Ansible应用介绍

Ansible

简介

ansible是个什么东西呢？官方的title是“Ansible is Simple IT Automation”——简单的自动化IT工具。这个工具的目标有这么几项：自动化部署APP；自动化管理配置项；自动化的持续交互；自动化的（AWS）云服务管理。所有的这几个目标从本质上来说都是在一个台或者几台服务器上，执行一系列的命令而已。通俗的说就是批量的在远程服务器上执行命令 。当然，最主要的是它是基于 paramiko 开发的。这个paramiko是什么呢？它是一个纯Python实现的ssh协议库。因此fabric和ansible还有一个共同点就是不需要在远程主机上安装client/agents，因为它们是基于ssh来和远程主机通讯的。简单归纳一下：

Ansible

—基于 Python paramiko 开发，分布式，无需客户端，轻量级，配置语法使用 YMAL 及 Jinja2模板语言，更强的远程命令执行操作

类似的自动化运维工具有很多常用的还有：

Puppet

—基于 Ruby 开发，采用 C/S 架构，扩展性强，基于 SSL，远程命令执行相对较弱

SaltStack

—基于 Python 开发，采用 C/S 架构，相对 puppet 更轻量级，配置语法使用 YMAL，使得配置脚本更简单

Ansible工作机制

Ansible 在管理节点将 Ansible 模块通过 SSH 协议（或者 Kerberos、LDAP）推送到被管理端执行，执行完之后自动删除，可以使用 SVN 等来管理自定义模块及编排

由上面的图可以看到 Ansible 的组成由 5 个部分组成：

Ansible：            核心

Modules：          包括 Ansible 自带的核心模块及自定义模块

Plugins：            完成模块功能的补充，包括连接插件、邮件插件等

Playbooks：       网上很多翻译为剧本，个人觉得理解为编排更为合理；定义 Ansible 多任务配置文件，有 Ansible 自动执行

Inventory：         定义 Ansible 管理主机的清单

Ansible安装

使用软件仓库安装

主要的Linux发行版都有自己的软件包管理系统，能帮你自动解决软件包的依赖关系。比如：

Fedora、RHEL、CentOS以及兼容的发行版：

$ sudo yum -y install ansible

Ubuntu、Debian，以及兼容发行版：

$ apt-get install ansible

注意：Fedora、RHEL、CentOS要配置epel源仓库

使用源码安装

最时尚的玩法是使用源码安装了。你会拿到最新版，但并非稳定版。所以，使用源码安装时要留意Bug，积极关注社区和版本更新。请从Github上获取最新代码，安装过程如下：

$ git clone git://github.com/ansible/ansible.git

$ cd ansible && sudo make&&make install

使用pip安装Ansible

Pip是专门用来管理Python模块的工具，Ansible会将每次正式发布都更新到pip仓库中。所以通过pip安装或更新Ansible，会比较稳妥的拿到最新稳定版。

值得注意的是升级操作系统时，并不会同时升级Ansible。另外，升级操作系统有可能损坏Ansible环境，毕竟它依赖Python。还有如果你已经基于Ansible开发大量模块，你最好一直使用对应版本。此时不建议你升级到最新版本，以免由于不兼容等问题导致模块功能异常。Pip的安装指令为：

$ pip install ansible

Ansible的升级

利用pip升级ansible

$pip install –upgrade ansible

尝试ansible

配置主机Hosts

Ansible 通过读取默认的主机清单配置/etc/ansible/hosts,可以同时连接到多个远程主机上执行任务,默认路径可以通过修改 ansible.cfg 的 hostfile 参数指定路径。下面会有详细介绍

vi /etc/ansible/hosts

[web]

192.168.1.100

192.168.1.101

配置免密钥登陆

为了避免Ansible下发指令时输入目标主机密码，通过证书签名达到SSH无密码是一个好的方案，推荐使用ssh-keygen与ssh-copy-id来实现快速证书的生成和公钥下发，其中ssh-keygen生成一对密钥，使用ssh-copy-id来下发生成的公钥。具体操作如下：

ssh-keygen -t rsa -P ''

ssh-copy-id -i .ssh/id_rsa.pub deploy@192.168.1.100

ssh-copy-id -i .ssh/id_rsa.pub deploy@192.168.1.101

注意：在首次连接或者重装系统之后会出现检查 keys 的提示

The authenticity of host '192.168.0.5 (192.168.0.5)' can't be established.

