一、概述
Ansible是新出現的自動化運維工具,基于Python開發,集合了衆多運維工具(puppet、cfengine、chef、func、fabric)的優點,實作了批量系統配置、批量程式部署、批量運作指令等功能。
Ansible 特點:
- 部署簡單,隻需要在主要端部署Ansible環境,被控端無需作任何操作
- 預設使用SSH協定對裝置進行管理
- 主從集中化管理
- 配置簡單、功能強大、擴充性強
- 支援API及自定義子產品、可以通過Python輕松擴充
- 通過Playbooks來定制強大的配置、狀态管理
- 對雲計算平台、大資料都有很好的支援
官方文檔:https://docs.ansible.com/ansible/latest/
GitHub位址:https://github.com/ansible/ansible
二、Ansible 架構
上圖為ansible的基本架構,從上圖可以了解到其由以下部分組成:
- 核心:ansible
- 核心子產品(Core Modules):這些都是ansible自帶的子產品
- 擴充子產品(Custom Modules):如果核心子產品不足以完成某種功能,可以添加擴充子產品
- 插件(Plugins):完成子產品功能的補充
- 劇本(Playbooks):ansible的任務配置檔案,将多個任務定義在劇本中,由ansible自動執行
- 連接配接插件(Connectior Plugins):ansible基于連接配接插件連接配接到各個主機上,雖然ansible是使用ssh連接配接到各個主機的,但是它還支援其他的連接配接方法,是以需要有連接配接插件
- 主機清單(Host Inventory):定義ansible管理的主機
三、Ansible 工作原理
從上面的圖上可以了解到:
- 管理端支援local 、ssh、zeromq 三種方式連接配接被管理端,預設使用基于ssh的連接配接,這部分對應上面架構圖中的連接配接子產品;
- 可以按應用類型等方式進行Host Inventory(主機清單)分類,管理節點通過各類子產品實作相應的操作,單個子產品,單條指令的批量執行,我們可以稱之為ad-hoc;
- 管理節點可以通過playbooks 實作多個task的集合實作一類功能,如web服務的安裝部署、資料庫伺服器的批量備份等。playbooks我們可以簡單的了解為,系統通過組合多條ad-hoc操作的配置檔案 。
四、Ansible 安裝與基礎配置
yum install epel-release
yum -y install ansible
ansible --version
1)開啟記錄日志
配置檔案:/etc/ansible/ansible.cfg
# 去掉前面的'#'号
#log_path = /var/log/ansible.log ==> log_path = /var/log/ansible.log
2)去掉第一次連接配接ssh ask确認
# 第一種(推薦)
vi /etc/ansible/ansible.cfg
# 其實就是把#去掉
# host_key_checking = False ==> host_key_checking = False
# 第二種
vi /etc/ssh/ssh_config
StrictHostKeyChecking ask ==> StrictHostKeyChecking no
五、Ansible 的七個指令
安裝完ansible後,發現ansible一共為我們提供了七個指令:ansible、ansible-doc、ansible-galaxy、ansible-lint、ansible-playbook、ansible-pull、ansible-vault。這裡我們隻檢視usage部分,詳細部分可以通過 "指令 -h" 的方式擷取。
1)ansible
ansible是指令核心部分,其主要用于執行ad-hoc指令,即單條指令。預設後面需要跟主機和選項部分,預設不指定子產品時,使用的是command子產品。不過預設使用的子產品是可以在/etc/ansible/ansible.cfg 中進行修改的#module_name = command。
ansible 192.168.182.130 -a 'date'
2)ansible-doc
該指令用于檢視子產品資訊,常用參數有兩個-l 和 -s
#列出所有已安裝的子產品ansible-doc -l
ansible-doc -l
#檢視具體某子產品的用法,這裡如檢視command子產品
ansible-doc -s command
3)ansible-playbook
ansible-playbook 指令是使用最多的指令,其通過讀取playbook 檔案後,執行相應的動作,這個後面會做為一個重點來講。
4)ansible-galaxy
ansible-galaxy 指令用于友善的從https://galaxy.ansible.com/ 站點下載下傳第三方擴充子產品,我們可以形象的了解其類似于centos下的yum、python下的pip或easy_install 。如下示例:
ansible-galaxy install aeriscloud.docker
5)ansible-lint
ansible-lint是對playbook的文法進行檢查的一個工具。用法如下:
ansible-lint playbook.yml
6)ansible-pull
該指令使用需要談到ansible的另一種模式,pull 模式,這和我們平常經常用的push模式剛好相反,其适用于以下場景:你有數量巨大的機器需要配置,即使使用非常高的線程還是要花費很多時間;你要在一個沒有網絡連接配接的機器上運作Anisble,比如在啟動之後安裝。
7)ansible-vault
- ansible-vault 主要應用于配置檔案中含有敏感資訊,又不希望他能被人看到,vault可以幫你加密/解密這個配置檔案,屬進階用法。
- 主要對于playbooks裡比如涉及到配置密碼或其他變量時,可以通過該指令加密,這樣我們通過cat看到的會是一個密碼串類的檔案,編輯的時候需要輸入事先設定的密碼才能打開。
