Linux九阴真经之九阴白骨爪残卷4（自动化运维之ansible用法一）

ansible是什么？

ansible是什么？

它是一个配置管理工具，也是一个自动化运维工具。

ansible能做什么？

ansible 可以帮助我们完成一些批量任务，或者完成一些需要经常重复的工作。

比如：同时在200台服务器上安装dhcp服务，并启动。

比如：将某个文件一次性拷贝到200台服务器上

比如：每当有新服务器加入工作环境时，你都啊哟为新服务器部署redis服务，也就是说你需要经常重复的完成相同的工作。

特性

1、模块化：调用特定的模块，完成特定任务

2、有Paramiko，PyYAML，Jinja2（模板语言）三个关键模块

3、支持自定义模块

4、基于Python语言实现

5、部署简单，基于python和SSH(默认已安装)，agentless

6、安全，基于OpenSSH

7、’支持playbook编排任务

8、幂等性：一个任务执行1遍和执行n遍效果一样，不因重复执行带来意外情况

9、无需代理不依赖PKI（无需ssl）

10、可使用任何编程语言写模块

11、YAML格式，编排任务，支持丰富的数据结构

ansible 配置文件

ansible 配置文件 /etc/ansible/ansible.cfg (一般保持默认)

主机列表配置文件 /etc/ansible/hosts

库文件存放目录 /usr/share/my_modules

检查对应服务器的host_key，建议启用，取消注释

日志文件 /var/log/ansible.log

临时py命令文件存放在远程主机目录 $HOME/.ansible/tmp

本机的临时命令执行目录 $HOME/.ansible/tmp

默认并发数 forks = 5

默认sudo 用户 sudo_user = root

每次执行ansible命令是否询问ssh密码 ask_sudo_pass = True

ask_sudo_pass = True

remote_port = 22

基础配置

实验环境：一台centos7.4的主控机和2台centos6.9的受控机。

这三台IP地址依次分别如下

192.168.95.2

192.168.95.3

192.168.95.129

连接一台受控主机，以K的方式验证，如不使用 -k 功能，则不能连接

同时连接两台受控机，在IP地址后面再添加一条即可，用逗号隔开

我们发现，无论是连接一台或者多台，都要输入受控机的密码，这样做是不是很麻烦呢？到这里就有人想到用openssl 做一个基于key 的免密认证，下次登录的时候就不用再输入密码了，真的是很聪明呢！

[root@centos7 ~]#ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.95.3

[root@centos7 ~]#ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.95.129

若感觉SSH连接太慢，则更改/etc/ssh/sshd_conf 文件

ansible系列命令

ansible-doc: 显示模块帮助，相当于man

-a 显示所有模块的文档

-l, --list 列出可用模块

-s, --snippet 显示指定模块的playbook片段

示例：
ansible-doc –l 列出所有模块

ansible-doc ping 查看指定模块帮助用法

ansible-doc –s ping 查看指定模块帮助用法

ansible通过ssh实现配置管理、应用部署、任务执行等功能，建议配置ansible端能基于密钥认证的方式联系各被管理节点

ansible <host-pattern> [-m module_name] [-a args]
--version 显示版本
-m module 指定模块，默认为command
-v 详细过程 –vv -vvv更详细
--list-hosts 显示主机列表，可简写—list
-k, --ask-pass 提示连接密码，默认Key验证
-K, --ask-become-pass 提示输入sudo
-C, --check 检查，并不执行
-T, --timeout=TIMEOUT 执行命令的超时时间，默认10s
-u, --user=REMOTE_USER 执行远程执行的用户
-b, --become 代替旧版的sudo 切换

ansible的Host-pattern

匹配主机的列表
All ：表示所有Inventory中的所有主机
ansible all –m ping

* :通配符

ansible “*” -m ping
ansible 192.168.1.* -m ping
ansible “*srvs” -m ping

或关系
ansible “websrvs:appsrvs” -m ping
ansible “192.168.1.10:192.168.1.20” -m ping

逻辑与
ansible “websrvs:&dbsrvs” –m ping
在websrvs组并且在dbsrvs组中的主机

逻辑非
ansible ‘websrvs:!dbsrvs’ –m ping
在websrvs组，但不在dbsrvs组中的主机

综合逻辑
ansible ‘websrvs:dbsrvs:&appsrvs:!ftpsrvs’ –m ping
正则表达式

ansible “websrvs:&dbsrvs” –m ping
ansible “~(web|db).*.magedu.com” –m ping

ansible 执行过程

ansible命令执行过程

1. 加载自己的配置文件默认/etc/ansible/ansible.cfg
2. 加载自己对应的模块文件，如command
3. 通过ansible将模块或命令生成对应的临时py文件，并将该文件传输至远程服务器的对应执行用户$HOME/.ansible/tmp/ansible-tmp-数字/XXX.PY文件
4. 给文件+x执行
5. 执行并返回结果
6. 删除临时py文件，sleep 0退出