ECDSA key fingerprint is 05:51:e5:c4:d4:66:9b:af:5b:c9:ba:e9:e6:a4:2b:fe.

Are you sure you want to continue connecting (yes/no)?

解决办法:

vim /etc/ansible/ansible.cfg 或者 ~/.ansible.cfg

[defaults]

host_key_checking = False

也可以通过设置系统环境变量来禁止这样的提示

export ANSIBLE_HOST_KEY_CHECKING=False

测试ping

ansible web -m ping

192.168.1.101 | success >> {

    "changed": false,

    "ping": "pong"

}

 

192.168.1.100 | success >> {

    "changed": false,

    "ping": "pong"

}

Ansible命令参数介绍

-v,–verbose                                   详细模式，如果命令执行成功，输出详细的结果(-vv –vvv -vvvv)

  -i PATH,–inventory=PATH                       指定host文件的路径，默认是在/etc/ansible/hosts

  -f NUM,–forks=NUM                             NUM是指定一个整数，默认是5，指定fork开启同步进程的个数。

  -m NAME,–module-name=NAME                     指定使用的module名称，默认是command

  -m DIRECTORY,–module-path=DIRECTORY           指定module的目录来加载module，默认是/usr/share/ansible,

  -a,MODULE_ARGS                                 指定module模块的参数

  -k,–ask-pass                                  提示输入ssh的密码，而不是使用基于ssh的密钥认证

  –sudo                                         指定使用sudo获得root权限

  -K,–ask-sudo-pass                             提示输入sudo密码，与–sudo一起使用

  -u USERNAME,–user=USERNAME                    指定移动端的执行用户

  -C,–check                                     测试此命令执行会改变什么内容，不会真正的去执行

主机清单Hosts介绍

Ansible 通过读取默认的主机清单配置/etc/ansible/hosts，可以同时连接到多个远程主机上执行任务，默认路径可以通过修改 ansible.cfg 的 hostfile 参数指定路径。

/etc/ansible/hosts 主机清单配置格式如下

[dbservers]                                                     []表示主机的分组名,可以按照功能、系统等进行分类，便于对某些主机或者某一组功能相同的主机进行操作

192.168.1.12

one.example.com

badwolf.example.com:5309                                        支持指定 SSH 端口 5309

jumper ansible_ssh_port=5555 ansible_ssh_host=192.168.1.50     设置主机别名为 jumper

www[01:50].example.com                                         支持通配符匹配 www01 www02 …www50

[databases]

db-[a:f].example.com                                             支持字母匹配 a b c…f

为某主机指定连接类型和连接用户

[zhao]

Localhost  ansible_connection=local

other1.example.com ansible_connection=ssh ansible_ssh_user=deploy

other2.example.com ansible_connection=ssh ansible_ssh_user=deploy

hosts 文件支持一些特定指令，上面已经使用了其中几个，所有支持的指令如下：

ansible_ssh_host                       指定主机别名对应的真实 IP，如：100 ansible_ssh_host=192.168.1.100，随后连接该主机无须指定完整 IP，只需指定 251 就行

ansible_ssh_port                       指定连接到这个主机的 ssh 端口，默认 22

ansible_ssh_user                       连接到该主机的 ssh 用户

ansible_ssh_pass                       连接到该主机的 ssh 密码（连-k 选项都省了），安全考虑还是建议使用私钥或在命令行指定-k 选项输入

ansible_sudo_pass                      sudo 密码

ansible_sudo_exe                       sudo 命令路径

ansible_connection                     连接类型，可以是 local、ssh 或 paramiko，ansible1.2 之前默认为 paramiko

ansible_ssh_private_key_file           私钥文件路径

ansible_shell_type                     目标系统的 shell 类型，默认为 sh,如果设置 csh/fish，那么命令需要遵循它们语法

ansible_python_interpreter             python 解释器路径，默认是/usr/bin/python，但是如要要连*BSD系统的话，就需要该指令修改 python 路径

ansible_*_interpreter                  这里的"*"可以是 ruby 或 perl 或其他语言的解释器，作用和 ansible_python_interpreter 类似

