Ansible系列-基础篇-Ansible 的安装、配置和基本使
欢迎关注个人公众号 DailyJobOps
原文地址: Ansible系列-基础篇-Ansible 的安装、配置和基本使用
在这里插入图片描述
说在之前
文章比较详细比较长,建议收藏哦
1、Ansible 目前支持Linux和MacOS作为控制节点,管理节点可以是Linux、MacOS、其他类Unix系统和Windows。
2、Ansible 节点主要分为两类,管理节点和被管理节点
- 管理节点,就是安装了 Ansible 的节点,Ansible 所有的指令都是这里发出,类似指挥部下发通知指令
- 被管理节点,或者叫目标节点一般是业务主机等,需要在这些节点上批量的部署一些软件、执行命令、添加定义任务等等
需要主要的是 管理节点 和 被管理节点 之间需要配置好 SSH免密通道
3、如果可以的话,个人建议Python还是使用3.0以上版本,虽然系统预装了2.7.5 但是官方都宣布不再维护该版本了,其他类似 openssl、git 等系统默认的版本就已经满足
4、本系列教程用到的环境
# python
(kfz-ansible) [jumproot@devops-jumpserver-vm]$ python -V
Python 3.9.8
# git
(kfz-ansible) [jumproot@devops-jumpserver-vm ~ Sat Nov 20 16:05:10]$ git --version
git version 1.8.3.1
# Linux system
(kfz-ansible) [jumproot@devops-jumpserver-vm ~ Sat Nov 20 16:05:13]$ cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
(kfz-ansible) [jumproot@devops-jumpserver-vm ~ Sat Nov 20 16:05:26]$ uname -a
Linux devops-jumpserver-vm 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
Ansible 安装
1、方式一 包管理器安装
比如 CentOS、Fedora、Redhat等系统下使用yum, Mac下使用brew, Ubuntu、Debian等系统使用 apt-get,如上说明,本系列都是在Centos系统下进行
yum install ansible
2、方式二 源码安装
源码安装一般是为了尝鲜安装的最新版本,用的较少
yum install git gcc-c++
git clone https://github.com/ansible/ansible.git
cd ansible
make install
3、方式三 采用Python PIP包安装
pip install ansible
这里建议采用方式三安装,Python可以通过 pyenv 来管理虚拟环境,同时后续可以通过Ansible API进行Python集成,方便平台化定制开发
Ansible 安装成功之后的验证
(kfz-ansible) [jumproot@devops-jumpserver-vm]$ ansible --version
ansible [core 2.11.6]
config file = /etc/ansible/ansible.cfg
configured module search path = ['/home/jumproot/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /data/.pyenv/versions/3.9.8/envs/kfz-ansible/lib/python3.9/site-packages/ansible
ansible collection location = /home/jumproot/.ansible/collections:/usr/share/ansible/collections
executable location = /data/.pyenv/versions/kfz-ansible/bin/ansible
python version = 3.9.8 (main, Nov 8 2021, 15:17:00) [GCC 4.8.5 20150623 (Red Hat 4.8.5-16)]
jinja version = 3.0.2
libyaml = True
Ansible 配置
在正式聊 Ansible 配置之前,我们可以先仔细观察下上面 ansible --version 的输出结果,其中 config file 是 Ansible 配置文件存放的位置, 另外注意 jinja 和 libyaml ,其中 jinja 是 Ansible Role 中的 templates 用到的,而 libyaml 是 Ansible playbook 编写时用到的文件格式,具体我们都会在后续文章中进行详细说明。这里先了解下就行。
其实这里还有个文件格式没有展示出来,就是 Ansible Inventory 文件的格式,采用的是 ini 格式
好了我们正式聊聊如果配置 Ansible,其实除了上面提到的 config file 制定的配置之外。Ansible 会从以下方式按照由上到下优先级加载配置
- ANSIBLE_CONFIG 定义的变量
- 当前目录下的 ansible.cfg
- 当前用户家目录下的 ansible.cfg (~/.ansible.cfg)
- 最后是
config file指向的配置文件/etc/ansible/ansible.cfg
ansible.cfg 配置文件详解
ansible.cfg 的配置项很多,实际环境中其实不会所有的配置项都配置,遵循二八法则。而且 Ansible 没有启动服务一说,说明配置文件的更改是即时生效的。
这里先看看本环境中用到的配置,然后做详细说明
[root@baolei-sa-vm ~]# cat /etc/ansible/ansible.cfg |egrep -v '^$|^#'
[defaults]
deprecation_warnings=False
inventory = /etc/ansible/inventory/pro.hosts
forks = 12
