ansible

项目练习 、 Ansible Vault 、 普通用户使用ans

2021-06-29  本文已影响0人  秋天丢了李姑娘

案例

链接

案例1:综合练习(自动化部署Web集群)

1.1 问题

晚自习课外综合练习题,创建一个名为cluster的role,完成一个综合项目,具体要求如下:

1.2 方案

综合练习题实验所需主机清单如表-1所示。

表-1 主机列表

image

步骤一:部署两台后端http服务器

1)创建role角色

[root@control ansible]# ansible-galaxy  init  ~/ansible/roles/http

2)修改role配置文件,准备2台http网站的素材

安装httpd,拷贝一个网页文件。

[root@control ansible]# vim roles/http/tasks/main.yml
---
- name: install httpd
  yum:
    name: httpd
    state: present
- name: create index.html
  copy:
    content: "{{ansible_hostname}}"
    dest: /var/www/html/index.html
- name: set firewalld
  firewalld:
    service: http
    state: enabled
    permanent: yes
    immediate: yes
- name: start httpd
  service:
    name: httpd
    state: started
    enabled: yes
#文件中包含多个任务,每个任务可以设置一个name名字(也可以没有name)
#第一个任务调用yum模块安装httpd软件包
#第二个任务调用copy模块创建一个新的网页文件(index.html)
#调用copy模块时可以在没有源文件的情况下,直接使用content指定文件的内容
#将该内容直接拷贝到被管理主机的某个文件中(/var/www/html/index.html)
#第三个任务调用firewalld模块,设置防火墙规则,允许访问http服务
#第四个任务调用service模块将httpd服务启动,并设置开机自启。

3)编写Playbook调用role,并执行Playbook。

[root@control ansible]# vim web.yml
---
- hosts: webserver
  roles:
    - http
[root@control ansible]# ansible-playbook web.yml

步骤二:部署nginx代理服务器

1)创建role角色

[root@control ansible]# ansible-galaxy  init  ~/ansible/roles/proxy

2)准备代理服务器需要的素材

拷贝Nginx源码包,编写一个源码编译安装nginx的shell脚本。

[root@control ansible]# cp  lnmp_soft/nginx-1.17.6.tar.gz  \
~/ansible/roles/proxy/files/
[root@control ansible]# vim ~/ansible/roles/proxy/files/nginx_install.sh
#!/bin/bash
yum -y install gcc pcre-devel openssl-devel make tar
cd /tmp
tar -xf /tmp/nginx-1.17.6.tar.gz
cd nginx-1.17.6
./configure --with-http_ssl_module
make
make install

新建一个Nginx代理服务器的配置文件模板。

[root@control ansible]# vim ~/ansible/roles/proxy/files/nginx.conf
worker_processes  2;
#error_log  logs/error.log;
events {
   worker_connections  65535;
}

http {
  include       mime.types;
  default_type  application/octet-stream;
  sendfile        on;
  tcp_nopush     on;
  keepalive_timeout  65;
  #gzip  on;
upstream webs {
  server 192.168.4.13;
  server 192.168.4.14;
}
  server {
    listen       80;
    server_name  localhost;
    location / {
      proxy_pass http://webs;
      root   html;
      index  index.html index.htm;
    }
    error_page  404  /404.html;
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
      root   html;
    }
  }
}

3)修改role配置文件。

[root@control ansible]# vim roles/proxy/tasks/main.yml
---
- name: copy nginx-1.17.6.tar.gz to proxy.
  copy:
    src: nginx-1.17.6.tar.gz
    dest: /tmp/
#拷贝源码包软件
- name: install nginx through shell script.
  script: nginx_install.sh
  args:
    creates: /usr/local/nginx/sbin/nginx
#执行源码编译安装脚本,如果已经安装nginx,则不再执行安装脚本.
#args是关键词,设置script模块的参数,通过creates参数做判断,creates也是关键词
#creates后面跟文件名,如果creates判断文件存在的话就不再执行script模块对应的命令。

- name: copy nginx.conf to destination host.
  copy:
    src: nginx.conf
    dest: /usr/local/nginx/conf/nginx.conf

- name: run nginx service.
  shell: /usr/local/nginx/sbin/nginx
  args:
    creates: /usr/local/nginx/logs/nginx.pid
#nginx.pid存在,说明nginx已经启动。如果该文件存在,则不再启动nginx。
- name: set firewalld
  firewalld:
    service: http
    state: enabled
    permanent: yes
    immediate: yes

4)编写Playbook调用role,并执行Playbook。

[root@control ansible]# vim proxy.yml
---
- hosts: proxy
  roles:
    - proxy

[root@control ansible]# ansible-playbook proxy.yml

加密敏感数据

2.1 问题

本案例要求,使用ansible-vault对敏感数据进行加密处理,具体要求如下:

2.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:使用ansible-vault处理敏感数据

1)加密敏感数据。

encrypt(加密)、decrypt(解密)、view(查看),rekey(重置密码)。

[root@control ansible]# echo 123456 > data.txt               #新建测试文件
[root@control ansible]# ansible-vault encrypt data.txt      #加密文件
[root@control ansible]# cat data.txt
[root@control ansible]# ansible-vault view data.txt         #查看加密文件

2)修改密码(rekey)

[root@control ansible]# ansible-vault rekey data.txt             #修改密码
Vault password: <旧密码>
New Vault password: <新密码>
Confirm New Vault password:<确认新密码>

