中间件

自动化运维工具Ansible笔记

2019-10-07  本文已影响0人  我只要喝点果粒橙

简介

​ ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。
  ansible是基于 paramiko 开发的,并且基于模块化工作,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。ansible不需要在远程主机上安装client/agents,因为它们是基于ssh来和远程主机通讯的。ansible目前已经已经被红帽官方收购,是自动化运维工具中大家认可度最高的,并且上手容易,学习简单。是每位运维工程师必须掌握的技能之一。

ansible 特点

  1. 部署简单,只需在主控端部署Ansible环境,被控端无需做任何操作;
  2. 默认使用SSH协议对设备进行管理;
  3. 有大量常规运维操作模块,可实现日常绝大部分操作;
  4. 配置简单、功能强大、扩展性强;
  5. 支持API及自定义模块,可通过Python轻松扩展
  6. 通过Playbooks来定制强大的配置、状态管理;
  7. 轻量级,无需在客户端安装agent(代理),更新时,只需在操作机上进行一次更新即可;
  8. 提供一个功能强大、操作性强的Web管理界面和REST API接口——AWX平台。
  9. Ansible适用于中小型应用环境;SaltStack适合大型(Ansible由于不需要代理,只是通过ssh,因此只能性能不如Saltstack高)

Ansible安装

法1.在已有python-pip的情况下

$ pip install ansible

法2:

sudo apt-get install software-properties-common
sudo apt-add-repository ppa:ansible/ansible
sudo apt-get update
sudo apt-get install ansible

如果安装失败请换源sudo sed -i -re 's/\w+\.archive\.ubuntu\.com/archive.ubuntu.com/g' /etc/apt/sources.list,更新安装库sudo apt-get update

ansible 架构图

img

  上图中我们看到的主要模块如下:

Ansible:Ansible核心程序。
HostInventory主机清单 , 记录由Ansible管理的主机信息,包括端口、密码、ip等。
Playbooks:“剧本”YAML格式文件,多个任务定义在一个文件中,定义主机需要调用哪些模块来完成的功能。
CoreModules核心模块,主要操作是通过调用核心模块来完成管理任务。
CustomModules:自定义模块,完成核心模块无法完成的功能,支持多种语言。
ConnectionPlugins:连接插件,Ansible和Host通信使用

ansible配置文件查找顺序

  1. 检查环境变量ANSIBLE_CONFIG指向的路径文件(export ANSIBLE_CONFIG=/etc/ansible.cfg);
  2. HOME目录下的配置文件~/.ansible.cfg
  3. 检查当前目录下的ansible.cfg配置文件;
  4. /etc/ansible.cfg检查etc目录的配置文件。

使用特性

管理方式:

Ansible-playbook(剧本)执行过程:

相关文件

配置文件

/etc/ansible/ansible.cfg 主配置文件,配置ansible工作特性
/etc/ansible/hosts 主机清单
/etc/ansible/roles/存放角色的目录

程序

/usr/bin/ansible 主程序,临时命令执行工具
/usr/bin/ansible-doc 查看配置文档,模块功能查看工具
/usr/bin/ansible-galaxy 下载/上传优秀代码或Roles模块的官网平台
/usr/bin/ansible-playbook定制自动化任务,编排剧本工具/usr/bin/ansible-pull远程执行命令的工具
/usr/bin/ansible-vault 文件加密工具
/usr/bin/ansible-console 基于console界面与用户交互的执行工具

1.设置被管理的主机清单vim /etc/ansible/hosts

2.1口令验证方式.ansible 192.168.30.101 -m ping -k用账号密码去确认受控端的身份

▲如果出现了这样的情况,需要先安装sshpass , sudo apt install sshpass

192.168.100.180 | FAILED! => {
    "failed": true, 
    "msg": "ERROR! to use the 'ssh' connection type with passwords, you must install the sshpass program"
}

2.2基于key验证

$ ssh-keygen
$ ssh-copy-id 192.168.30.101

Generating public/private rsa key pair.
Enter file in which to save the key (/xxxxxx/): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in xxxxxxxxx.
Your public key has been saved in xxxxx.
The key fingerprint is:
SHA256:xxxxxxxxxxxxxx
The key's randomart image is:

如果设置了passphrase,那么链接时需要输入passphrase,如果是ad-hoc就相当麻烦,而playbooks中有解决方法

ad-hoc使用

host_key_checking取消注释,否则链接对象必须在known_hosts中

$ sudo vim /etc/ansible/ansible.cfg
 uncomment this to disable SSH key host checking
#host_key_checking = False

显示日志,取消注释log_path = /var/log/ansible.log

△.ansible不是长期执行的服务,不长期执行,因此修改配置后不需要重启服务

ansible <host-pattern>[-m module_name][-a args]

ansible dbsrvs -m command -a 'ls /root'-u wang-k -b-K
 -u 以wang的身份登录,-b将wang切换成root,-K 输入root密码.
 -m 指定模块名,-a指定模块参数

ansible的Host-pattern即匹配主机的列表

All:表示所有Inventory中的所有主机
ansible all-m ping
:通配符
ansible""-m ping
ansible 192.168.1.-m ping
ansible"srvs"-m ping
或关系
ansible"websrvsiappsrvs"-m ping
ansible"192.168.1.10:192.168.1.20"-m ping

逻辑与
ansible "websrvs:&dbsrvs" -m ping在websrvs组并且在dbsrvs组中的主机,单引号、双引号都行

逻辑非
ansible 'websrvs:ldbsrvs'-m ping在websrvs组,但不在dbsrvs组中的主机
注意:此处为单引号

综合逻辑
ansible 'websrvs:dbsrvs:&appsrvs:lftpsrvs'-m ping

正则表达式
ansible "websrvs:&dbsrvs" -m ping

ansible "~(webldb).*\.magedu\.com" -m ping


ansible command

命令返回颜色说明

绿色: 表示查看信息,对远程主机未做改动的命令
红色: 批量管理产生错误信息
黄色: 对远程主机做了相应改动
紫色: 对操作提出建议或忠告

常用模块

command模块在针对管道重定向有*有问题==>使用shell模块

常用模块介绍

▲一般 present 表示生成、下载, absent 表示删除或卸载。


系列命令

galaxy

ansible-galaxy install geerlingguy.nginx 其中geerlingguy为角色在./ansible/roles/

playbooks

Yaml

YAML Ain't Markup Language,即YAML不是XML。不过,在开发的这种语言时,YAML的意思其实是:"Yet Another Markup Language"(仍是一种标记语言)

核心元素

加密

加密ansible-vault encrypt hello.yml

解密查看ansible-vault view hello.yml

重新制定口令ansible-vault rekey hello.yml

基础组件

如果命令或脚本的退出码不为零,可以使用如下方式替代

tasks:
  - name:run this command and ignore the result
    shell: /usr/bin/somecommand || /bin/true

或者使用ignore_errors来忽略错误信息:

tasks:
  - name:run this command and ignore the result
    shell:/usr/bin/somecommand
ignore_errors:True

运行playbook的方式

ansible-playbook <filename.yml>..[options]
常见选项
-check(-C)只检测可能会发生的改变,但不真正执行操作
--list-hosts列出运行任务的主机
--limit主机列表只针对主机列表中的主机执行
-V显示过程-vw-vwv更详细

handlers和notify

tasks:
  - name: install httpd package 
    yum: name=httpd 
  - name: copy conf file copy:src=files/httpd.conf dest=/etc/httpd/conf/backup=yes 
    notify: restart service 
  - name: start service
    service: name=httpd state=started enabled=yes 
  handlers:
    - name:restart service 
      service:name=httpd state=restarted

标签

指定标签来执行指定任务

ansible-playbook -t rshttp,xxxx httpd.yml

变量使用

jinjia2语法

{{ var }}
[websrvs]
192.168.30.101 http_port=81
192.168.30.102 http_port=82
[websrvs:vars]
nodename=www 
domainname=magedu.com
- hosts: 
  remote_user: root
  vars: 
    - var: xxx
  tasks:
    - name: 
       yum: ...