gathering = smart
fact_caching_timeout=14400
fact_caching=redis
fact_caching_connection=127.0.0.1:6379
gather_timeout = 15
host_key_checking = False
stdout_callback = debug
timeout = 30
log_path = /var/log/ansible.log
display_skipped_hosts = False
retry_files_save_path = ~/.ansible-retry
[inventory]
[privilege_escalation]
become=True
become_method=sudo
become_user=root
[paramiko_connection]
[ssh_connection]
ssh_args = -C -o ControlMaster=auto -o ControlPersist=5d
pipelining = False
transfer_method = scp
[persistent_connection]
command_timeout = 20
[accelerate]
[selinux]
[colors]
[diff]
-
defaults
- inventory 配置主机、主机组等,一般采用默认值
/etc/ansible/hosts,这里因为划分了不同的环境,所以做了定制配置 - remote_tmp 远程主机可执行脚本临时存放位置,一般采用默认值 ~/.ansible/tmp
- local_tmp 管理节点可执行脚本临时存放位置,一般采用默认值 ~/.ansible/tmp
- retry_files_save_path 默认情况下,当playbook执行失败时,将创建 retry文件,默认为 ~/.ansible-retry; 可以通过 retry_files_enabled = False来关闭
- forks Ansible执行的并发数,根据自己实际情况配置即可
- log_path Ansible log 存放位置,默认是 /var/log/ansible.log
- timeout Ansible ssh连接超时时间
- gathering facts信息收集开关定义,
smart默认收集,如果已经收集将不再收集;implicit默认收集,使用gather_facts=False可以取消收集;explicit默认情况不收集 - gathering_timeout facts信息收集超时时间
- fact_caching facts信息收集缓存的方式,默认是memory,建议采用redis
- fact_caching_timeout facts信息收集缓存超时时间
- fact_caching_connection 如果是Redis,127.0.0.1:6379;如果Redis有密码认证则则配置为 127.0.0.1:6379:10:password
- host_key_checking 禁用主机的ssh的密钥检查,这个的主要目的是,
ssh首次登录的时候有个公钥检查,需要手动确认之后写入known_hosts文件 - private_key_file 使用公私钥对认证是,私钥的位置
- stdout_callback ansible 输出的方式,这里配置为debug输出,也可以通过
bin_ansible_callbacks=True然后加载定义的回调插件callback_plugins, 具体如何自定义回调,在提高篇详细说明 - display_skipped_hosts 是否显示跳过的主机
- inventory 配置主机、主机组等,一般采用默认值
在defaults部分除了上述配置之外,其他都采用默认配置,另外需要大家关注的几个配置选项是 remote_user / remote_port / sudo_user / ask_sudo_pass
-
inventory
是对Inventory进行一些特殊配置,一般保持默认即可
-
privilege_escalation
- become=True 开启become模式
- become_method=sudo become方式为sudo
- become_user=root become为root
- become_ask_pass 默认为False不提示要密码
-
ssh_connection
- ssh_args Ansible是通过远程ssh的方式管控目标主机,该选项定义ssh的参数关于ssh参数的定义可以参考 SSH Config 那些你所知道和不知道的
- pipelining 默认情况下,禁用此选项以保持兼容性,sudoers默认配置requiretty;如果启用流水线操作可减少在远程服务器上执行模块所需的SSH操作数量,显着提高性能,但是当使用
sudo时,必须先在/etc/sudoers中禁用requiretty - transfer_method 控制传输文件的机制。配置
sftp使用sftp传输文件,配置scp使用scp传输文件,配置piped通过SSH使用'dd'来传输文件,配置smart按顺序尝试sftp,scp和piped,默认为smart
-
persistent_connection
- command_timeout 命令超时值定义在超时之前等待命令或RPC调用的时间。 命令超时的值必须小于持久连接空闲超时(connect_timeout)的值
- connect_timeout 配置持久连接超时值。 此值是持久连接在销毁之前保持空闲的时间,如果连接在超时值到期之前未收到请求,则连接将关闭。默认是30秒
- connect_retry_timeout 配置持久连接重试超时。 此值配置ansible-connection将等待连接到本地域套接字的重试超时。该值必须大于ssh timeout(超时)且小于持久连接空闲超时(connect_timeout)。默认值为15秒。
Ansible 免密登录
在配置之前,先说个运维规范,一般为了安全要求,Linux环境会禁用密码登录,采用公私钥对登录(特殊主机建议禁用root登录),因为通过ansible管理一般都是内网,这里默认是允许root登录的。
这里可能可能有人会问,为啥不统一也把root登录给全部禁用呢,这样岂不是更安全呢?
