ansible配置模块
2021-06-07 本文已影响0人
天生顽皮
1.安装ansible
epel源
yum install -y ansible
ansible --verison查看版本信息
config file = /etc/ansible/ansible.cfg 配置文件
2.ansible选项参数
ansible --verison查看版本信息
-v 显示详细信息 -vvvv debug模式
-i inentory 文件 文件清单文件路径/etc/ansible/hosts
-m 使用的模块名称,默认使用conmmand模块
-a 使用的模块参数,模块的具体动作
-k 提示输入ssh密码,而不使用基于ssh密钥认证
-c 模拟执行测试,但不会真的执行
-T 执行命令的超时
3.Ansible的配置文件
Ansible的配置文件可以存放在任何位置,但配置文件有读取顺序,先Ansible配置做一个基本了解。
ansible的配置文件有查找顺序:
1) 最先查找$ANSIBLE_CONFIG变量
2) 其次查找当前目录下ansible.cfg
3) 然后查找用户家目录下的.ansible.cfg
4) 最后查找/etc/ansible/ansible.cfg(默认)
[root@m01 ~]# cat /etc/ansible/ansible.cfg
inventory = /etc/ansible/hosts #主机列表配置文件
library = /usr/share/my_modules/ #库文件存放目录
remote_tmp = ~/.ansible/tmp #临时py文件存放在远程主机目录
local_tmp = ~/.ansible/tmp #本机的临时执行目录
forks = 5 #默认并发数
ask_sudo_pass = True #每次执行是否询问sudo的ssh密码
#ask_pass = True #每次执行是否询问ssh密码
remote_port = 22 #远程主机端口 ssh端口号
host_key_checking = False #跳过检查主机指纹
log_path = /var/log/ansible.log #ansible日志
[privilege_escalation] #如果是普通用户则需要配置提权
#become=True
#become_method=sudo
#become_user=root
#become_ask_pass=False
4.ansible Inventory
主机清单. 给主机进行分组, 划分子组
Inventory文件中填写需要被管理主机与主机组信息(逻辑上定义)。默认Inventory文件在/etc/ansible/hosts。当然也可以自定义,然后使用-i指定Inventory文件位置。
cat /etc/ansible/hosts
方式一、主机+端口+密码
[webservers]
10.0.0.31 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='123456'
10.0.0.41 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='123456'
方式二、主机+端口+密码
[webservers]
web[1:2].oldboy.com ansible_ssh_pass='123456'
方式三、主机+端口+密码
[webservers]
web[1:2].oldboy.com
[webservers:vars] #给webservers 主机组 设置共用 变量
ansible_ssh_pass='123456'
4.1场景1基于密码连接
[root@m01 ~]# cat /etc/ansible/hosts
[web]
172.16.1.7 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='1'
172.16.1.8 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='1'
172.16.1.9 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='1'
172.16.1.10 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass='1'
[root@m01 ~]# ansible web -m command -a 'hostname -I'
172.16.1.7 | CHANGED | rc=0 >>
10.0.0.7 172.16.1.7
172.16.1.9 | CHANGED | rc=0 >>
10.0.0.9 172.16.1.9 10.8.0.1
172.16.1.10 | CHANGED | rc=0 >>
10.0.0.10 172.16.1.10
172.16.1.8 | CHANGED | rc=0 >>
10.0.0.8 172.16.1.8
4.2基于密钥连接,需要先创建公钥和私钥,并下发公钥至被控端
创建存放要分发的ip地址
vim /server/scripts/ip.txt
[root@m01 scripts]# cat /server/scripts/ip.txt
172.16.1.5
172.16.1.6
172.16.1.7
172.16.1.8
172.16.1.9
172.16.1.10
172.16.1.31
172.16.1.41
172.16.1.51
在ansible中的hosts配置也是一样
写脚本
vim /server/scripts/fenfa.sh
[root@m01 scripts]# cat /server/scripts/fenfa.sh
#!/bin/bash
#删除本地密钥创建新的密钥
rm -fr /root/.ssh/id_rsa*
ssh-keygen -t rsa -f /root/.ssh/id_rsa -P "" -q
##循环分发密钥调用/server/scripts/ip.txt中的ip地址
for ip in `cat /server/scripts/ip.txt`
do
sshpass -p1 ssh-copy-id -i /root/.ssh/id_rsa.pub $ip -o StrictHostKeyChecking=no >/dev/null 2>/var/log/ssh.log
if [ $? -eq 0 ]
then
echo "主机${ip}分发秘钥成功"
else
echo "主机${ip}分发秘钥失败"
fi
done