迭代机制

  tasks:
    - name:
      file: name=/data/{{ item }}
      with_items: 
        - file1
        - file2
        - file3

迭代嵌套自变量

- hosts: websrvs 
  remote_user: root 
  tasks:
    - name: add some groups 
    group: name={{ item ]} state=present 
    with_items:
      - group1
      - group2
      - group3
    - name: add some users 
      user: name={{ item. name ]} group={{ item. group )} state=present 
      with items:
        - { name: user1, group:' group1'}
        - { name: 'user2, group:' group2'}
        - { name: 'user3', group:' group3'}
{% for vhost in nginx_vhosts%}
server{
listen{{ vhost }}
{% endfor %}
- hosts: websrvs 
  remote_user: root
  vars:
    ports:
      - listen_port: 81
      - listen_port: 82
      - listen_port: 83
  tasks:
  - name: copy conf 
    template: src=forl.conf.j2 dest=/data/for1.conf

条件判断

- hosts: all
  remote_user: root
  tasks:
#如果系统中存在主机名为nfs或者backup的主机,则创建文件
    - name: Create File
      file: path=/tmp/this_is_{{ ansible_hostname }}_file state=touch
      when: (ansible_hostname == "nfs") or (ansible_hostname == "backup")
 
#系统为centos的主机才会执行
    - name: Centos Install httpd
      yum: name=httpd state=present
      when: (ansible_distribution == "CentOS")
 
#系统为ubuntu的主机才会执行
    - name: Ubuntu Install httpd
      yum: name=httpd2 state=present
      when: (ansible_distribution == "Ubuntu")
tasks: 
  - name: run df -h
    sudo_user: test
    sudo: yes
    shell: name=df -h

ansible sudo 即将变更为become

[s21]
#代替原来192.168.1.21  ansible_ssh_user=i  ansible_ssh_pass=i的写法
192.168.1.21  ansible_ssh_user=i  
ansible_ssh_private_key_file=/home/i/.ssh/id_rsa 
ansible_become=true 
ansible_become_user=root  
ansible_become_pass='i'

获取执行命令的输出 –Register[转]

- name: echo date 
  command: date 
  register: date_output 

 - name: echo date_output 
  command: echo "30"
  when: date_output.stdout.split(' ')[2] == "30"

判断文件是否存在[转]

- name: judge a file or dir is exits
  shell: ls /home/sfy
  ignore_errors: True
  register: result

- shell: echo "file exit"
  when: result|succeeded

- shell: echo "file not exit"
  when: result|failed

权限问题

关于权限问题,可以通过ansible -h查看

  Privilege Escalation Options:
    control how and which user you become as on target hosts

    -s, --sudo          run operations with sudo (nopasswd) (deprecated, use
                        become)
    -U SUDO_USER, --sudo-user=SUDO_USER
                        desired sudo user (default=root) (deprecated, use
                        become)
    -S, --su            run operations with su (deprecated, use become)
    -R SU_USER, --su-user=SU_USER
                        run operations with su as this user (default=None)
                        (deprecated, use become)
    -b, --become        run operations with become (does not imply password
                        prompting)
    --become-method=BECOME_METHOD
                        privilege escalation method to use (default=sudo),
                        valid choices: [ sudo | su | pbrun | pfexec | doas |
                        dzdo | ksu | runas | pmrun ]
    --become-user=BECOME_USER
                        run operations as this user (default=root)
    --ask-sudo-pass     ask for sudo password (deprecated, use become)
    --ask-su-pass       ask for su password (deprecated, use become)
    -K, --ask-become-pass
                        ask for privilege escalation password

▲其中deprecated表示是将被弃用的,将全部被become代替,(即参数-b)

关于-b和-K的作用,可以通过如下命令进行测试

$ ansible test -m shell -a "whoami"  -K
 mrli身份使用sudo权限
$ ansible test -m shell -a "whoami"  -b
 切换到root身份
$ ansible test -m shell -a "whoami"  -b -K

▲这个权限问题在ansible执行shell脚本的时候需要特别注意

个人写过的Playbook-demo

- hosts: 192.168.100.190
  remote_user: apollo3d
  become: yes
  vars:
    spark: /home/apollo3d/SimSpark/spark/build
    rcssserver3d: /home/apollo3d/SimSpark/rcssserver3d/build
  tasks:
  - name: judge former platform directory Exsit
    shell: 'ls /home/apollo3d/simspark-0.3.0/build'
    ignore_errors: True
    register: formerDirExsit