清单通配模式介绍

在Ansible中，清单一位着要管理哪些机器，在playbook中，意味着哪些主机需要应用特定的配置或者过程。

比如我们的主机列表配置为：

192.168.1.10

[web]

192.168.1.100

192.168.1.101

[db]

192.168.1.102

 

ansible web -m yum -a "name=nginx state=present"

模式通常用主机组来表示，上面的命令就代表web组的所有主机

简单介绍一下其他的匹配方式：

通配所有主机

all

*

通配具有规则特征的主机或者主机名

one.example.com

*.example.com

192.168.1.100

192.168.1.*

通配两个组的所有主机，组名之间通过冒号隔开，表示OR的意思

web

web:db

非模式匹配：表示在 web组不在db组的主机

web:!db

交集匹配：表示同时都在 web 和db组的主机

web:&db

匹配一个组的特定编号的主机（先后顺序 0 到…）

匹配 web组的第 1 个主机

web[0]

匹配 web组的第 1 个到第 25 个主机

web [0-25]                                                  官网文档是”:”表示范围，测试发现应该使用”–”,注意不要和匹配多个主机组混淆

组合匹配：在 web或者 db组中，必须还存在于test1组中，但是不在test2组中

web:db:&test1:!test2

ansible几个常用模块介绍

shell模块

默认情况下，ansible使用的module 是 command，这个模块并不支持 shell 变量和管道等，若想使用shell 来执行模块，请使用-m 参数指定 shell 模块,但是值得注意的是普通的命令执行模块是通过python的ssh执行。

使用shell模块在远程主机上执行命令:

ansible web -m shell -a ‘echo $TERM’

raw模块

Raw也是命令执行模块，而raw模块则是直接用ssh模块进行执行，通常用在客户机还没有python的环境的时候。

使用raw模块在远程主机上执行命令:

ansible web -m raw -a ‘echo $TERM’

copy模块

实现主控端向目标主机拷贝文件，类似于scp的功能

拷贝本地的/etc/hosts 文件到 web主机组所有主机的/tmp/hosts（空目录除外）

ansible web -m copy -a "src=/etc/hosts dest=/tmp/hosts"

file模块

file模块称之为文件属性模块，可以做的操作如下：

使用 file 模块创建文件

ansible web -m file -a "dest=/tmp/zhao/a.txt state=touch"

file 模块允许更改文件的用户及权限

ansible web -m file -a "dest=/tmp/zhao/a.txt mode=600"

ansible web -m file -a "dest=/tmp/zhao/b.txt mode=600 owner=deploy group=root"

使用 file 模块创建目录，类似 mkdir -p

ansible web -m file -a "dest=/tmp/yong mode=755 owner=deploy group=sa state=directory"

使用 file 模块删除文件或者目录

ansible web -m file -a "dest=/tmp/yong state=absent"

注：state的其他选项：link(链接)、hard(硬链接)

template模块

根据官方的翻译是：template使用了Jinjia2格式作为文件模板，进行文档内变量的替换的模块。他的每次使用都会被ansible标记为changed状态。

stat模块

获取远程文件状态信息，包含atime、ctime、mtime、md5、uid、gid等

ansible web -m stat -a "path=/tmp/zhao/a.txt"

管理软件模块

apt、yum模块分别用于管理ubuntu系列和redhat系列系统软件包

安装nginx软件包

ansible web -m yum -a "name=nginx state=present"

ansible web -m apt -a "name=nginx state=present"

安装包到一个特定的版本

ansible web -m yum -a "name=nginx-1.6.2 state=present"

ansible web -m apt -a "name=nginx-1.6.2 state=present"

指定某个源仓库安装某软件包

ansible web -m yum -a "name=php55w enablerepo= remi state=present"

更新一个软件包是最新版本

ansible web -m yum -a "name=nginx state=latest"

ansible web -m apt -a "name=nginx state=latest"

卸载一个软件

ansible web -m yum -a "name=nginx state=absent"

ansible web –m apt -a "name=nginx state=absent"

Ansible 支持很多操作系统的软件包管理，使用时 -m 指定相应的软件包管理工具模块，如果没有这样的模块，可以自己定义类似的模块或者使用 command 模块来安装软件包。

User模块

使用 user 模块对于创建新用户和更改、删除已存在用户非常方便

创建一个zhao用户并更新密码(密码必须为加密过的字符串)

ansible all -m user -a "name=zhao password= $6$YyF5qLN8$edF1l.d/xcd9kv4ZQD/VVq5g2Uavlwoo/l.W4YVIQgsNghN4CbJKSEdZ5ihxztkYJ.bZV2PCP6MnGOioSLqUK."

