自动化运维Ansible（1）

Ansible特性

模块化：调用特定的模块，完成特定任务
有Paramiko，PyYAML，Jinja2（模板语言）三个关键模块
支持自定义模块
基于Python语言实现
部署简单，基于python和SSH(默认已安装)，agentless
安全，基于OpenSSH
支持playbook编排任务
幂等性：一个任务执行1遍和执行n遍效果一样，不因重复执行带来意外情况
无需代理不依赖PKI（无需ssl）
可使用任何编程语言写模块
YAML格式，编排任务，支持丰富的数据结构
较强大的多层解决方案

逻辑架构

　　在ansible控制端定义了被控制主机的列表，基于模块的方式去控制远程主机。
　　Ansible 不是一般的CS架构，因为他不提供什么服务，他就是控制端，被他控制的机器，就是被控制端，
　　Ansible 没有客户端软件，他是基于key验证的，只要把ssh key验证做好，就可以了，所以他走的是ssh协议

利用ansible实现管理的方式：

Ad-Hoc 即ansible命令，主要用于临时命令使用场景（单个命令）
Ansible-playbook 主要用于长期规划好的，大型项目的场景，需要有前期的规划过程（一个脚本）
　通过Ansible api的方式。

组成

ansible playbooks：任务剧本（任务集），编排定义Ansible任务集的配置文件，由Ansible顺序依次执行，通常是JSON格式的YML文件, 相当于多条命令（一个脚本）
INVENTORY：Ansible管理主机的清单/etc/ansible/hosts
modules ：Ansible执行命令的功能模块，多数为内置核心模块，也可自定义
PLUGINS：模块功能的补充，如连接类型插件、循环插件、变量插件、过滤插件等，该功能不常用
API：供第三方程序调用的应用程序编程接口
ANSIBLE：组合INVENTORY、API、MODULES、PLUGINS的绿框，可以理解为是ansible命令工具，其为核心执行工具，Ansible 模块相当于一条命令（一个功能）
Ansible Roles 相当于一个项目（多个脚本）

安装实现前提防火墙 selinux 时间同步

　　rpm包安装: EPEL源：yum install ansible

　　编译安装: yum -y install python-jinja2 PyYAML python-paramiko python-babel python-crypto

　　 tar xf ansible-1.5.4.tar.gz
　　 cd ansible-1.5.4
　　 python setup.py build
　　 python setup.py install
　　 mkdir /etc/ansible
　　 cp -r examples/* /etc/ansible

　　确认安装： ansible --version

软件相关文件

　　配置文件：

/etc/ansible/ansible.cfg 主配置文件，配置ansible工作特性
/etc/ansible/hosts 主机清单
/etc/ansible/roles/ 存放角色的目录

程序：

/usr/bin/ansible 主程序，临时命令执行工具
/usr/bin/ansible-doc 查看配置文档，模块功能查看工具
/usr/bin/ansible-galaxy 下载/上传优秀代码或Roles模块的官网平台
/usr/bin/ansible-playbook 定制自动化任务，编排剧本工具
/usr/bin/ansible-pull 远程执行命令的工具
/usr/bin/ansible-vault 文件加密工具
/usr/bin/ansible-console 基于Console界面与用户交互的执行工具

具体配置

　主机清单配置

　　　　ansible的主要功用在于批量主机操作，为了便捷地使用其中的部分主机，可以在inventory file中将其分组命名

　　　　默认的inventory file主机清单：/etc/ansible/hosts 指定设备清单，也可以分组

　　　　　　/etc/ansible/hosts里面有很多例子，可以写成如下分组，或者不分组，或者在后面指定ssh端口

　 Ansible 主配置文件/etc/ansible/ansible.cfg （一般保持默认）

　　　　　　　　　　[defaults]

#inventory = /etc/ansible/hosts 　　　　# 主机列表配置文件
#library = /usr/share/my_modules/ 　　 # 库文件存放目录
#remote_tmp = $HOME/.ansible/tmp #临时py命令文件存放在远程主机目录
#local_tmp = $HOME/.ansible/tmp　　 # 本机的临时命令执行目录
#forks = 5 　　　　　　　　　　　　　　# 默认并发数
#sudo_user = root 　　　　　　　　　　# 默认sudo 用户
#ask_sudo_pass = True　　　　　　　　 #每次执行ansible命令是否询问ssh密码
#ask_pass = True
#remote_port = 22
#host_key_checking = False 　　　　　　# 检查对应服务器的host_key，建议取消注释
#log_path=/var/log/ansible.log 　　　　　　#日志文件，建议取消注释，打开日志
#module_name = command 　　　　　　#默认模块