- 這種playbook檔案在執行時,需要加上 --ask-vault-pass參數,同樣需要輸入密碼後才能正常執行。
六、Ansible 主要組成部分
1)ansible 指令執行來源
- USER,普通使用者,即system administrator
- USER -> ansile playbook -> ansible
- CMDB,(配置管理資料庫)API調用
- PUBLIC / PRIVATE CLOUD API調用
2)ansible 管理方式
- Ad-Hoc,即ansible指令,主要用于臨時指令使用場景
-
Ansible-playbook,主要用于長期規劃好的,大型項目的場景,需要有前提的規劃
ansible-playbook(劇本)執行過程:将已有編排好的任務集寫入ansible-playbook通過ansible-playbook指令分拆任務集至逐條ansible指令,按預定規則逐條執行
3)ansible主要操作對象
- HOSTS:主機
- NETWORKING:網絡裝置
注意事項:
- 執行ansible的主機一般稱為主要端,中控,master或堡壘機
- 主要端python版本需要在2.6或以上
- 被控端python版本小于2.4需要安裝python-simplejson
- 被控端如開啟SELinux需要安裝libselinux-python
- windows不能作為主要端
七、Ansible 連接配接被控端方式
1)ssh 密鑰
# 生成秘鑰
ssh-keygen
# 将秘鑰拷貝到被管理伺服器上
ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 [email protected]
2)賬号密碼
1、指令行配置
# -k:互動式
ansible -uroot -k 192.168.182.130 -m ping
2、配置檔案中配置
# 預設主機配置檔案:/etc/ansible/hosts
192.168.182.130 ansible_ssh_user=root ansible_ssh_pass=123456
[web]
192.168.182.130 ansible_ssh_user=root ansible_ssh_pass=123456
常用的配置參數如下:
八、Host Inventory(主機清單)
主機清單配置(預設配置檔案:/etc/ansible/hosts)
1)添加被管控節點
192.168.182.110
示例:
# -m:指定子產品
# -a:指定參數
ansible 192.168.182.110 -m ping
ansible 192.168.182.110 -m shell -a "df -h"
2)配置主機組
# 定義webservers組
[webservers]
192.168.182.110
192.168.182.112
示例:
# -m:指定子產品
# -a:指定參數
ansible webservers -m ping
ansible webservers -m shell -a "df -h"
3)配置連接配接使用者名和密碼
[webservers]
192.168.182.130 ansible_ssh_user=root ansible_ssh_pass=123456
常用配置參數如下:
示例:
ansible 192.168.182.130 -m ping
4)子分組
[web]
192.168.182.130
192.168.182.110
[mysql]
192.168.182.111
# 子分組
[nfs:children]
web
mysql
# 對分組統一定義變量
[nfs:vars]
ansible_ssh_user=root
ansible_ssh_pass=123456
ansible_ssh_port=22
示例:
ansible nfs -m ping
# -o:一行顯示
ansible nfs -m ping -o
5)自定義主機清單檔案
cat>hostlist<<EOF
[web]
192.168.182.130
192.168.182.110
[mysql]
192.168.182.111
# 子分組
[nfs:children]
web
mysql
# 對分組統一定義變量
[nfs:vars]
ansible_ssh_user=root
ansible_ssh_pass=123456
ansible_ssh_port=22
EOF
示例:
# -i:指定主機清單檔案
ansible -i hostlist nfs -m ping
九、Ad-Hoc(點對點模式)
官方文檔:https://docs.ansible.com/ansible/latest/command_guide/intro_adhoc.html
1)簡介
ad-hoc 指令是一種可以快速輸入的指令,而且不需要儲存起來的指令,一般測試調試時用的多,ad-hoc簡而言之,就是"臨時指令"。
2)常用子產品
1、command 子產品(預設子產品)
預設子產品,沒有shell強大,基本上shell子產品都可以支援command子產品的功能。
【1】幫助
ansible-doc command
# 推薦使用下面這個
ansible-doc command -s
【2】參數解釋
- free_form——必須參數,指定需要遠端執行的指令。需要說明一點,free_form 參數與其他參數(如果想要使用一個參數,那麼則需要為這個參數指派,也就是name=value模式)并不相同。比如,當我們想要在遠端主機上執行 ls 指令時,我們并不需要寫成”free_form=ls” ,這樣寫反而是錯誤的,因為并沒有任何參數的名字是 free_form,當我們想要在遠端主機中執行 ls 指令時,直接寫成 ls 即可。因為 command 子產品的作用是執行指令,是以,任何一個可以在遠端主機上執行的指令都可以被稱為 free_form。
- chdir——此參數的作用就是指定一個目錄,在執行對應的指令之前,會先進入到 chdir 參數指定的目錄中。