执行状态：

绿色：执行成功并且不需要做改变的操作
黄色：执行成功并且对目标主机做变更
红色：执行失败

示例
以wang用户执行ping存活检测
ansible all -m ping -u wang -k

以wang sudo至root执行ping存活检测
ansible all -m ping -u wang –b -k

以wang sudo至mage用户执行ping存活检测
ansible all -m ping -u wang –b -k --become-user mage

以wang sudo至root用户执行ls
ansible all -m command -u wang --become-user=root -a 'ls /root' -b –k -K

ansible常用模块

command ：在远程主机执行命令，默认模块，可忽略-m 选项

例：ansible all -a 'df -h' 查看所有主机的分区利用率

ansible all -a 'removes=/etc/fstab cat /etc/fstab' 查看所有主机的/etc/fstab ,如果存在，则执行，不存在则跳过不执行

ansible all -a 'removes=/etc/fstab cat /etc/fstab' 与removes相反，如果存在则不执行，不存在则执行

ansible all -a 'chdir=/boot ls' 切换到boot文件夹用 ls 查看

shell 模块：用shell 执行命令

例：ansible all -m shell -a 'echo $HOSTNAME'

ansible all -m shell -a

ansible srv -m shell -a ‘echo magedu |passwd –stdin wang’

 调用bash执行命令类似 cat /tmp/stanley.md | awk -F‘|’ ‘{print $1,$2}’ &> /tmp/example.txt 这些复杂命令，即使使用shell也可能会失败，解决办法：写到脚本时， copy到远程，执行，再把需要的结果拉回执行命令的机器

script：运行脚本

-a "/PATH/TO/SCRITP_FILE"

ansible all/websrvs(主机清单分组) -m script -a f1.sh

例：写一个脚本，让主机清单里的所有主机都运行

copy模块

从服务器复制文件到客户端

ansible srv -m copy -a "src=/root/f1.sh dest=/tmp/f2.sh owner=wang mode=600 backup=yes"

如目标存在，默认覆盖，此处指定先备份
ansible srv -m copy -a “content=‘test content ’ dest=/tmp/f1.txt” 利用内容，直接生成目标文件

例：将本机文件复制到远程主机，如果想删除要用 shell 模块（-m shell）

复制文件修改权限和所有者

fetch模块

从客户端取文件至服务器端，copy相反,目录可以先tar

ansible all -m etch -a 'src=/root/a.sh dest=/date/scripts'

示例：打包/var/log 下所有日志文件并远程抓取

ansible all -m shell -a 'tar Jcf log.tar.xz /var/log/*.log'

ansible all -m fetch -a 'src=/root/log.tar.xz dest=/date'

file 模块

设置文件属性

ansible all -m file -a 'name=/date/f3 state=touch' 创建文件

ansible all -m file -a 'name=/date/f3 state=absent' 删除文件

ansible all -m file -a 'name=/date/dir1 state=directory' 创建目录

ansible all -m file -a 'name=/date/dir1 state=absent' 删除目录

ansielb all -m file -a 'src=/etc/fstab dest /data/fstab.link state=link' 创建软链接

ansible all -m file -a 'dest /data/fstab.link state=absent' 删除软链接

ansible all -m file -a "path =/root/a.sh owner=wang mode = 755"

ansible web -m file -a 'src=/app/testfile dest=/app/testfile-link state=link'

hostname:模块

管理主机名，生效同时更改文件永久生效

更改一个主机的主机名

ansible node1 -m hostname -a "name=websrv"

注意：

（1）host 模块不会修改/etc/hosts 文件中的主机名解析，注意修改

（2）批量修改主机名是最好加变量，放置素有主机名一致

cron 模块

计划任务

支持时间： minute . hour , day, mouth, weekday

ansible all -m cron -a "minute=*/5 job='/usr/sbin/ntpdate 172.16.0.1 &>/dev/null'

name=synctime" 创建任务

ansible all -m cron -a 'state=absent anme=synctime' 删除任务

示例：

创建计划任务：每周1、3、5 每分钟打印，任务名称：warningcron

ansible all -m cron -a 'minute=* weekday=1,3,5 job="/usr/bin/wall warning " name=warningcron'

注释cronname=waringcron 的计划任务

ansible all -m cron -a 'disabled=true job="/usr/bin/wall warning" name=warningcron'

