| 编辑推荐: |
| 本文来源51cto.com,介绍了Ansible
是什么,能做什么,Ansible特性,架构,工作原理,主要组成部分功能说明等知识。 |
|
前言
天天说运维,究竟是干什么的?先看看工作流程呗。一般来说,运维工程师在一家企业里属于个位数的岗位,甚至只有一个。面对生产中NNN台服务器,NN个人员,工作量也是非常大的。
所以嘛,图中的我好歹也会配置盔甲的。
这就是我主要干的事情(呵呵)
就算你会很厉害的脚本,面对成百上千,甚至上万的主机,效率问题将会困扰你的。
因此,有没有解放的工具呢?
Ansible 是什么
Ansible 简单的说是一个配置管理系统(configuration management system)。你只需要可以使用
ssh 访问你的服务器或设备就行。它也不同于其他工具,因为它使用推送的方式,而不是像 puppet
等 那样使用拉取安装agent的方式。你可以将代码部署到任意数量的服务器上!
Ansible能做什么
ansible可以帮助我们完成一些批量任务,或者完成一些需要经常重复的工作。
比如:同时在100台服务器上安装nginx服务,并在安装后启动它们。
比如:将某个文件一次性拷贝到100台服务器上。
比如:每当有新服务器加入工作环境时,你都要为新服务器部署某个服务,也就是说你需要经常重复的完成相同的工作。
这些场景中我们都可以使用到ansible。
Ansible特性
模块化:调用特定的模块,完成特定任务
有Paramiko,PyYAML,Jinja2(模板语言)三个关键模块
支持自定义模块
基于Python语言实现
部署简单,基于python和SSH(默认已安装),agentless
安全,基于OpenSSH
支持playbook编排任务
幂等性:一个任务执行1遍和执行n遍效果一样,不因重复执行带来意外情况
无需代理不依赖PKI(无需ssl)
可使用任何编程语言写模块
YAML格式,编排任务,支持丰富的数据结构
较强大的多层解决方案
Ansible架构
Ansible工作原理
Ansible主要组成部分功能说明
PLAYBOOKS:
任务剧本(任务集),编排定义Ansible任务集的配置文件,由Ansible顺序依次执行,通常是JSON格式的YML文件
INVENTORY:
Ansible管理主机的清单/etc/anaible/hosts
MODULES:
Ansible执行命令的功能模块,多数为内置的核心模块,也可自定义,ansible-doc –l 可查看模块
PLUGINS:
模块功能的补充,如连接类型插件、循环插件、变量插件、过滤插件等,该功能不常用
API:
供第三方程序调用的应用程序编程接口
ANSIBLE:
组合INVENTORY、 API、 MODULES、PLUGINS的绿框,可以理解为是ansible命令工具,其为核心执行工具
注意事项
执行ansible的主机一般称为主控端,中控,master或堡垒机
主控端Python版本需要2.6或以上
被控端Python版本小于2.4需要安装python-simplejson
被控端如开启SELinux需要安装libselinux-python
windows不能做为主控端
安装Ansible
安装方法有很多,这里仅仅以Centos yum安装为例。
Ansible默认不在标准仓库中,需要用到EPEL源。
请自行参考
https: //mirrors.aliyun.com /help /centos |
#ansible --
version
ansible 2.4.2.0
config file = /etc/ansible /ansible.cfg
executable location = /usr /bin/ansible
python version = 2.7.5 |
Ansible 功能详解
配置文件 
Ansible 配置文件
Ansible 配置文件/etc/ansible/ansible.cfg
(一般保持默认)
[defaults]
#inventory = /etc/ansible /hosts # 主机列表配置文件
#library = /usr /share/my_modules/ # 库文件存放目录
#remote_tmp = $HOME/ .ansible/tmp # 临时py命令文件存放在远程主机目录
#local_tmp = $HOME /.ansible/tmp # 本机的临时命令执行目录
#forks = 5 # 默认并发数
#sudo_user = root # 默认sudo 用户
#ask_sudo_pass = True #每次执行 ansible命令是否询问ssh密码
#ask_pass = True #连接时提示输入ssh密码
#remote_port = 22 #远程主机的默认端口,生产中这个端口应该会不同
#log_path = /var /log /ansible.log #日志
#host_ key_ checking = False # 检查对应服务器的 host_
key,建议取消注释。也就是不会弹出
Are you sure you want to continue connecting (yes/no)?
|
实验规划
实验环境:VMware
Workstation Pro 14(试用版)
系统平台:
CentOS Linux release 7.4.1708 (Core) 内核 3.10.0-693
.el7 .x86 _64
最小化安装
实验环境:VMware Workstation Pro 14(试用版)
系统平台:
CentOS release 6.9 (Final) 内核 2.6.32 -696.el6
.x86_ 64
最小化安装 |
除了6-DNS-1以外,所有的主机的DNS均指向192.168.7.254
正向区域设置
#dig - t axfr hunk.tech
; <<>> DiG 9.8.2rc1- RedHat- 9.8.2-
0.62.rc1.el6 <<>> - t axfr hunk .tech
;; global options : + cmd
hunk.tech. 600 IN SOA 6- dns- 1.hunk.tech. admin.hunk.tech.
