Ansible基于Windows的管理架构
一、前言
如《第1章Ansible发展史》介绍,作为关注度最高的集中化管理工具,Ansible同样支持Windows系统,只是相对Linux发行版无论在配置还是管理方式都有较大差别,本章来为大家详细介绍。
二、Windows下Ansible工作原理
Ansible 从1.7+版本开始支持Windows,但前提是管理机必须为Linux系统,远程主机的通信方式也由SSH变更为PowerShell,基于Kerberos认证方式,同时管理机必须预安装Python的Winrm模块,方可和远程Windows主机正常通信,但PowerShell需3.0+版本且Management Framework 3.0+版本,实测Windows 7 SP1和Windows Server 2008 R2及以上版本系统经简单配置可正常与Ansible通信。简单总结如下:
- 管理机必须为Linux系统且需预安装Python Winrm模块
- 底层通信基于PowerShell,认证基于Kerberos
- 远程主机PowerShell版本为3.0+,Management Framework版本为3.0+。
如上条件满足后,方可正常和Ansible通信,下面章节我们逐步深入。
三、 Ansible管理机(linux)部署安装
如上节介绍,基于Windows管理但管理机系统需为Linux系统,且需预先安装Python 的Winrm模块:
pip install "pywinrm>=0.1.1"
如远程Windows主机是基于Active Directory(后文统一简称为AD)的管理方式,管理机和远程主机基于Kerbero认证,需额外安装python-kerbero和MIT krb5依赖库。
步骤1、 安装python-kerberos依赖,命令如下:
Yum方式(Centos,RedHat,Fedora)
yum -y install python-devel krb5-devel krb5-libs krb5-workstation
Apt方式 (Ubuntu)
sudo apt-get install python-dev libkrb5-dev
Portage方式 (Gentoo)
emerge -av app-crypt/mit-krb5emerge -av dev-python/setuptools
pkg 方式(FreeBSD)
sudo pkg install security/krb5
OpenCSW方式 (Solaris)
pkgadd -d http://get.opencsw.org/now/opt/csw/bin/pkgutil -U/opt/csw/bin/pkgutil -y -i libkrb5_3
Pacman方式 (Arch Linux)
pacman -S krb5
步骤2 、安装python-kerberos,OSX和Linux发行版均默认安装,安装命令如下:
pip install Kerberos
步骤3、配置Kerberos,配置/etc/krb5.conf,添加如下内容
[realms] MY.DOMAIN.COM = { kdc = domain-controller1.my.domain.com kdc = domain-controller2.my.domain.com }
之后于 [domain_realm] 后添加如下内容:
[domain_realm] .my.domain.com = MY.DOMAIN.COM
通过以下命令验证域账户认证情况:
kinit user@MY.DOMAIN.COM
步骤4、同理配置Inventory主机信息和group_vars/windows.yml变量信息,Inventory添加如下信息:
[windows]win1.magedu.comwin2.magedu.com
group_vars/windows.yml添加如下信息:
ansible_user: Administratoransible_password: magedu@beijingansible_port: 5986ansible_connection: winrmansible_winrm_server_cert_validation: ignore
若windows使用本地账号连接,则可直接在/etc/ansible/hosts上配置(如下 ):
xw-win ansible_user="Administrator" ansible_password="0" ansible_port="5986" ansible_connection="winrm" ansible_winrm_server_cert_validation="ignore"
至此,服务端配置完毕,如需和远程Windows正常通信仍需对Windows做一定配置修改。详细如下
四、Windows系统预配置
(使用ansible官方自动配置脚本ConfigureRemotingForAnsible.ps1和自动升级powershell的脚本upgrade_to_ps3.ps1即可完成配置,记录要允许powershell执行脚本:set-executionpolicy -executionpolicy unrestricted)
和Linux发版版稍有区别,远程主机系统如为Windows需预先如下配置:
- 安装Framework 3.0+
- 设置PowerShell本地脚本运行权限为remotesigned
- 升级PowerShell至3.0+
- 自动设置Windows远端管理,英文全称WS-Management(WinRM)
我们逐一介绍:
安装Framework 3.0+
下载链接为:http://download.microsoft.com/download/B/A/4/BA4A7E71-2906-4B2D-A0E1-80CF16844F5F/dotNetFx45_Full_x86_x64.exe。 下载至本地后双击左键安装即可,期间可能会多次重启,电脑需正常连接Internet。
设置PowerShell本地脚本运行权限为remotesigned
因Windows系统默认不允许非Adminitor外的普通用户执行SP脚本,即使是管理员,如下开放P脚本执行权限。
步骤1 打开CMD输入regedit.exe 如下图打开注册表。
步骤2 设置SP脚本系统可运行。
依次打开注册表目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell
如图下图修改SP脚本可执行权限为remotesigned。
或者,打开PowerShell执行命令:set-executionpolicy -executionpolicy unrestricted 返回结果如图
这里共4种权限:
- Restricted—默认的设置, 不允许任何script运行;
- AllSigned—只能运行经过数字证书签名的script;
- RemoteSigned—运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名;
- Unrestricted—允许所有的script运行。
升级PowerShell至3.0+
PowerShell 3.0+ 需基于Windows 7 Sp1安装,Windows7系统Sp1补丁升级请参考http://windows.microsoft.com/installwindows7sp1,这里不作详细介绍。Window 7和Windows Server 2008 R2默认安装的有PowerShell,但版本号一般为2.0版本,所以我们需升级至3.0+,如下图中数字1部分表示PowerShell版本过低需3.0+版本,数字2部分表示当前PowerShell版本为2.0
PowerShell至3.0+版本,下载地址如下:
https://github.com/cchurch/ansible/blob/devel/examples/scripts/upgrade_to_ps3.ps1。下载至本地后,如图10-5右键选择“使用PowerShell运行”,执行完毕重启系统后,在PowerShell执行Get-Host命令结果如下图所示PowerShell版本为3.0为正常。
步骤4、自动设置Windows远端管理(WS-Management,WinRM)
下载补丁脚本
https://github.com/ansible/ansible/blob/devel/examples/scripts/ConfigureRemotingForAnsible.ps1,下载至本地,右击后选择“使用PowerShell运行”,执行结果没有返回错误即为正常。
如执行出现“由于此计算机上的网络连接类型之一设置为公用,因此 WinRM防火墙例外将不运行”类似报错,请在PowerShell中执行命令尝试解决。
Enable-PSRemoting – SkipNetworkProfileCheck –Force
好了,远程Windows主机配置到此结束,我们验证配置的是否有问题,在Master机做如下设置:
步骤1、配置Inventory 添加/etc/ansible/hosts配置。
[windows]192.168.37.146 ansible_ssh_user="Administrator" ansible_ssh_pass="magedu@beijing" ansible_ssh_port=5986 ansible_connection="winrm"
步骤2、在Master上执行命令:
ansible windows -m win_ping
返回结果如下图所示:
注意:Windows系统建议使用Administrator用户,避免不可预知的问题。命令运行前请设置Administrator可登录且登录密码为magedu@beijjing。
五、Windows下可用模块
- Windows下可用模块虽不及Linux丰富,但基础功能均包括在内,如下介绍日常工作常用到的模块,请参考。
- win_acl (E) —设置文件/目录属主属组权限;
- win_copy—拷贝文件到远程Windows主机;
- win_file —创建,删除文件或目录;
- win_lineinfile—匹配替换文件内容;
- win_package (E) —安装/卸载本地或网络软件包;
- win_ping —Windows系统下的ping模块,常用来测试主机是否存活;
- win_service—管理Windows Services服务;
- win_user —管理Windows本地用户。
更多模块及详细功能介绍请参考官网:http://docs.ansible.com/ansible/list_of_windows_modules.html除win开头的模块外,scripts,raw,slurp,setup模块在Windows 下也可正常使用。
六、Windows Ansible模块使用实战
本节通过几个实战案例为大家演示一些常用模块用法。
案例1: 传输/etc/passwd文件至远程E:\file\目录下
执行命令:
ansible windows -m win_copy -a 'src=/etc/passwd dest=E:\file\passwd'
返回结果:
192.168.37.146 | success >> { "changed": true, "checksum": "896d4c79f49b42ff24f93abc25c38bc1aa20afa0", "operation": "file_copy", "original_basename": "passwd", "size": 2563}
部分返回结果诠释:
- “operation”: “file_copy”—执行的操作为 file_copy;
- “original_basename”: “passwd”—件名为 passwd;
- “size”: 2563—文件大小为 2563 bytes。
Playbook写法如下:
---- name: windows module example hosts: windows tasks: - name: Move file on remote Windows Server from one location to another win_file: src=/etc/passwd dest=E:\file\passwd
案例2: 删除案例1中的E:\file\passwd。
执行命令:
ansible windows -m win_file -a "path=E:\file\passwd state=absent"
返回结果:
192.168.37.146 | success >> { "changed": true}
案例3: 新增用户stanley,密码为magedu@123,属组为Administrators。
执行命令:
ansible windows -m win_user -a "name=stanley passwd=magedu@123 group=Administrators"
返回结果:
192.168.37.146 | success >> { "account_disabled": false, "account_locked": false, "changed": true, "description": "", "fullname": "stanley", "groups": [ { "name": "Administrators", "path": "WinNT://WORKGROUP/LINUXLST/Administrators" } ], "name": "stanley", "password_expired": true, "password_never_expires": false, "path": "WinNT://WORKGROUP/LINUXLST/stanley", "sid": "S-1-5-21-3965499365-1200628009-3594530176-1004", "state": "present", "user_cannot_change_password": false}
部分返回结果诠释:
- account_disabled—禁用用户登录;
- account_locked—解锁用户;
- groups—用户所属组;
- name—用户名;
- password_expired—下次登录修改密码;
- user_cannot_change_password—用户是否可修改密码。
案例4:重启Windows spooler服务
执行命令:
ansible windows -m win_service -a "name=spooler state=restarted"
返回结果:
192.168.37.146 | success >> { "changed": true, "display_name": "Print Spooler", "name": "spooler", "start_mode": "auto", "state": "running"}
本章小结
本章为大家介绍了当远程主机为Windows时Ansible的管理机制,从整体配置复杂程度上相对Linux要麻烦些,现如今服务器市场Linux大为流行的背景下,各软件对Windows的支持力度确实不如预期,也曾收到业界Windows应用者反馈Ansible管理Windows期间存在意想不到的问题,其实何止Ansible,现流行的集中化管理工具对Windows的支持力度均一般。笔者Windows的维护经历提醒各位:珍爱生命,远离Windows。