-
是的,禁用root登录更加安全,但是如果是从Ansible管控角度,新增的主机,我们需要先给配置一个
具有sudo免密权限的SA用户,后面才可以使用该用户去执行ansible更加合理。新增主机新增用户肯定是需要用root的。 -
当然这里也有替代方案。就是新增主机采用模板镜像的方式,镜像中内置一个不会删除的
具有sudo免密权限的用户,比如devops账号,最好不能具体的某个员工账号,因为员工会离职的嘛
所以视自己实际环境而定哦
好了,我们回到正题,我们知道Ansible的调用是通过ssh远程执行,如果在配置文件中配置了private_key_file 那么不管你使用哪个账号去执行,对应的公钥就是该私钥匹配的, 这样就会导致不同账号得使用相同的公私钥,这样不安全,也不友好
实际中,在配置文件中不配置 private_key_file, 然后新增的SA账号单独配置免密登录,员工离职清理账号也不影响其他人。
至于如果配置SSH免密登录,网上教程一大堆,这里就不啰嗦了
Ansible 基本使用
这里我们在 /etc/ansible/inventory/pro.hosts 配置几个测试主机,类似
test-01-vpc
test-02-vpc
[devops_group]
devops-gitlab-vpc
devops-walle-vpc
- 测试主机是否联通
ansible devops_group -m ping
- 收集远程主机信息
ansible devops-* -m setup
- 检查远程主机程序是否启动Java程序
ansible test-* -m shell -a 'ps -ef|grep java'
- 复制文件到远程主机
ansible test-* -m copy -a 'src=test.sh dest=/opt/scripts/test.sh mode=0755 owner=root
- 执行远程主机上的脚本
ansible test-* -m shell -a 'bash /opt/scripts/test.sh'
这种命令执行的方式叫做 Ad-hoc , 具体 Ansible 都有哪些内置模块,可以参考 Ansible.Builtin
如果知道模块,但是不知道怎么用,可以尝试 ansible-doc -s module-name,比如上面的shell 模块
(kfz-ansible) [jumproot@devops-jumpserver-vm]$ ansible-doc -s shell
- name: Execute shell commands on targets
shell:
chdir: # Change into this directory before running the command.
cmd: # The command to run followed by optional arguments.
creates: # A filename, when it already exists, this step will *not* be run.
executable: # Change the shell used to execute the command. This expects an absolute path to the executable.
free_form: # The shell module takes a free form command to run, as a string. There is no actual parameter named 'free form'. See the examples on how to
use this module.
removes: # A filename, when it does not exist, this step will *not* be run.
stdin: # Set the stdin of the command directly to the specified value.
stdin_add_newline: # Whether to append a newline to stdin data.
warn: # Whether to enable task warnings.
下一篇我们来说说工作中常用的模块及其用法
参考:
1、https://www.cnblogs.com/yangmingxianshen/p/12655843.html
2、https://docs.ansible.com/ansible/latest/collections/ansible/builtin/index.html