24 720 600 86400 10800
hunk.tech . 600 IN NS 6- dns- 1.hunk.tech.
6-dns-1.hunk .tech. 600 IN A 192.168.7.254
6-web-1.hunk .tech. 600 IN A 192.168.7.201
7-db-3.hunk .tech. 600 IN A 192.168.7.203
7-web-0.hunk .tech. 600 IN A 192.168.7.200
7-web-2.hunk .tech. 600 IN A 192.168.7.202
hunk.tech . 600 IN SOA 6-dns- 1.hunk.tech. admin.hunk
.tech . 24 720 600 86400 10800 |
Inventory 主机清单
Ansible必须通过Inventory 来管理主机。Ansible 可同时操作属于一个组的多台主机,组和主机之间的关系通过
inventory 文件配置。
语法格式:
单台主机
green.example.com > FQDN
192.168.100.10 > IP地址
192.168.100.11:2222 > 非标准SSH端口
[webservers] > 定义了一个组名
alpha.example.org > 组内的单台主机
192.168.100.10
[dbservers]
192.168.100.10 > 一台主机可以是不同的组,这台主机同时属于[webservers]
[group:children] > 组嵌套组,group 为自定义的组名,children是关键字,固定语法,必须填写。
dns > group 组内包含的其他组名
db > group 组内包含的其他组名
[webservers]
www[001:006].hunk.tech > 有规律的名称列表,
这里表示相当于:
www001.hunk.tech
www002.hunk.tech
www003.hunk.tech
www004.hunk.tech
www005.hunk.tech
www006.hunk.tech
[databases]
db-[a:e].example.com > 定义字母范围的简写模式,
这里表示相当于:
db-a.example.com
db-b.example.com
db-c.example.com
db-d.example.com
db-e.example.com
以下这2条定义了一台主机的连接方式,而不是读取默认的配置设定
localhost ansible_ connection = local
www.163.com ansible_ connection = ssh ansible_
ssh_ user = hunk
最后还有一个隐藏的分组,那就是 all,代表全部主机,这个是隐式的,不需要写出来的。 |
Inventory 参数说明
ansible_ ssh_
host
将要连接的远程主机名.与你想要设定的主机的别名不同的话,可通过此变量设置.
ansible_ssh_port
ssh端口号 .如果不是默认的端口号,通过此变量设置.这种可以使用 ip :端口 192.168.1.100
:2222
ansible_ ssh_ user
默认的 ssh 用户名
ansible_ ssh_ pass
ssh 密码(这种方式并不安全,我们强烈建议使用 -- ask- pass 或 SSH 密钥
)
ansible_ sudo_ pass
sudo 密码(这种方式并不安全,我们强烈建议使用 --ask-sudo - pass)
ansible_sudo_exe (new in version 1.8)
sudo 命令路径(适用于1.8及以上版本)
ansible_connection
与主机的连接类型 .比如: local, ssh 或者 paramiko. Ansible
1.2 以前默认使用 paramiko .1.2 以后默认使用 'smart' ,'smart'
方式会根据是否支持 ControlPersist, 来判断'ss h' 方式是否可行.
ansible_ ssh_ private _key_ file
ssh 使用的私钥文件.适用于有多个密钥,而你不想使用 SSH 代理的情况.
ansible_shell_type
目标系统的 shell类型.默认情况下,命令的执行使用 'sh' 语法,可设置为 'csh'
或 'fish'.
ansible_ python_ interpreter
目标主机的 python 路径.适用于的情况: 系统中有多个 Python, 或者命令路径不是"/usr
/bin /python",比如 \* BSD , 或者 /usr /bin /python
不是 2.X 版本的 Python.
我们不使用 "/usr /bin /env" 机制,因为这要求远程用户的路径设置正确,且要求
"python" 可执行程序名不可为 python 以外的名字(实际有可能名为python26).
