一、Ansible配置
Ansible安裝好之後的配置文件有如下兩種:
1、yum安裝,配置文件默認路徑爲:
/etc/ansible/ansible.cfg
2、源碼包安裝,配置文件路徑需要從軟件包裏面拷貝,如下:
[root@Ansible ~]# mkdir /etc/ansible --創建ansible目錄
[root@Ansible ~]# cp /usr/src/ansible-2.5.0/examples/* /etc/ansible/ --拷貝文件 *
該配置文件中定義了Ansible的主機的默認配置部分,如默認是否需要輸入密碼、是否開啓sudo認證、action_plugins插件的位置、hosts主機組的位置、是否開啓log功能、默認端口、key文件位置等等。
以下是配置文件的內容和詳細說明:
[root@Ansible ~]# vim /etc/ansible/ansible.cfg
10 [defaults] --通用默認配置
14 #inventory = /etc/ansible/hosts --這個是默認庫文件位置,腳本,或者存放可通信主機的目錄
15 #library = /usr/share/my_modules/ --Ansible默認搜尋模塊的位置
16 #module_utils = /usr/share/my_module_utils/
17 #remote_tmp = ~/.ansible/tmp --Ansible通過遠程傳輸模塊到遠程主機,然後遠程執行,執行後在清理現場.在有些場景下,你也許想使用默認路徑希望像更換補丁一樣使用
18 #local_tmp = ~/.ansible/tmp
19 #plugin_filters_cfg = /etc/ansible/plugin_filters.yml
20 #forks = 5 --在與主機通信時的默認並行進程數 ,默認是5d
21 #poll_interval = 15 --當具體的poll interval沒有定義時,多少時間回查一下這些任務的狀態, 默認值是5秒
22 #sudo_user = root --sudo使用的默認用戶 ,默認是root
23 #ask_sudo_pass = True --用來控制Ansible playbook 在執行sudo之前是否詢問sudo密碼.默認爲no
24 #ask_pass = True --控制Ansible playbook 是否會自動默認彈出密碼
25 #transport = smart --通信機制.默認 值爲’smart’。如果本地系統支持 ControlPersist技術的話,將會使用(基於OpenSSH)‘ssh’,如果不支持講使用‘paramiko’.其他傳輸選項包括‘local’, ‘chroot’,’jail’等等
26 #remote_port = 22 --遠程SSH端口。 默認是22
27 #module_lang = C --模塊和系統之間通信的計算機語言,默認是C語言
28 #module_set_locale = False
36 #gathering = implicit --控制默認facts收集(遠程系統變量). 默認值爲’implicit’, 每一次play,facts都會被收集
59 #roles_path = /etc/ansible/roles -- roles 路徑指的是’roles/’下的額外目錄,用於playbook搜索Ansible roles
62 #host_key_checking = False --檢查主機密鑰
87 #sudo_exe = sudo --如果在其他遠程主機上使用另一種方式執sudu操作.可以使用該參數進行更換
89 # What flags to pass to sudo --傳遞sudo之外的參數
91 #sudo_flags = -H -S –n
94 #timeout = 10 --ssh超時時間
98 #remote_user = root --使用/usr/bin/ansible-playbook鏈接的默認用戶名,如果不指定,會使用當前登錄的用戶名
102 #log_path = /var/log/ansible.log --日誌文件存放路徑
105 #module_name = command --ansible命令執行默認的模塊
110 #executable = /bin/sh --在sudo環境下產生一個shell交互接口. 用戶只在/bin/bash的或者sudo限制的一些場景中需要修改
115 #hash_behaviour = replace --特定的優先級覆蓋變量
123 #jinja2_extensions = jinja2.ext.do,jinja2.ext.i18n --允許開啓Jinja2拓展模塊
127 #private_key_file = /path/to/file --私鑰文件存儲位置
131 #vault_password_file = /path/to/vault_password_file --設置密碼文件,也可以通過命令行指定“–vault-password-file”
136 #ansible_managed = Ansible managed: {file} modified on %Y-%m-%d %H: %M:%S by {uid} on {host} --這個設置可以告知用戶,Ansible修改了一個文件,並且手動寫入的內容可能已經被覆蓋