验证
[root@m01 scripts]# ansible all -m command -a "ls"
172.16.1.8 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.10 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.9 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.5 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.7 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.6 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.31 | CHANGED | rc=0 >>
anaconda-ks.cfg
172.16.1.41 | CHANGED | rc=0 >>
anaconda-ks.cfg
dead.letter
xiaoyan.txt
172.16.1.51 | CHANGED | rc=0 >>
anaconda-ks.cfg
5.Ansible执行模块
5.1.command命令模块,不支持重定向或管道
[root@m01 scripts]# ansible web -a "hostname"
172.16.1.9 | CHANGED | rc=0 >>
web03
172.16.1.8 | CHANGED | rc=0 >>
web02
172.16.1.10 | CHANGED | rc=0 >>
web04
172.16.1.7 | CHANGED | rc=0 >>
web01
5.2shell模块,如果需要一些管道操作,则使用shell
[root@m01 scripts]# ansible web -m shell -a "ip a |grep eth0"
172.16.1.8 | CHANGED | rc=0 >>
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
inet 10.0.0.8/24 brd 10.0.0.255 scope global eth0
172.16.1.9 | CHANGED | rc=0 >>
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
inet 10.0.0.9/24 brd 10.0.0.255 scope global eth0
172.16.1.10 | CHANGED | rc=0 >>
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
inet 10.0.0.10/24 brd 10.0.0.255 scope global eth0
172.16.1.7 | CHANGED | rc=0 >>
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
inet 10.0.0.7/24 brd 10.0.0.255 scope global eth0
5.3script脚本模块
mkdir -p /server/scripts/yum.sh
cat /server/scripts/yum.sh
[root@m01 scripts]# cat /server/scripts/yum.sh
##/bin/bash
yum install -y iftop
[root@m01 scripts]# ansible web -m script -a "/server/scripts/yum.sh"
/usr/bin/python2 -Es /usr/sbin/tuned -l -P
/usr/sbin/sshd -D
\_ sshd: root@pts/0
| \_ /bin/sh -c /root/.ansible/tmp/ansible-tmp-1622793591.59-27092-255580592839178/yum.sh && sleep 0
| \_ /bin/bash /root/.ansible/tmp/ansible-tmp-1622793591.59-27092-255580592839178/yum.sh
| \_ /usr/bin/python /usr/bin/yum install ipvsadm
6.软件管理模块
image.png
6.1测试
ansible webserver -m yum -a "name=httpd state=present" -i hosts
6.2安装当前最新的Apache软件,如果存在则不安装
ansible webserver -m yum -a "name=httpd state=present" -i hosts
ansible lb -i hosts -m yum -a 'name=httpd state=present'
6.3安装当前最新的Apache软件,通过epel仓库安装
ansible webserver -m yum -a "name=httpd state=present enablerepo=epel"
6.4通过互联网的rpm进行安装
ansible webserver -m yum -a
"name=https://mirrors.tuna.tsinghua.edu.cn/zabbix/zabbix/5.0/rhel/7/x86_64/zabbix-agent-5.0.0-
1.el7.x86_64.rpm state=present"
6.5更新所有的软件包,但排除和kernel相关的
ansible 172.16.1.41 -m yum -a "name=* state=latest exclude=kernel"
6.6安装多个软件包
ansible web -m yum -a "name=tree,cowsay,lrzsz state=installed"
6.7总结
[root@m01 ~]# ansible oldboy -m yum -a "name=httpd state=installed"
name #指定要安装的软件包名称
state #指定使用yum的方法
installed,present #安装软件包
removed,absent #移除软件包
latest #安装最新软件包
list=ansible #列出当前仓库可用的软件包 yum list ansible 查找软件包
enablerepo 开启某个yum源