3)解密文件

[root@control ansible]# ansible-vault decrypt data.txt      #解密文件
[root@control ansible]# cat data.txt

4)使用密码文件

加密、解密每次都输入密码很麻烦,可以将密码写入文件。

[root@control ansible]# echo "I'm secret data" > data.txt       #需要加密的敏感数据
[root@control ansible]# echo 123456 > pass.txt                   #加密的密码
[root@control ansible]# ansible-vault  encrypt --vault-id=pass.txt  data.txt 
[root@control ansible]# cat data.txt
[root@control ansible]# ansible-vault decrypt --vault-id=pass.txt data.txt
[root@control ansible]# cat data.txt

配置sudo权限

3.1 问题

本案例要求使用sudo提升普通用户的权限,要求如下:

3.2 方案

sudo(superuser or another do)让普通用户可以以超级管理员或其他人的身份执行命令。

sudo基本流程如下:

修改/etc/sudoers的方法如下:

授权格式如下:

用户或组 主机列表=(提权身份) [NOPASSWD]:命令列表

注意事项:命令需要写绝对路径,对组授权需要在组名称前面加%。

[root@control ~]# cat /etc/sudoers         #不要改,下面仅仅是语法格式的示例(例子)
… …
root           ALL=(ALL)       ALL
tom            ALL=(root)  /usr/bin/systemctl
%wheel         ALL=(ALL)       ALL

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:配置sudo提权

1)远程所有被管理主机批量创建系统账户,账户名称为alice,密码为123456。

[root@control ansible]# ansible all -m user -a "name=alice \
password={{'123456' | password_hash('sha512')}}"

2)配置alice账户可以提权执行所有命令(control批量授权,node1主机验证)。

使用lineinfile模块修改远程被管理端主机的/etc/sudoers文件,line=后面的内容是需要添加到文件最后的具体内容。

等于是在/etc/sudoers文件末尾添加一行:alice ALL=(ALL) NOPASSWD:ALL

[root@control ansible]# ansible all -m lineinfile \
-a "path=/etc/sudoers line='alice  ALL=(ALL) NOPASSWD:ALL'"

如何验证?可以在node1电脑上面使用alice用户执行sudo重启服务的命令看看是否成功。

[root@control ~]# ssh alice@node1
[alice@node1 ansible]$ sudo systemctl restart sshd       #不需要输入密码
[alice@node1 ansible]$ exit

修改Ansible配置

4.1 问题

沿用练习一,修改ansible配置实现使用普通用户远程被控制端主机,具体要求如下:

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:配置普通用户远程管理其他主机

1)修改主配置文件,配置文件文件的内容可以参考/etc/ansible/ansible.cfg。

[root@control ansible]# vim ~/ansible/ansible.cfg
[defaults]
inventory = ~/ansible/inventory
remote_user = alice                #以什么用户远程被管理主机(被管理端主机的用户名)
[privilege_escalation]
become = true                    #alice没有特权,是否需要切换用户提升权限
become_method = sudo                #如何切换用户(比如用su就可以切换用户,这里是sudo)
become_user = root                #切换成什么用户(把alice提权为root账户)
become_ask_pass = no                #执行sudo命令提权时是否需要输入密码

思考:

如果A主机ssh远程访问B主机,应该输入哪个主机的用户名和对应的密码?

如果张三要去李四家,应该使用谁家的钥匙,打开谁家的门?

2)远程被管理端主机的alice用户,需要提前配置SSH密钥。

[root@control ansible]# for i in node1  node2  node3  node4  node5
do
ssh-copy-id    alice@$i
done

验证效果:

[root@control ansible]# ssh alice@node1            #依次远程所有主机看看是否需要密码
#注意:是远程登录node1,应该输入的是node1电脑上面alice账户的密码,control没有alice用户
[root@node1 ~]# exit                                #退出远程连接
[root@control ansible]# ansible all -m command -a  "who"              #测试效果
[root@control ansible]# ansible all -m command -a  "touch /test"     #测试效果

常见报错(有问题可以参考,没问题可以忽略):

node1 | UNREACHABLE! => {
"changed": false,
"msg": "Failed to connect to the host via ssh: alice@node1: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).",
"unreachable": true
}
问题分析:
英语词汇:Failed(失败),connect(连接),to(到),host(主机),via(通过)
permission(权限),denied(被拒绝)
Failed to connect to host via ssh alice@node1(通过ssh使用alice远程连接到主机失败)
Permission denied(因为无法连接,所以报错说权限被拒绝)
解决办法:手动ssh alice@主机名(如node1),看看是否可以实现免密码登录。
Ansible的原理是基于ssh远程管理,如果无法实现alice免密码登录,则实验会失败!
如何实现免密码登录,可以参考案例上面的命令,或者第一阶段相关知识。

3)修改inventory主机清单配置文件(参考即可,不需要操作)。

如果个别主机的账户不同,该如何处理呢?

如果有些主机需要使用密码远程呢?如果有些主机的SSH端口不是22呢?

[root@control ~]# cat  ~/ansible/inventory
[test]                    
node1           ansible_ssh_port=端口号                      #自定义远程SSH端口
[proxy]
node2           ansible_ssh_user=用户名                    #自定义远程连接的账户名
[webserver]
node[3:4]       ansible_ssh_pass=密码                     #自定义远程连接的密码
[database]
node5
[cluster:children]                
webserver
database

附加思维导图,如图-1所示:

image
上一篇下一篇

猜你喜欢

热点阅读