62 Web01 | SUCCESS | rc=0 >>
3.4 copy模块
Ansible中的copy模块用于实现文件复制和批量下发文件。其中使用src来定义本地源文件路径;使用dest定义被管理主机文件路径;使用content则是使用指定信息内容来生成目标文件。
1 #将本地的/etc/hosts文件拷贝到所有被管理的主机的/etc/hosts路径下覆盖同名文件,并指定属主和权限,若拷贝的文件与目标文件内容不同,则备份目标文件再覆盖。
2 [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
3 Web01 | SUCCESS | rc=0 >>
4 ansible 192.168.200.134
5 Web02 | SUCCESS | rc=0 >>
6 ansible 192.168.200.134
7 [root@ansible ~]# echo "web01 192.168.200.140" >> /etc/hosts
8 [root@ansible ~]# tail -1 /etc/hosts
9 web01 192.168.200.140
10 [root@ansible ~]# ansible all -m copy -a 'src=/etc/hosts dest=/etc/hosts owner=root mode=640 backup=yes'
11 Web01 | SUCCESS => {
12 "backup_file": "/etc/hosts.13083.2018-09-09@00:38:35~",
13 "changed": true,
14 "checksum": "80244bc6f9638a3505aae1a2bcf2228e69a00420",
15 "dest": "/etc/hosts",
16 "gid": 0,
17 "group": "root",
18 "md5sum": "de48f3cf45d11215fa7cfd0d558be954",
19 "mode": "0640",
20 "owner": "root",
21 "size": 180,
22 "src": "/root/.ansible/tmp/ansible-tmp-1536424715.44-39054260112988/source",
23 "state": "file",
24 "uid": 0
25 }
26 Web02 | SUCCESS => {
27 "backup_file": "/etc/hosts.12643.2018-09-09@00:38:36~",
28 "changed": true,
29 "checksum": "80244bc6f9638a3505aae1a2bcf2228e69a00420",
30 "dest": "/etc/hosts",
31 "gid": 0,
32 "group": "root",
33 "md5sum": "de48f3cf45d11215fa7cfd0d558be954",
34 "mode": "0640",
35 "owner": "root",
36 "size": 180,
37 "src": "/root/.ansible/tmp/ansible-tmp-1536424715.45-15307684711466/source",
38 "state": "file",
39 "uid": 0
40 }
41 [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
42 Web02 | SUCCESS | rc=0 >>
43 web01 192.168.200.140
44 Web01 | SUCCESS | rc=0 >>
45 web01 192.168.200.140
46 [root@ansible ~]# ansible all -m shell -a 'ls /etc/hosts*'
47 Web01 | SUCCESS | rc=0 >>
48 /etc/hosts
49 /etc/hosts.13083.2018-09-09@00:38:35~ #这就是备份的文件
50 /etc/hosts.allow
51 /etc/hosts.deny
52 Web02 | SUCCESS | rc=0 >>
53 /etc/hosts
54 /etc/hosts.12643.2018-09-09@00:38:36~ #这就是备份的文件
55 /etc/hosts.allow
56 /etc/hosts.deny
57 #将本地/tmp/test.sh的脚本复制到远程主机上并远程激活
58 [root@ansible ~]# cat /tmp/test.sh
59 #!/bin/bash
60 echo "welcome to yunjisuan"
61 [root@ansible ~]# ansible all -m copy -a 'src=/tmp/test.sh dest=/tmp owner=root mode=500'
62 Web01 | SUCCESS => {
63 "changed": true,
64 "checksum": "70ae837e7367f5d4de9a3197709639ae14743000",
65 "dest": "/tmp/test.sh",
66 "gid": 0,
67 "group": "root",
68 "md5sum": "5ff4338de7d9ff0ded9fa3e0ecd15bab",
69 "mode": "0500",
70 "owner": "root",
71 "size": 41,
72 "src": "/root/.ansible/tmp/ansible-tmp-1536425049.22-149074464676784/source",
73 "state": "file",
74 "uid": 0
75 }
76 Web02 | SUCCESS => {
77 "changed": true,
78 "checksum": "70ae837e7367f5d4de9a3197709639ae14743000",
79 "dest": "/tmp/test.sh",
80 "gid": 0,
81 "group": "root",
82 "md5sum": "5ff4338de7d9ff0ded9fa3e0ecd15bab",
83 "mode": "0500",
84 "owner": "root",
85 "size": 41,
86 "src": "/root/.ansible/tmp/ansible-tmp-1536425049.23-32532320097185/source",
87 "state": "file",
88 "uid": 0
89 }
90 [root@ansible ~]# ansible all -m shell -a '/tmp/test.sh'
91 Web01 | SUCCESS | rc=0 >>
92 welcome to yunjisuan
93 Web02 | SUCCESS | rc=0 >>
94 welcome to yunjisuan
3.5 script模块
Ansible中的script模块可以将本地脚本复制到被管理主机的内存中并运行,不会在被管理主机中留下脚本文件。
1 #编写一个脚本,然后通过ansible的script模块远程向被管理主机执行此脚本
2 [root@ansible ~]# echo 'echo "1111" >> /tmp/test' >> /tmp/test.sh
3 [root@ansible ~]# cat /tmp/test.sh
4 echo "1111" >> /tmp/test
5 [root@ansible ~]# ansible all -m script -a '/tmp/test.sh'
6 Web01 | SUCCESS => {
7 "changed": true,
8 "rc": 0,
9 "stderr": "Shared connection to 192.168.200.184 closed.\r\n",
10 "stderr_lines": [
11 "Shared connection to 192.168.200.184 closed."