与 ansible_ python_ interpreter 的工作方式相同,可设定如 ruby
或 perl 的路径.... |
上面的参数用这几个例子来展示可能会更加直观
some_host ansible_
ssh_port = 2222 ansible_ ssh_ user = manager
aws_host ansible_ssh_private_key_ file = /home
/example / .ssh /aws .pem
freebsd_host ansible_ python_ interpreter = /usr
/local / bin /python
ruby_ module_ host ansible_ ruby_ interpreter
= /usr / bin /ruby. 1.9 .3 |
第一条 Ansible 命令
很重要的一点,主机清单必须要先配置,由于这搭建了内部DNS服务器,所以,这里的主机使用了FQDN名称。
#cat /etc /ansible
/hosts
[web]
6-web- 1.hunk.tech
7-web- 0.hunk.tech
7-web- 2.hunk.tech
[group :children]
dns
db
[dns]
6-dns-1.hunk .tech [db]
7-db-3.hunk.tech
192.168.7.[200 :203]
192.168.7.254 |
| #ansible dns
-m ping # 使用ansible对dns组内的主机进行ping 模块测试 |
非常抱歉哦,竟然是失败的。为什么呢?Ansible是基于ssh进行工作的,那么当ssh一台远程主要的时候,是不是需要输入密码呢?可是这一条指令并没有提示输入口令呢
#ansible dns
-m ping -k
加上-k选项后,会提示输入ssh 密码了。 |
另外,值得注意的是,当指令成功和失败都会有不同的颜色反映出来,配以changed :false,changed
:SUCCESS,可以让我们非常清晰的知道执行的结果。
当主机数量多的时候,输入密码可不是一个好差事呢?前面的章节已经讲过主机之间可以使用基于密钥的SSH链接。为了更方便的管理主机,这个章节的实验都用这种方法。
基于key的免密码登录
#ssh-keygen
#ssh-copy-id 6-web-1.hunk.tech
#ssh-copy-id 6-DNS-1.hunk.tech
#ssh-copy-id 7-web-0.hunk.tech
#ssh-copy-id 7-web-2.hunk.tech
#ssh-copy-id 7-db-3.hunk.tech |
现在就不会再提示密码的问题了。
#ansible all
-m ping
6-web-1.hunk.tech | SUCCESS
7-web-0.hunk.tech | SUCCESS
7-web-2.hunk.tech | SUCCESS
7-db-3.hunk.tech | SUCCESS
6-dns-1.hunk.tech | SUCCESS
192.168.7.201 | SUCCESS
192.168.7.200 | SUCCESS |
是不是很简单呀,Ansible用的指令也不是太多,可以使用man ansible和官方网站去查询。
http: //docs.ansible.com /ansible
/latest/
Ansible常用命令语法
ansible <host-pattern>
[-m module_name] [options]
指令 匹配规则的主机清单 -m 模块名 选项
--version 显示版本
-a 模块参数(如果有)
-m module 指定模块,默认为command
-v 详细过程 –vv -vvv更详细
--list- hosts 显示主机列表,可简写--list
-k, --ask -pass 提示连接密码,默认Key验证
-K,--ask- become-pass 提示使用sudo 密码
-C, -- check 检查,并不执行
-T, --timeout = TIMEOUT 执行命令的超时时间,默认10s
-u, --user=REMOTE_ USER 执行远程执行的用户
-U, SUDO_USER, --sudo- user 指定sudu 用户
-b, --become 代替旧版的sudo 切换 |
ansible- doc:
显示模块帮助
ansible- doc [options] [module...]
-a 显示所有模块的文档
-l, --list 列出可用模块
-s, --snippet 显示指定模块的简要说明
例子:#ansible-doc ping
由于ansible的模块有1378个 (2.4.2.0),并且一直在持续更新。因此,这个指令必须要掌握的。
# ansible-doc -l |wc -l
1378 |
Ansible 主机 匹配列表
通配符
注意用单引号
* 匹配任意字符
#ansible '*' -m ping 等同于 #ansible all -m ping
#ansible '*dns*' -m ping
6-dns-1.hunk.tech | SUCCESS
? 匹配单个字符
#ansible '192.168.7.20?' -m ping
192.168.7.201 | SUCCESS
192.168.7.203 | SUCCESS
192.168.7.202 | SUCCESS
192.168.7.200 | SUCCESS
: 或者
#ansible '192.168.7.201:192.168.7.254' -m ping
192.168.7.201 | SUCCESS
192.168.7.254 | SUCCESS
:& 并且 (逻辑与)
#ansible 'test3: &test' --list
hosts (1):
192.168.7.254
:! 逻辑非。在test3 组内,但是并不在test组内
#ansible 'test3:!test' --list > 用到感叹号的时候,记得引号为单引号,否则会被bash解析为历史命令
hosts (2):
192.168.7.200
192.168.7.203
使用正则表达式
~表示后面是正则匹配,注意~后面不能有空格
#ansible '~[67]- (db|dns).*\.hunk.*' --list
hosts (2):
6-dns-1.hunk.tech
7-db-3.hunk.tech |
这里写一条正则的坑,我们在用bash脚本的时候,匹配数字可以使用[0-9]或[[:digit:]],在用Ansible的时候,我们来看下不同的效果吧
#cat /etc /ansible
/hosts
[web]