disablerepo="epel,zabbix" #安装软件时,不从哪些仓库获取
download_only=true #仅下载软件包,不安装
7.文件管理模块
7.1介绍文件管理模块
ansible文件管理模块,主要涉及copy文件拷贝、file文件创建、get_url文件下载
7.2.copy文件拷贝模块
image.png
1.拷贝文件文件至被控节点
[root@m01 scripts]# ansible web -m copy -a "src=/etc/passwd dest=/app"
2.对远端已有文件进行备份,按照时间信息备份
ansible web -m copy -a "src=/etc/passwd dest=/app backup=yes"
3..复制目录 并修改所有者与权限
[root@m01 scripts]# ansible web -m copy -a "src=/etc/passwd dest=/tmp onwer=ll group=ll mode=600"
4. content 内容 写入文件内容 重定向 >
ansible web -m copy -a 'content="oldboylinux.cn" dest=/tmp/lidao.txt'
5.向被控端主机写入数据,并且会覆盖远端文件内原有数据信息
ansible oldboy -m copy -a "content='oldboylinux.cn' dest=/tmp/oldboy"
src #推送数据的源文件信息
dest #推送数据的目标路径
backup #对推送传输过去的文件,进行备份
content #直接批量在被管理端文件中添加内容
group #将本地文件推送到远端,指定文件属组信息
owner #将本地文件推送到远端,指定文件属主信息
mode #将本地文件推送到远端,指定文件权限信息
7.3file文件创建模块
image.png
1. 创建目录
[root@m01 ~]# ansible web -m file -a 'path=/code/src/nginx state=directory'
2.创建文件
ansible web -m file -a 'path=/code/src/nginx/lidaoav.com state=touch'
3.递归修改权限 所有者
ansible web -m file -a 'path=/code/src/ state=directory owner=nobody mode=600 recurse=yes'
path #指定远程主机目录或文件信息
recurse #递归授权
state #状态
directory #在远端创建目录
touch #在远端创建文件
link #link或hard表示创建链接文件
absent #表示删除文件或目录
mode #设置文件或目录权限
owner #设置文件或目录属主信息
group #设置文件或目录属组信息
7.4get_url文件下载模块
1.通过get_url下载文件或者软件
ansible webservers -m get_url -a "url=http,https dest=/opt mode=0777"
2.下载一个文件前先进行md5校验,通过则下载,不通过则失败
ansible webservers -m get_url -a "url=http,https dest=/opt mode=0777 checksum=md5:76eb3af80ffd"
url #文件在网络上的具体位置
dest #下载到被控端的哪个目录下
checksum #校验(md5 sha256)
8..服务管理模块
8.1介绍
ansible管理服务的启动与停止,使用service
8.2y应用
1.启动crond服务,并加入开机自启
[root@m01 ~]# ansible web -m service -a "name=crond state=started enabled=yes"
2.停止crond服务,并删除开机自启
[root@m01 ~]# ansible web -m service -a "name=crond state=stopped enabled=no"
3.重启crond服务
[root@m01 ~]# ansible web -m service -a "name=crond state=restarted"
4.重载crond服务
[root@m01 ~]# ansible webservers -m service -a "name=crond state=reloaded"
name # 定义要启动服务的名称
state # 指定服务状态
started #启动服务
stopped #停止服务
restarted #重启服务
reloaded #重载服务
enabled #开机自启
9.用户管理模块
9.1group组模块
[root@m01 tasks]# ansible web -m group -a 'name=liu gid=888'
name #指定创建的组名
gid #指定组的gid
state
absent #移除远端主机的组
present #创建远端主机的组(默认)
9.2user模块
#1.创建用户指定uid和gid,不创建家目录也不允许登陆
[root@m01 ~]# ansible oldboy -m user -a "name=oldgirl uid=888 group=888 shell=/sbin/nologin create_home=no"
#2.删除用户 指定用户名即可
userdel
[root@m01 ~]# ansible webservers -m user -a "name=tmd state=absent" -i ./hosts
#3.给新创建的用户生成ssh密钥对
[root@m01 ~]# ansible webservers -m user -a "name=oo uid=6677 group=adm generate_ssh_key=yes
ssh_key_bits=2048 ssh_key_file=.ssh/id_rsa" -i ./hosts
generate_ssh_key=yes
ssh_key_bits=2048
ssh_key_file=.ssh/id_rsa #私钥
#4.将明文密码进行hash加密,然后进行用户创建
passwd oldboy
1 #明文密码
1 #加密后是 fdslkjalkdsjflklkjakfdslafdsakjadsfsfdsafdsafdsafdsa
[root@m01 ~]# ansible localhost -m debug -a "msg={{ '123456' | password_hash('sha512', 'salt') }}"