删除zhao用户

ansible all -m user -a "name=zhao state=absent"

service模块

启动web 组所有主机的 httpd服务

ansible web -m service -a "name=httpd state=started"

重启 web 组所有主机的 httpd服务

ansible web -m service -a "name=httpd state=restarted"

关闭web组所有主机的 httpd服务

ansible web -m service -a "name=httpd state=stopped"

playbook解析

Playbooks 是 一个不同于使用Ansible命令行执行方式的模式，其功能更强大灵活。简单来说，playbook是一个非常简单的配置管理和多主机部署系统，不同于任何已经存在的模式，可作为一个适合部署复杂应用程序的基础。Playbook可以定制配置，可以按照指定的操作步骤有序执行，支持同步和异步方式。值得注意的是playbook是通过YAML格式来进行描述定义的。基本的YMAL语法请参考http://docs.ansible.com/YAMLSyntax.html

Playbook组成

Target section               定义将要执行 playbook 的远程主机组

Variable section             定义 playbook 运行时需要使用的变量

Task section                定义将要在远程主机上执行的任务列表

Handler section             定义 task 执行完成以后需要调用的任务

 

通过下面这个例子我们来简单了解一下：

—

– hosts: web

vars:

worker_processes: 4

max_open_file: 65535

remote_user: deploy

tasks:

– name: ensure nginx is at the latest version

yum: pkg=nginx state=latest

– name: write the nginx config file

template: src=/data/ansible/template/nginx.j2 dest=/etc/nginx.conf

notify:

– restart nginx

– name: ensure nginx is running

service: name=nginx state=started

handlers:

– name: restart nginx

service: name=nginx state=restarted

主机和用户

在playbook中的每一个play都可以选择在哪些机器和以什么用户完成，hosts一行可以是一个主机组或者主机或者主机也可以是多个，中间以冒号分隔，可以参考前面提到的清单通配模式：其中remote_user表示执行的用户账号

—

– hosts: web

remote_user: root

每个任务都可以定义自己的用户

—

– hosts: web

remote_user: root

tasks:

– name: test connection

ping:

remote_user: yourname

在 playbook中使用sudo

—

– hosts: web

remote_user: yourname

sudo: yes

在一个任务中使用sudo

—

– hosts: web

remote_user: yourname

tasks:

– service: name=nginx state=started

sudo: yes

登陆后 sudo 到其他用户执行

—

– hosts: web

remote_user: yourname

sudo: yes

sudo_user: postgres

注释：在使用 sudo_user 切换到非 root 用户时，Ansible 会将模块参数（非密码选项参数）记录到/tmp 下的一个临时随机文件，命令执行完后会删除；当 sudo 到 root 或者普通用户登陆时并不记录

任务列表

所有定义的任务列表(tasks list)，playbook将按照定义的配置文件自上而下的顺序执行，定义的主机都将得到相同的任务，但是执行的返回结果不一定保存一致，取决于主机的环境及程序包状态。建议每个任务事件都要定义一个name标签，好处是增强可读性，也便于观察结果输出时了解运行的位置。下面就一service模块为例来定义一个任务，service: key=value参数，具体请参考模块的详细介绍

tasks:

– name: ensure nginx is running

service: name=nginx state=started

command 和 shell 模块不需要增加 key

tasks:

– name: disable selinux

command: setenforce 0

command和shell模块关注命令或者脚本执行后返回值，如果命令成功执行返回结果不是0的情况下可以使用以下方法：

tasks:

– name: disable selinux

command: setenforce 0

     ignore_errors: True

如果在任务中参数过长可以回车使用空格缩进

tasks:

– name: Copy ansible inventory file to client

copy: src=/etc/ansible/hosts dest=/tmp/hosts

owner=root group=root mode=0644

变量的使用

如何创建一个有效的变量名

变量名应该由字母、数组和下划线组成，以字母开头。例如：foo_port、foo5 就是很好的变量名，而 foo-port、foo port、foo.port、12 都是无效的变量名