6web-1.hunk.tech
7web-0.hunk.tech
7web-2.hunk.tech
[group:children]
dns
db
[dns]
6-dns-1.hunk.tech
[db]
7-db-3.hunk.tech
[test2]
192.168.7.[200:203]
192.168.7.254
[test]
192.168.7.254
[test3]
192.168.7.200
192.168.7.254
192.168.7.203
DNS都是可以正确解析出来的,不要怀疑
6-dns-1.hunk.tech. 600 IN A 192.168.7.254
6-web-1.hunk.tech. 600 IN A 192.168.7.201
7-db-3.hunk.tech. 600 IN A 192.168.7.203
7-web-0.hunk.tech. 600 IN A 192.168.7.200
7-web-2.hunk.tech. 600 IN A 192.168.7.202
#ansible '~^[[:digit:]]' --list 有人说这种写法会报错,可是主机都是
centos7.4,版本都是一样
hosts (7): 这里匹配出7台主机
192.168.7.200
192.168.7.201
192.168.7.202
192.168.7.203
192.168.7.254
6-dns-1.hunk.tech
7-db-3.hunk.tech
#ansible '~^[0-9]' --list
hosts (10): 这里匹配出10台主机
6web- 1.hunk.tech
6-dns- 1.hunk.tech
7-db- 3.hunk.tech
7web- 0.hunk.tech
7web- 2.hunk.tech
192.168.7.254
192.168.7.201
192.168.7.200
192.168.7.203
192.168.7.202
#ansible '~^[ [:digital:] ]' --list
hosts (10): 这里匹配出10台主机
6web-1.hunk.tech
7web-0.hunk.tech
7web-2.hunk.tech
192.168.7.200
192.168.7.201
192.168.7.202
192.168.7.203
192.168.7.254
6- dns- 1.hunk.tech
7- db -3.hunk.tech |
分享2个正则表达式的网址
https://en.wikipedia.org /wiki /Regular_
expression#POSIX_ basic_ and_ extended
python2的
https://docs.python.org /2 /library
/re.html
不同软件对正则的表达都不一样,还是用那些通用性强的吧。
[0-9]纯数字
[a-zA-Z0-9]数字和字母 |
Ansible 的命令执行过程
以 ansible db -m command -a 'ls -l
/' -vvv 这条命令为例,根据显示的信息时行解读
1. 加载自己的配置文件,默认/etc
/ansible/ansible.cfg
Using /etc /ansible /ansible.cfg as config file
2.匹配主机清单
Parsed /etc /ansible /hosts inventory source with
ini plugin
3. 加载指令对应的模块文件,如 command,生成.py的文件到本机的临时目录,这个目录就是在/etc
/ansible /ansible .cfg 定义的
Using module file /usr/lib/python2.7/site-packages
/ ansible / modules/ commands /command.py
PUT /tmp /tmp4JvsLH TO /root/.ansible/tmp/ansible-
tmp -1517301292 .6 - 155771303493861 /command.py
4. 通过ansible 将模块或命令生成对应的临时py文件,并将该文件传输至远程服务器的对应执行用户$HOME
/.ansible /tmp /ansible- tmp- 数字/XXX .PY 文件,
这个目录就是在/etc/ansible/ansible.cfg定义的
( umask 77 && mkdir - p "` echo /root
/.ansible /tmp/ ansible - tmp- 1517301292.6- 155771303493861
`" ....)
sftp > put /tmp/tmp4JvsLH /root/.ansible/tmp/ansible-tmp
- 1517301292.6- 155771303493861 /command.py\n'
5. 给文件+x 权限
'chmod u+x /root /.ansible /tmp /ansible- tmp-151730129
2.6- 155771303493861 / /root /.ansible /tmp/ ansible-
tmp- 1517301292.6- 155771303493861 / command.py
&& sleep 0'
6. 执行并返回结果
'/usr /bin/ python /root/.ansible /tmp /ansible-tmp-1517301292
.6- 155771303493861 /command.py;
7. 删除临时py文件,sleep 0退出
rm -rf "/root /.ansible /tmp/ansible-tmp-1517301292.6-155771303493861
/" > /dev /null 2 >&1 &&
sleep 0
8.断开远程主机连接
'Shared connection to 7- db -3.hunk.tech closed.\r\n')
|
执行结果状态
绿色:执行成功并且不需要做改变的操作
×××:执行成功并且对目标主机做变更
红色:执行失败
可以在配置文件中定义
[colors]
#highlight = white
#verbose = blue
#warn = bright purple
#error = red
#debug = dark gray
#deprecate = purple
#skip = cyan
#unreachable = red
#ok = green
#changed = yellow
#diff_add = green
#diff_remove = red
#diff_lines = cyan |
|