- creates——看到 creates,你可能會從字面上了解這個參數,但是使用這個參數并不會幫助我們建立檔案,它的作用是當指定的檔案存在時,就不執行對應指令,比如,如果 /testdir/test檔案存在,就不執行我們指定的指令。
- removes——與 creates 參數的作用正好相反,它的作用是當指定的檔案不存在時,就不執行對應指令,比如,如果 /testdir/tests 檔案不存在,就不執行我們指定的指令,此參數并不會幫助我們删除檔案。
【3】示例示範
# 上面指令表示在 web 主機上執行 ls 指令,因為使用的是 root 使用者,是以預設情況下,ls 出的結果是 web 主機中 root 使用者家目錄中的檔案清單。
ansible web -m command -a "ls"
# chdir 參數表示執行指令之前,會先進入到指定的目錄中,是以上面指令表示檢視 web 主機上 /testdir 目錄中的檔案清單,傳回顯示有2個檔案。
ansible web -m command -a "chdir=/testdir ls"
# 下面指令表示 /testdir/testfile1 檔案存在于遠端主機中,則不執行對應指令。/testdir/testfile3 不存在,才執行”echo test”指令。
ansible web -m command -a "creates=/testdir/testfile1 echo test"
# 下面指令表示 /testdir/testfile3 檔案不存在于遠端主機中,則不執行對應指令。/testdir/testfile1 存在,才執行”echo test”指令。
ansible web -m command -a "removes=/testdir/testfile1 echo test"
2、shell 子產品
shell子產品 [執行遠端主機的shell/python等腳本]。
【1】檢視幫助
ansible-doc shell -s
【2】示例示範
# -o:一行顯示
# 安裝httpd
ansible web -m shell -a 'yum -y install httpd' -o
# 檢視時間
ansible web -m shell -a 'uptime' -o
3、script 子產品
script子產品 [在遠端主機執行主要端的shell/python等腳本 ]。
【1】檢視幫助
ansible-doc script -s
【2】參數解釋
- free_form——必須參數,指定需要執行的腳本,腳本位于 ansible 管理主機本地,并沒有具體的一個參數名叫 free_form,具體解釋請參考 command 子產品。
- chdir——此參數的作用就是指定一個遠端主機中的目錄,在執行對應的腳本之前,會先進入到 chdir 參數指定的目錄中。
- creates——使用此參數指定一個遠端主機中的檔案,當指定的檔案存在時,就不執行對應腳本,可參考 command 子產品中的解釋。
- removes——使用此參數指定一個遠端主機中的檔案,當指定的檔案不存在時,就不執行對應腳本,可參考 command 子產品中的解釋。
【3】示例示範
# 下面指令表示 ansible 主機中的 /testdir/testscript.sh 腳本将在 web 主機中執行,執行此腳本之前,會先進入到 web 主機中的 /opt 目錄
ansible web -m script -a "chdir=/opt /testdir/testscript.sh"
# 下面指令表示,web主機中的 /testdir/testfile1檔案已經存在,ansible 主機中的 /testdir/testscript.sh 腳本将不會在 web 主機中執行。
ansible web -m script -a "creates=/testdir/testfile1 /testdir/testscript.sh"
# 下面指令表示,web 主機中的 /testdir/testfile1 檔案存在,ansible 主機中的 /testdir/testscript.sh 腳本則會在 web 主機中執行。
ansible ansible-demo3 -m script -a "removes=/testdir/testfile1 /testdir/testscript.sh"
4、raw 子產品
raw子產品 [類似于command子產品、支援管道傳遞]。
【1】檢視幫助
ansible-doc raw -s
【2】示例示範
ansible web -m raw -a "ifconfig eth0 |sed -n 2p |awk '{print \$2}' |awk -F: '{print \$2}'"
5、copy 子產品
copy 子產品 從主要端複制檔案到被控端。
【1】檢視幫助
ansible-doc copy -s
【2】示例示範
# -a,--args:後面接參數
ansible web -m copy -a 'src=/etc/ansible/hosts dest=/tmp/hosts owner=root group=bin mode=777'
# backup=yes/no:檔案存在且檔案内容不一樣是否備份,預設不備份
ansible web -m copy -a 'src=/etc/ansible/hosts dest=/tmp/hosts owner=root group=bin mode=777 backup=yes'
6、fetch 子產品
copy 子產品從被控端複制檔案到主要端,正好跟copy相反。
【1】檢視幫助
ansible-doc fetch -s
【2】示例示範
# 跟copy支援的參數差不多,src:遠端主機的目錄,dest:主要端目錄,其實真正存放的目錄在:/tmp/192.168.182.129/tmp/up.sh,會按每台主機分組存放
# This `must' be a file, not a directory:隻支援單個檔案擷取
ansible 192.168.182.129 -m fetch -a "src=/etc/fstab dest=/testdir/ansible/"