12 ],
13 "stdout": "",
14 "stdout_lines": []
15 }
16 Web02 | SUCCESS => {
17 "changed": true,
18 "rc": 0,
19 "stderr": "Shared connection to 192.168.200.185 closed.\r\n",
20 "stderr_lines": [
21 "Shared connection to 192.168.200.185 closed."
22 ],
23 "stdout": "",
24 "stdout_lines": []
25 }
26 [root@ansible ~]# ansible all -m shell -a 'cat /tmp/test'
27 Web02 | SUCCESS | rc=0 >>
28 1111
29 Web01 | SUCCESS | rc=0 >>
30 1111
3.6 yum模块
利用yum模块安装软件包,虽然能被shell模块替代
但是用yum模块更显专业一些
软件包名:name:指定软件包的名字
state状态:present:安装软件包(默认)
absent:卸载软件包
1 #安装nmap软件包
2 [root@ansible ~]# ansible all -m yum -a 'name=nmap'
3 #卸载nmap软件包
4 [root@ansible ~]# ansible all -m yum -a 'name=nmap state=absent'
3.7 service模块
服务名称:name:指定服务名字
state状态:started:启动服务
stopped:停止服务
restarted:重启服务
reloaded:平滑重启
ensbled开机自启动:true:设置开机自启动
false:设置开机不启动
1 #启动firewalld并设置开机自启动
2 [root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=started enabled=true'
3 #关闭firewalld并设置开机不启动
4 [root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=stopped enabled=false'
3.8 user模块
用户管理模块,管理用户账号
指定用户名:name:指定操作的用户的名字
用户描述:comment:指定用户的描述信息
createhome:是否创建家目录
uid:指定用户的uid号
groups:指定用户组
password:指定用户密码
update_password:更新用户密码
shell指定用户的登陆方式
/bin/bash :能登陆系统
/sbin/nologin:不能登陆系统
home:指定用户的家目录路径
stste状态:
present:创建用户
absent:删除用户
remove:当指定stat=absent时,确认是否删除用户家目录
true
false
利用ansible的user模块状态用户时要注意在password参数的后边添加密文,否则不能登陆用户
通过Python的pip程序安装passlib即可为密码加密
1 #安装Python2的pip工具,并通过pip工具安装Python的加密模块来给密码加密
2 [root@ansible ~]# yum -y install epel-release
3 [root@ansible ~]# yum -y install python2-pip
4 [root@ansible ~]# pip install passlib
5 #生成密文密码
6 [root@ansible ~]# python -c "from passlib.hash import sha512_crypt;import getpass;print sha512_crypt.encrypt(getpass.getpass())"
7 Password: #输入你想要加密的密码
8 $6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1 #加密后的密码
9 #在Web02上创建yunjisuan用户
10 [root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan comment="welcom to yunjisuan" uid=1066 groups=wheel password=$6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1 shell=/bin/bash' home=/home/yunjisuan'
11 [root@ansible ~]# ansible Web02 -m shell -a 'tail -1 /etc/shadow'
12 Web02 | SUCCESS | rc=0 >>
13 yunjisuan:$6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1:17783:0:99999:7::: #终于密文了
3.9 setup模块
Ansible中使用setup模块收集,查看被管理主机的facts(facts是Ansible采集被管理主机设备信息的一个功能)。每个被管理主机在接收并运行管理命令之前,都会将自己的相关信息(操作系统版本,IP地址等)发送给控制主机
1 #查看远程主机的facts信息
2 [root@ansible ~]# ansible Web01 -m setup | head
3 Web01 | SUCCESS => {
4 "ansible_facts": {
5 "ansible_all_ipv4_addresses": [
6 "192.168.200.184"
7 ],
8 "ansible_all_ipv6_addresses": [
9 "fe80::20c:29ff:fe77:16ad"
10 ],
11 "ansible_apparmor": {
12 "status": "disabled"
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