  - name: uninstall
    command: 'chdir={{ item }} make uninstall'
    with_items:
      - /home/apollo3d/simspark-0.3.0/build
      - /home/apollo3d/rcssserver3d-0.7.1/build
    when: formerDirExsit|succeeded

  - name: remove
    file:
      dest: '{{ item }}'
      state: absent
    with_items:
      - /home/apollo3d/simspark-0.3.0/
      - /home/apollo3d/rcssserver3d-0.7.1/
    when: formerDirExsit|succeeded

  - name: judge new zip
    shell: ls /home/apollo3d/SimSpark.tar.gz
    ignore_errors: True
    register: zipExsit

  - name: jieya
    unarchive: 
      src: /home/apollo3d/SimSpark.tar.gz
      dest: /home/apollo3d/
      copy: no
      mode: 0755
    when: zipExsit|succeeded


  - name: mk dirs
    file: "dest={{ item }} state=directory"
    with_items:
      - /home/apollo3d/SimSpark/spark/build
      - /home/apollo3d/SimSpark/rcssserver3d/build
    when: zipExsit|succeeded

  - name: install1
    command: 'chdir={{ spark }} {{ item }}'
    with_items:
      - cmake ..
      - make -j4
      - make install
    when: zipExsit|succeeded
    
  - name: install2
    command: 'chdir={{ rcssserver3d }} {{ item }}'
    with_items:
      - cmake ..
      - make -j4
      - make install
    when: zipExsit|succeeded

  - name: config
    shell: '{{ item }}'
    with_items: 
      - echo '/usr/local/lib/simspark\n/usr/local/lib/rcssserver3d' | sudo tee /etc/ld.so.conf.d/spark.conf
      - ldconfig
    when: zipExsit|succeeded


roles

ansilbe自1.2版本引入的新特性,用于层次性、结构化地组织playbook。roles能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用roles只需要在playbook中使用include指令即可。简单来讲,roles就是通过分别将变量文件任务模板及处理器放置于单独的目录中,并可以便捷地include它们的一种机制。角色一般用于基于主机构建服务的场景中,但也可以是用于构建守护进程等场景中

复杂场景:建议使用roles,代码复用度高

roles目录结构:
playbook.yml
roles/
project/
tasks/
files/
vars/不常用
default/不常用
templates/
handlers/
meta/不常用

附录

Ansible 配置SSH公钥认证

安装好Ansible之后,要开始工作,还需要创建一个被控制主机列表清单.默认读取/etc/ansible/hosts,如果该文件不存在,则要收到进行创建.

也可以通过环境变量 ANSIBLE_INVENTORY 来设置默认清单文件,1.9版本之前用 ANSIBLE_HOSTSexport ANSIBLE_INVENTORY=~/ansible_hosts

创建SSH认证文件

该操作是在控制主机中进行。

SSH认证文件创建成功之后,将控制主机的公钥文件 id_rsa.pub 添加到被控制主机的~/.ssh/authorized_keys。

\ ~指的是控制主机和被控制主机通信的用户家目录。

\ id_rsa 是控制主机的私钥文件,要严格保管。

\ id_rsa.pub是控制主机的公钥文件,可随意分发。

法一:ansible all -m shell -a "cat /tmp/authorized_keys >> /root/.ssh/authorized_keys" -k

▲注意

如果被控制主机中用户家目录中不存在.ssh目录,就创建。

然后将上传的公钥文件追加到用户的authorized_keys文件中

法二: (亲测)

通过authorized_key模块来进行添加

ansible para -i /tmp/inventory.txt -m authorized_key -a "user=root key='{{ lookup('file','/root/.ssh/id_rsa.pub') }}'" -k

lookup('file','/root/.ssh/id_rsa.pub') 是读取/root/.ssh/id_rsa.pub的内容

使用公钥密钥对验证的方法登录

1. 在本地也创建一个 apple 用户,并创建 /home/apple/.ssh/ 目录

$ useradd apple -s /bin/bash -d /home/apple/

创建 .ssh 目录mkdir /home/apple/.ssh

修改 .ssh 目录的权限chmod 700 /home/apple/.ssh

创建 /home/apple/.ssh/known_hosts 文件

2.收集所有远程主机的公钥,保存在上 /home/apple/.ssh/known_hosts 文件。这一步的作用,是为了在后面第一次ssh 连接时,不需要再输密码。