7、unarchive 子產品(解包子產品)
unarchive 子產品是解包子產品。
【1】檢視幫助
ansible-doc unarchive -s
【2】參數解釋
- copy——預設為yes,當copy=yes,那麼拷貝的檔案是從ansible主機複制到遠端主機上的,如果設定為copy=no,那麼會在遠端主機上尋找src源檔案。
- src——源路徑,可以是ansible主機上的路徑,也可以是遠端主機上的路徑,如果是遠端主機上的路徑,則需要設定copy=no。
- dest——遠端主機上的目标路徑。
- mode——設定解壓縮後的檔案權限。
【3】示例示範
ansible 192.168.182.129 -m unarchive -a 'src=/testdir/ansible/data.tar.gz dest=/tmp/tmp/'
8、archive子產品(打包子產品)
unarchive 子產品是打包子產品。
【1】檢視幫助
ansible-doc archive -s
【2】示例示範
# path:主要端目錄,format:壓縮格式,dest:被控端目錄檔案'
ansible 192.168.182.129 -m archive -a 'path=/tmp/ format=gz dest=/tmp/tmp/t.tar.gz'
9、user 子產品
【1】檢視幫助
ansible-doc user -s
【2】示例示範
# 建立使用者(present:預設,可以不寫)
ansible web -m user -a 'name=test state=present'
# 删除使用者(absent)
ansible web -m user -a 'name=test state=absent'
# 修改密碼
# 步驟一、生成加密密碼
echo '777777'|openssl passwd -1 -stdin
# 步驟二、修改秘密
ansible web -m user -a 'name=test password="$1$Jo5FD9Jr$2QB.BuybbtR35ga4O5o8N."'
# 修改shell
ansible web -m user -a 'name=test shell=/sbin/noglogin append=yes'
10、group 子產品
【1】檢視幫助
ansible-doc group -s
【2】示例示範
# 建立
ansible 192.168.182.129 -m group -a 'name=testgroup system=yes'
# 删除
ansible 192.168.182.129 -m group -a 'name=testgroup state=absent'
11、yum 子產品
【1】檢視幫助
ansible-doc yum -s
【2】示例示範
# 更新所有包
ansible web -m yum -a 'name="*" state=latest'
# 安裝apache
ansible web -m yum -a 'name="httpd" state=latest'
12、service 子產品
【1】檢視幫助
ansible-doc service -s
【2】示例示範
ansible web -m service -a 'name=httpd state=started'
ansible web -m service -a 'name=httpd state=started enabled=yes'
ansible web -m service -a 'name=httpd state=stopped'
ansible web -m service -a 'name=httpd state=restarted'
ansible web -m service -a 'name=httpd state=started enabled=no'
13、file 子產品
【1】檢視幫助
ansible-doc file -s
【2】示例示範
# 建立檔案
ansible web -m file -a 'path=/tmp/88.txt mode=777 state=touch'
# 建立目錄
ansible web -m file -a 'path=/tmp/99 mode=777 state=directory'
# 删除
ansible web -m file -a 'path=/tmp/99 state=absent'
14、setup 子產品
【1】檢視幫助
ansible-doc setup -s
【2】示例示範
ansible web -m setup
ansible web -m setup -a 'filter=ansible_all_ipv4_addresses'
15、cron 子產品
【1】檢視幫助
ansible-doc cron -s
【2】示例示範
# 建立定時任務
ansible 192.168.182.129 -m cron -a 'minute=* weekday=1,3,5,6,7 job="/usr/bin/wall FBI warning" name=warningcron'
# 關閉定時任務
ansible 192.168.182.129 -m cron -a 'disabled=true job="/usr/bin/wall FBI warning" name=warningcron'
# 删除定時任務
ansible 192.168.182.129 -m cron -a ' job="/usr/bin/wall FBI warning" name=warningcron state=absent'
16、hostname 子產品
【1】檢視幫助
ansible-doc hostname -s
【2】示例示範
ansible 192.168.182.129 -m hostname -a 'name=192.168.182.129'
Ansible 的介紹和簡單使用就先到這裡了,還有一個ansible-playbook是非常重要,内容也是比較多,就放到下篇文章介紹了,有疑問的小夥伴歡迎給我留言,後續會持續更新相關技術文章!!!