给cronname=waringcron的计划任务去掉注释：

ansible all -m cron -a 'disabled=true job="/usr/bin/wall warning" name=warning '

创建计划任务：每5分钟同步一次服务器时间，任务名称：sync

ansible all -m cron -a "minute=*/5 job='/usr/sbin/ntpdate 172.16.0.1 &>/dev/null'

name=sync"

删除计划任务

ansible all -m cron -a 'state=obsent name=sync'

yum模块

管理包

示例：

yum安装vsftpd包：（默认 state=install）

ansible all -m yum -a 'name=vsftpd'

安装多个包用逗号隔开

ansible all -m yum -a 'name=vsftpd,httpd'

显示所有已安装的包

ansible all -m yum -a 'name=vsftpd list=install'

卸载vsftpd包

ansible all -m yum -a 'name=vsftpd state=removed'

安装从互联网下载的包

ansible srv(主机清单分组) -m copy -a 'src=/root/package.rpm dest=/data/package'

ansible srv -m yum -a 'name=/data/package.rpm'

更新缓存

ansible all -m yum -a 'update_cache=yes'

更新缓存同时安装dsta包

ansible all -m yum -a 'name=dstat update_cache=yes'

ansible all -m yum -a 'name=httpd state=latest' 安装

ansible all -m yum -a 'name=httpd state=absent' 删除

service模块

管理服务

ansible all -m service -a 'name=httpd state=stopped' 停止服务

ansbile all -m service -a 'name=httpd state=started' 开启服务（reloaded:重载 restarted：重启）

user 模块

管理用户

添加用户、指定uid、家目录、主组及注释

ansible all -m service -a 'name=user1 comment="test user" uid=2048 home=/app/user1 group=root'

ansible all -m user -a 'name=sysuser1 system=yes home=/app/sysuser1'

ansible all -m user -a 'name=user1 state=absent remove=yes' 删除用户及家目录等数据

添加一个nginx用户：

ansible srv -m user -a ‘name=nginx shell=/sbin/nologin system=yes home=/var/nginx groups=root,bin uid=80 comment=”nginx service”

删除nginx用户同时删除家目录：

ansible srv -m user -a ‘name=nginx state=absent remove=yes’

group模块

管理组

创建一个系统组

ansible all -m group -a "name=testgroup system=yes"

删除一个组

ansible all -m group -a "name=group11 state=absent"

创建nginx组

ansible all -m group -a 'name-nginx system=yes gid=80'

删除nginx组

ansible all -m group -a 'name=nginx state=absent'

ansible系列命令

ansible系列命令包括

ansible

ansible-doc

ansible-playbook

ansible-vault

ansible-console

ansible-galaxy

ansible-pull

ansible-doc

功能：显示模块帮助，相当于man

格式：ansible-doc [options] [module...]

-a 显示所有模块文档

-l 列出可用模块

-s 显示制动模块的简洁用法

示例：

ansible-doc ping 查看ping模块帮助

ansible-co -s ping 查看ping模块的简单说明

ansible-vault

功能：管理加密解密yml文件

ansible-vault encrypt hello.yml 加密yml文件

ansible-vault decrypt hello.yml 解密yum文件

ansible-vault view hello.yml 查看yml加密文件

ansible-vault edit hello.yml 编辑加密文件

ansible-vault rekey hello.yml 重新修改加密口令

ansible-vault create new.yml 创建新文件

ansible-console

功能：ansible控制台，可交互执行命令，支持tab

root@test（2）[f:10] $

执行用户@当前操作的主机组（当前组的主机数量）[f:并发数] $

设置并发数：forks n 例： forks 10

切换组：cd主机组例： cd web

列出当前组朱姐列表：list

列出所有的内置命令：?或 help

示例

列出主机列表中所有主机

root@all (2)[f:5]$ list

切换至appsrvs组

root@all (2)[f:5]$ cd appsrvs

列出appsrvs组下所有主机

root@appsrvs (2)[f:5]$ list

例：

安装httpd服务

root@appsrvs (2)[f:5]$ yum name=httpd state=present

开启httpd服务：

root@appsrvs (2)[f:5]$ service name=httpd state=stated

ansible-galaxy

功能：连接 https://galaxy.ansible.com下载相应的roles

列出所有已安装的galaxy：

ansible-galaxy list

安装galaxy：

ansible-galaxy install geerlingguy.redis

删除galaxy：

ansible-galaxy remove geerlingguy.redis

ansbile-pull

功能：推送命令至远程，效率无限提升，对运维技术要求较高

当前应用还较少

在本节内容中，我们主要介绍了ansible的使用及一些常用模块，在下节内容中，我们将为您解读

ansible中playbook以及roles的使用