收集所有远程主机的 公钥,主要是利用 ssh-keyscan 命令:ssh-keyscan -f ip.txt >> /home/apple/.ssh/known_hosts 说明: ip.txt 文件存放所有的远程主机 ip 地址,一行代表一台主机。

3.创建公钥私钥对:

一般在对应用户的 /home/apple/.ssh/ 目录下创建。这也不是强制的,因为在ssh 发起连接时,可以指定使用的私钥文件。 ssk-keygen -t rsa 一直按回车键就可以了。但要注意生成的 id_rsa 和 id_rsa.pub 存放的路径。

4.将公钥推送到所有的远程主机

我们编写playbook 文件,利用authorized_key 模块就可以快速完成:

[root@centos_7 roles]$   cat ssh-addkey.yml ---- hosts: apps         对apps 组里的所有远程主机  
gather_facts: False  
tasks:    
- name: install sshkey      
authorized_key:         
user: apple        
key: "{{ lookup('file', '/home/apple/.ssh/id_rsa.pub') }}"        
state: present 

说明: 在前面1,2,3步中,我们已经准备好了公私钥对了。推送到远程主机,可以手动推送,或者使用scp 复制到远程主机。但是利用scp 复制之后,还需要修改远程主机上的 /home/apple/.ssh/authorize_keys 文件的权限等等。 ansible 的 authorized_key 模块就自动帮我们做了这些工作。 执行, ansible-playbook ssh-addkye.yml

在多台远程主机中创建用户

不用ansible,单个操作

 在 root 用户下运行这条命令创建一个新用户,yangxg 是用户名
 因为我叫杨学光,所以我取的用户名是 yangxg
 选择一个你喜欢的用户名,不一定非得和我的相同
root@localhost:~ useradd -m -s /bin/bash yangxg
 
 把新创建的用户加入超级权限组
root@localhost:~ usermod -a -G sudo yangxg
 
 为新用户设置密码
 注意在输密码的时候不会有字符显示,不要以为键盘坏了,正常输入即可
root@localhost:~ passwd yangxg
 
 切换到创建的新用户
root@localhost:~ su - yangxg
 
 切换成功,@符号前面已经是新用户名而不是 root 了
yangxg@localhost:~$

ansible

---
- hosts: all
  vars:
    user: test
    password: "$6$rounds=100000$O2BHfT2XIF6oDb9w$8Hhv4vOrLN6JF/nRVYDd8zZdnn9TNkQutyYYywIcPF2kRiHgkwAjqHIN7sDUkd1DcjLRABWT9ULHZPBOF2bZS/"
  remote_user: root
  tasks:
  - name: Add user {{ user }}
    user: name={{user}} comment="ceph user" password={{ password }}
  - name: Config /etc/sudoers
    lineinfile: dest=/etc/sudoers state=present  line='{{item}}' validate='visudo -cf %s'
    with_items:
           - "{{ user}} ALL=(ALL) NOPASSWD: ALL"
           - "Defaults: {{user}}  !requiretty"
$ python -c 'import crypt; print crypt.crypt("rescue", "hadoop")'
 hadoop为salt,可以改成其他的。rescue是需要加密的内容

$ ansible rescue -m user -a "name=rescue shell=/bin/bash  home=/home/rescue password= state=present" -b -K

$ ansible rescue -m shell -a "usermod -a -G sudo rescue" -b -K

 user模块增加 update_password=always时,可以更新密码

一键挂载NFS:

ansible full -m mount -a "name=/data src=192.168.100.179:/data fstype=nfs state=mounted" -b -K

挂载需要用SUDO权限,所以-K必不可少.同时,在这之前已经使用过ssh进行了配对因此不需要输入登录用户密码.


其他命令记录
ss -ntl | grep 80

vim /etc/sysconfig/network-scripts/ifcfg-eth0建议可以使用Alias

service network restart重启网络服务

上一篇下一篇

猜你喜欢

热点阅读