　　　　　　需要修改的地方就是

　　　　　　　　　　1、host_key_checking 在第一次ssh连接，不用输yes

　　　　　　　　　　2、log_path，记录日志的打开；打开后我们通过ansible 执行的命令就可以记录在日志中了

　　　　Ansible系列命令工具： ansible， ansible-doc， ansible-playbook， ansible-vault， ansible-console， ansible-galaxy， ansible-pull

　　　　ansible-doc ：查看模块帮助

- - - - -a 显示所有模块的文档
      - -l, --list 列出可用模块
      - -s, --snippet显示指定模块的playbook片段

　　　　　　　　　例子：

- - - - ansible-doc -l ////查看所有模块列表
      - ansible-doc -s 模块名 ////查看一个模块的具体帮助

　　　　　ansible：

　　　　　　　absible --help //查看帮助

　　　　　　　　　　ansible <host-pattern> [-m module_name] [-a args]

- - - - --version 显示版本
        
        -m module 指定模块，不指定的话，默认为command，默认模块可以在 ansible.cfg修改
        
        -v 详细过程 –vv -vvv更详细
        
        --list-hosts 显示主机列表，可简写 --list
        
        -k, --ask-pass 提示输入ssh连接密码，默认Key验证
        
        -C, --check 检查，并不执行
        
        -T, --timeout=TIMEOUT 执行命令的超时时间，默认10s
        
        -u, --user=REMOTE_USER 执行远程执行的用户
        
        -b, --become 代替旧版的sudo 切换
        
        --become-user=USERNAME 指定sudo的runas用户，默认为root
        
        -K, --ask-become-pass 提示输入sudo时的口令

　　　　　　　　　　例子：对于中间的主机选择，可以使用通配符等等，逻辑上的运算，都可以很灵活

- - - - ansible “*” -m ping /////*匹配到所有主机与all一样的
      - ansible 192.168.1.* -m ping ////
      - ansible “*srvs” -m ping ////

　　　　　　　　　　查看能够管理的所有主机

　　　　　　　　　　对websrvs 分组，使用 ping模块，-m 使用哪个模块

　　　　　　　　　　默认是基于ssh的key验证，通过-k选项使用输入密码的方式，不使用key验证方式

　　　　　　ansible命令执行过程

1. 加载自己的配置文件默认/etc/ansible/ansible.cfg
2. 加载自己对应的模块文件，如command
3. 通过ansible将模块或命令生成对应的临时py文件，并将该文件传输至远程服务器的对应执行用户$HOME/.ansible/tmp/ansible-tmp-数字/XXX.PY文件
4. 给文件+x执行
5. 执行并返回结果
6. 删除临时py文件，退出

　　　　　　执行状态：

绿色：执行成功并且不需要做改变的操作
黄色：执行成功并且对目标主机做变更
红色：执行失败

　　ansible常用模块

　　　　　　Command：在远程主机执行命令

　　　　　　　　 ansible-doc -s command ////查看command模块的帮助

　　　　　　　　 ansible srvs -m command -a ‘service vsftpd start’　///

　　　　　　对所有主机执行ls /data 命令　　　　　

　　至此，我们就可以通过command 模块去远程运行linux的命令了，但是有些命令command运行不了啊，不支持 $VARNAME < > | ; & 等，用shell模块实现

　　　　　如下图，目的是修改所有主机上的wang用户的密码为magedu，但是你看执行的啥，竟然打印出来了

　　 shell 模块

　　shell模块更牛逼啥都能干，可以替代command，所以要使用 shell模块去实现

　　 ansible-doc -s shell ////查看shell 模块的帮助

　　　　　　可以把 shell模块替换为默认模块，替换成默认之后，就不用使用-m了

　　script模块

　　　　　　直接在远程服务器上执行ansible上的脚本

　　Copy模块 从主控端复制文件到远程主机

　　　　　　对于 websrvs组复制本地的 /etc/fstab 到远程主机的/date 下

　　　　　　相同的文件只会执行一次，后面再执行也不会覆盖，文件不同的时候(内容不同，名字可以相同)，就会覆盖，

　　　　　　复制文件，设置文件的属性

　　　　　　复制文件，如果有同名的文件，先把远程服务器上的文件备份，然后在去复制

Ansible-console 命令行方式，知道就行了

我们写好的playbooks 本质就是yml文件，这个文件可能存在一些敏感信息，所以可以进行加密，解密等

　　ansible-vault ：管理加密解密yml文件

ansible-vault [create|decrypt|edit|encrypt|rekey|view]
ansible-vault encrypt hello.yml 加密
ansible-vault decrypt hello.yml 解密
ansible-vault view hello.yml 查看
ansible-vault edit hello.yml 编辑加密文件
ansible-vault rekey hello.yml 修改口令
ansible-vault create new.yml 创建新文件