在 在 playbook  中如何定义变量

– hosts: webservers

vars:

http_port: 80

变量这一块就不多提了，针对这一块了解甚微，如有需要请自行查找，这里简单介绍一下jinja2过滤器中的register关键字，register关键字的作用是将命令执行的结果保存为变量，结果会因为模块不同而不同，在运行ansible-playbook时增加-v参数就可以看到results可能的值。比如：

—

– hosts: local

  remote_user: root

  tasks:

    – name: Get server Time

      shell: date +%Y-%m-%d_%H_%M

      register: Time

      ignore_errors: True

    – name: Create a file

      shell: touch /tmp/zhao{{Time.stdout}}.txt

执行结果如下：

$ ansible-playbook 2.yml -v

 

PLAY [local] ******************************************************************

 

GATHERING FACTS ***************************************************************

ok: [192.168.1.52]

 

TASK: [Get server Time] *******************************************************

changed: [192.168.1.52] => {"changed": true, "cmd": "date +%Y-%m-%d_%H_%M", "delta": "0:00:00.002363", "end": "2015-06-19 11:06:12.359652", "rc": 0, "start": "2015-06-19 11:06:12.357289", "stderr": "", "stdout": "2015-06-19_11_06", "warnings": []}

 

TASK: [Create a file] *********************************************************

changed: [192.168.1.52] => {"changed": true, "cmd": "touch /tmp/zhao2015-06-19_11_06.txt", "delta": "0:00:00.002386", "end": "2015-06-19 11:06:12.631204", "rc": 0, "start": "2015-06-19 11:06:12.628818", "stderr": "", "stdout": "", "warnings": ["Consider using file module with state=touch rather than running touch"]}

 

PLAY RECAP ********************************************************************

192.168.1.52               : ok=3    changed=2    unreachable=0    failed=0  

通过上面这个例子我们可以看到task的执行输出和facts一样的，我们可以通过jinja2模板获取变量值：{{Time.stdout}}、{{Time.cmd}}等等

Notify和Handles

用于当关注的资源发生变化时采取一定的操作。

“notify”这个action可用于在每个play的最后被触发，这样可以避免多次有改变发生时每次都执行指定的操作，取而代之，仅在所有的变化发生完成后一次性地执行指定操作。在notify中列出的操作称为handler，也即notify中调用handler中定义的操作。

– name: template configuration file

  template: src=template.j2 dest=/etc/foo.conf

  notify:

     – restart memcached

     – restart apache

handler是task列表，这些task与前述的task并没有本质上的不同。

 handlers:

    – name: restart memcached

      service:  name=memcached state=restarted

    – name: restart apache

      service: name=apache state=restarted

角色定义使用

Roles在Ansible1.2+版本中所被支持，主要是为了更好的组织playbooks。

举例说明：

site.yml

webservers.yml

fooservers.yml

roles/

common/

files/

templates/

tasks/

handlers/

vars/

defaults/

meta/

webservers/

files/

templates/

tasks/

handlers/

vars/

defaults/

meta/

在 playbook 中可以这样使用 roles

—

– hosts: webservers

roles:

– common

– webservers

roles 目录结构说明：

tasks、handlers、vars（只对当前 role 有效）、meta（定义 role 间的直接依赖关系）目录内存在

main.yml 文件时会将对应的任务、处理、变量和 meta 添加到 play

files 存放文件，ansible 默认会从这里找文件，对应 task 里面的 copy、script 模块

template 存放模板，对应 task 里面的 template 模块

tasks 存放任务，include 默认读取这里的任务

defaults 默认的变量存放位置，使用/devaults/main.yml,相对其他参数变量设置的优先级最低

注释：Ansible1.4+以后的版本，可以通过 roles_path 参数配置 roles 路径，多路径使用冒号分隔，可以将常见角色集中存放，指定 roles 路径，这样多个 playbook 可以共用

运行Playbook

查看模块执行成功与否的详细信息

$ansible-playbook playbook.yml –v

查看一个 playbook 中都会对哪些主机产生影响

$ansible-playbook playbook.yml –list-hosts

查看都有哪些任务要执行

$ansible-playbook playbook.yml –list-tasks