localhost | SUCCESS => {
"msg": "$6$salt$MktMKPZJ6t59"
}
[root@m01 ~]# ansible webservers -m user -a 'name=xlw password=$6$salt$MktMKPZJ6t59 create_home=yes
shell=/bin/bash' -i ./hosts
uid #指定用户的uid
group #指定用户组名称
groups #指定附加组名称
password #给用户添加密码(记得单引号) -a "name=oldboy password='加密后的密码'"
shell #指定用户登录shell
create_home #是否创建家目录
state #present /absent
10定时任务模块
# 正常使用crond服务(默认没写的时间都算*表示)
[root@m01 ~]# crontab -l
#yum install 脚本
* * * * * /bin/sh /server/scripts/yum.sh &>/dev/null
-m cron
-a
name #必须要添加一个
minute hour day month weekday job
state present(添加 默认)/absent(删除)
* * * * * /bin/sh /server/scripts/yum.sh &>/dev/null
minute hour day month weekday job
# 使用ansible添加一条定时任务
[root@m01 ~]# ansible webservers -m cron -a "minute=* hour=* day=* month=* weekday=* job='/bin/sh
test.sh'"
[root@m01 ~]# ansible webservers -m cron -a "job='/bin/sh test.sh'"
# 设置定时任务注释信息,防止重复,name设定
[root@m01 ~]# ansible webservers -m cron -a "name='cron01' job='/bin/sh test.sh'"
# 删除相应定时任务
[root@m01 ~]# ansible webservers -m cron -a "name='ansible cron02' minute=0 hour=0 job='/bin/sh test.sh'
state=absent"
# 注释相应定时任务,使定时任务失效
[root@m01 scripts]# ansible oldboy -m cron -a "name='ansible cron01' minute=0 hour=0 job='/bin/sh
test.sh' disabled=yes"
[root@m01 ~]# ansible lb -i hosts -m cron -a 'name="sync02" minute="*/2" job="/sbin/ntpdate
ntp1.aliyun.com &>/dev/null" '
172.16.1.6 | CHANGED => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": true,
"envs": [],
"jobs": [
"sync time by lidao996 ",
"sync time by lidao996",
-m cron
-a
name #指定名字
minute
hour
day
month
weekday
state present/absent
disabled 是否注释
11.磁盘挂载模块
#在backup服务器上安装nfs
#配置
#创建目录 修改所有者
#启动服务并开机自启动
#backup上面进行挂载(本地测试)
#web服务器进行挂载
#在backup服务器上安装nfs
ansible 172.16.1.41 -i hosts -m yum -a 'name=nfs-utils state=present'
##配置
cat /etc/exports
/data-lidao/ 172.16.1.0/24(rw,all_squash) #默认压缩为nfsnobody用户
ansible 172.16.1.41 -i hosts -m copy -a 'content="/data-lidao/ 172.16.1.0/24(rw,all_squash)"
dest=/etc/exports backup=yes'
#创建目录 修改所有者
[root@m01 ~]# ansible 172.16.1.41 -m file -a 'path=/data-lidao/ owner=nfsnobody group=nfsnobody
state=directory ' -i hosts
#启动服务并开机自启动
ansible 172.16.1.41 -i hosts -m service -a 'name=rpcbind state=started enabled=yes'
ansible 172.16.1.41 -i hosts -m service -a 'name=nfs state=started enabled=yes'
#backup上面进行挂载(本地测试)
ansible 172.16.1.41 -i hosts -m mount -a 'src=172.16.1.41:/data-lidao/ path=/mnt/ fstype=nfs
state=mounted'
#web服务器进行挂载
挂载到web服务器的 /code/upload/img
[root@m01 ~]# ansible web -i hosts -m mount -a 'src=172.16.1.41:/data-lidao path=/code/upload/img
fstype=nfs state=mounted'
#在backup服务器上安装nfs
ansible 172.16.1.41 -i hosts -m yum -a 'name=nfs-utils state=present'
##配置
cat /etc/exports
/data-lidao/ 172.16.1.0/24(rw,all_squash) #默认压缩为nfsnobody用户
ansible 172.16.1.41 -i hosts -m copy -a 'content="/data-lidao/ 172.16.1.0/24(rw,all_squash)"