playbook 脚本格式的，需要编写一个文件yml，按照固定格式，就是我们所说的playbooks，本质上就是执行yml文件

　　 yaml语法介绍：其实就是和json xml一样的有固定格式的数据，对于缩进是很有要求的。

　　Playbook核心元素　

- Hosts 执行的远程主机列表
- Tasks 任务集
- Variables 内置变量或自定义变量在playbook中调用
- Templates 模板，可替换模板文件中的变量并实现一些简单逻辑的文件
- Handlers 和 notity 结合使用，由特定条件触发的操作，满足条件方才执行，否则不执行
- tags 标签指定某条任务执行，用于选择运行playbook中的部分代码。ansible具有幂等性，因此会自动跳过没有变化的部分，即便如此，有些代码为测试其确实没有发生变化的时间依然会非常地长。此时，如果确信其没有变化，就可以通过tags跳过此些代码片断

　　运行playbook的方式 ansible-playbook <filename.yml> ... [options]

　　　　　常见选项

　　　　　　--check -C 只检测可能会发生的改变，但不真正执行操作
　　　　　　--list-hosts 列出运行任务的主机
　　　　　　--list-tags 列出tag
　　　　　　--list-tasks 列出task
　　　　　　--limit 主机列表只针对主机列表中的主机执行
　　　　　　-v -vv -vvv 显示过程

　　　　　　实例： ansible-playbook -C file.yml /// 只检测

　　　　　　　　　　ansible-playbook file.yml --limit websrvs 对于这个文件中，只执行

　　　　　　　　　　ansible-playbook file.yml

playbook 详情

开头--- 可以不用写

- name:"一些描述信息"

模块名：参数　　

　　编写playbook，对于appsrvs的主机，使用root用户执行三个动作 1 安装httpd服务， 2 复制httpd配置文件 3 启动服务　　

　　二进制安装mysql playbook

handlers和notify结合使用触发条件

　　　　在上面我们通过playbook的方式，自动化安装了httpd服务，但是我现在配置文件改了，需要重新传到远程服务器上并重启服务生效。这个时候我们还能在控制端运行刚刚的playbook吗？答案是可以的，只不过三个动作里，1httpd的安装不会发生，因为之前已经安装过了，2配置文件的复制是可以生效的，因为我们的配置文件改了，3服务的启动，没有生效，因为服务本来就是启动的。

　　　　两种解决思路，你可以再写一些新的yam文件，用于 1 复制文件 2 重启服务。

第二种方案　　当执行了某一些动作的时候，就要触发一个动作，类似于触发器，比如更换配置文件之后，就要重启服务。这样他第一次所有的步骤都会生效，包括notify。但是第二次的话，就只有复制文件和notify （重启服务）　　

tags标签

　　　　为每一项任务都添加标签，那么在我们执行的时候，就可以挑选性的执行某些动作

　　　　　　通过-t 指定标签，就只运行 conf标签的动作，

变量

setup 模块

　　　　背景：比如我现在需要在所有远程主机上，创建一个文件，这个文件的名称就是各自的主机名。

　　　　　　　　1 通过setup模块取出你要的信息，就是找你要的信息对应的是哪个键。2 然后在 ansible中直接使用这个键（变量）就可以了。

　　　　获取远程主机的一大推所有信息，很多信息 json格式，通过键可以取出对应的值

　　　　获取的是所有的

　　　　在查询键的时候，也可以用通配符

　　找到对应的键后，在 playbook中使用这些变量 {{变量名}}，就OK了

　　　　当然我们也可以不使用setup模块中的变量，可以在主机清单里 /etc/ansible/hosts 定义变量，可以为每个主机定义单独的变量，也可以公用一个变量

　　　　为一个分组定义这个分组的公共变量

　　　　　　在yaml 文件中定义变量

模板，只能用于playbook，比如有三台服务器需要安装 http服务，但是每个机器的端口要求不一样，80 81 81 这三个端口，那要怎么做呢？既然端口不一样，就不能使用同一个配置文件，就要使用模板，根据模板生成各自的配置文件。准备好模板，模板的位置就放在与yaml 文件同级的 template 文件夹中下面的模板。

template功能：根据模块文件动态生成对应的配置文件

template文件必须存放于templates目录下，且命名为 .j2 结尾

yaml/yml 文件需和templates目录平级，目录结构如下：

├── temnginx.yml

└── templates

└── nginx.conf.j2

原理：将httpd.conf作为模板文件修改如下，其本质就是你把你需要替换的地方写成变量，通过变量再去传入值，就通过上面的几种方式定义变量，

　　在模板中引用变量，也可以使用加减乘除运算