dest=/etc/exports backup=yes'
#创建目录 修改所有者
[root@m01 ~]# ansible 172.16.1.41 -m file -a 'path=/data-lidao/ owner=nfsnobody group=nfsnobody
state=directory ' -i hosts
#启动服务并开机自启动
ansible 172.16.1.41 -i hosts -m service -a 'name=rpcbind state=started enabled=yes'
ansible 172.16.1.41 -i hosts -m service -a 'name=nfs state=started enabled=yes'
#backup上面进行挂载(本地测试)
ansible 172.16.1.41 -i hosts -m mount -a 'src=172.16.1.41:/data-lidao/ path=/mnt/ fstype=nfs
state=mounted'
#web服务器进行挂载
挂载到web服务器的 /code/upload/img
[root@m01 ~]# ansible web -i hosts -m mount -a 'src=172.16.1.41:/data-lidao path=/code/upload/img
fstype=nfs state=mounted'
#在backup服务器上安装nfs
ansible 172.16.1.41 -i hosts -m yum -a 'name=nfs-utils state=present'
##配置
cat /etc/exports
/data-lidao/ 172.16.1.0/24(rw,all_squash) #默认压缩为nfsnobody用户
ansible 172.16.1.41 -i hosts -m copy -a 'content="/data-lidao/ 172.16.1.0/24(rw,all_squash)"
dest=/etc/exports backup=yes'
#创建目录 修改所有者
[root@m01 ~]# ansible 172.16.1.41 -m file -a 'path=/data-lidao/ owner=nfsnobody group=nfsnobody
state=directory ' -i hosts
#启动服务并开机自启动
ansible 172.16.1.41 -i hosts -m service -a 'name=rpcbind state=started enabled=yes'
ansible 172.16.1.41 -i hosts -m service -a 'name=nfs state=started enabled=yes'
#backup上面进行挂载(本地测试)
ansible 172.16.1.41 -i hosts -m mount -a 'src=172.16.1.41:/data-lidao/ path=/mnt/ fstype=nfs
state=mounted'
#web服务器进行挂载
挂载到web服务器的 /code/upload/img
[root@m01 ~]# ansible web -i hosts -m mount -a 'src=172.16.1.41:/data-lidao path=/code/upload/img
fstype=nfs state=mounted'
13.防火墙管理模块 主要看iptables
13.1.Selinux防火墙
[root@m01 ~]# ansible webservers -m selinux -a "state=disabled" -i ./hosts
13.2firewalld防火墙
[root@m01 ~]# ansible webservers -m systemd -a "name=firewalld state=started" -i ./hosts
[root@m01 ~]# ansible webservers -m firewalld -a "service=http immediate=yes permanent=yes state=enabled" -
i ./hosts
[root@m01 ~]# ansible webservers -m firewalld -a "port=8080-8090/tcp immediate=yes permanent=yes
state=enabled" -i ./hosts
service #指定开放或关闭的服务名称
port #指定开放或关闭的端口
masquerade #开启地址伪装
immediate #临时生效
permanent #是否添加永久生效
state #开启或是关闭
zone #指定配置某个区域
rich_rule #配置富规则
source #指定来源IP
13.3iptables模块
-m iptables
-a
table #-t
action #默认是append追加-A insert插入-I
chain #指定链
source #-s 指定源ip ※※※※※
destination #-d 指定目标ip
protocal #-p 指定协议
source_port #--sport指定源端口
destination_port #--dport指定目标端口 ※※※※
jump #-j DROP/ACCEPT
state #present(默认,添加规则) absent(删除)
664 ansible 172.16.1.51 -i hosts -m iptables -a ' table=filter action=insert chain=INPUT
source=10.0.0.0/24 protocol=tcp destination_port=3306 jump=DROP'
666 ansible 172.16.1.51 -i hosts -m iptables -a ' table=filter action=insert chain=INPUT
source=172.16.1.61 protocol=tcp destination_port=3306 jump=DROP'
669 ansible 172.16.1.51 -i hosts -m iptables -a ' table=filter action=insert chain=INPUT
source=172.16.1.61 protocol=tcp destination_port=3306 jump=DROP state=absent'