145 #display_skipped_hosts = True --顯示任何跳過任務的狀態 ,默認是顯示
160 #error_on_undefined_vars = False -- 如果所引用的變量名稱錯誤的話, 將會導致ansible在執行步驟上失敗
166 #system_warnings = True --允許禁用系統運行ansible相關的潛在問題警告
171 #deprecation_warnings = True --允許在ansible-playbook輸出結果中禁用“不建議使用”警告
179 # command_warnings = False --當shell和命令行模塊被默認模塊簡化的時,Ansible 將默認發出警告
203 #bin_ansible_callbacks = False --用來控制callback插件是否在運行 /usr/bin/ansible 的時候被加載. 這個模塊將用於命令行的日誌系統,發出通知等特性
208 #nocows = 1 --默認ansible可以調用一些cowsay的特性 開啓/禁用:0/1
226 #nocolor = 1 --輸出帶上顏色區別, 開啓/關閉:0/1
Ansible官方配置文件
http://www.ansible.com.cn/docs/intro_configuration.html#environmental-configuration
Ansible默認的配置都是註釋掉的(#),可以通過去掉#來進行開啓相應的配置服務。比如啓用日誌,更改相應的hosts文件的路徑等等。如查看日誌,當再次操作Ansible的時候就可以查看生成的日誌了。
[root@Ansible ~]# vim /etc/ansible/ansible.cfg
102 log_path = /var/log/ansible.log --把註釋(#)去掉
[root@Ansible ~]# ansible web -m ping --執行Ansible命令
192.168.8.55 | SUCCESS => {
"changed": false,
"ping": "pong"
}
[root@Ansible ~]# cat /var/log/ansible.log --查看日誌
2018-04-19 15:22:05,533 p=80580 u=root | 192.168.8.55 | SUCCESS => {
"changed": false,
"ping": "pong"
}
二、Ansible命令集
安裝完Ansible後,發現Ansible一共爲我們提供了十個指令:ansible、ansible-console、ansible-inventory、ansible-vault、ansible-config、ansible-doc、ansible-playbook、ansible-connection、ansible-galaxy、ansible-pull。
1、ansible
[root@Ansible ~]# ansible -h
Usage: ansible <host-pattern> [選項]
ansible是指令核心部分,其主要用於執行ad-hoc命令,即單條命令。默認後面需要跟主機和選項部分,默認不指定模塊時,使用的是command模塊。如:
[root@Ansible ~]# ansible 192.168.8.66 -a 'uptime'
192.168.8.66 | SUCCESS | rc=0 >>
15:27:24 up 1 day, 1:39, 4 users, load average: 0.07, 0.05, 0.05
[root@Ansible ~]# ansible –help
Usage: ansible <host-pattern> [options]
**命令選項:**
-a MODULE_ARGS, --args=MODULE_ARGS # 模塊的參數
--ask-vault-pass # vault 密碼
-B SECONDS, --background=SECONDS # 異步運行時,多長時間超時
-C, --check # 只是測試一下會改變什麼內容,不會真正去執行;相反,試圖預測一些可能發生的變化
-D, --diff # 當更改文件和模板時,顯示這些文件得差異,比--check效果好
-e EXTRA_VARS, --extra-vars=EXTRA_VARS # 添加附加變量,比如key=value,yaml,json格式
-f FORKS, --forks=FORKS # 指定定要使用的並行進程數,默認爲5個
-h, --help # 顯示此幫助信息並退出
-i INVENTORY, --inventory=INVENTORY, --inventory-file=INVENTORY # 指定主機清單文件或逗號分隔的主機,默認爲/etc/ansible/hosts(或者從源碼包拷貝)
-l SUBSET, --limit=SUBSET # 進一步限制所選主機/組模式,只執行-l 後的主機和組。 也可以這樣使用-l @retry_hosts.txt
--list-hosts # 輸出匹配主機的列表,不執行其他任何操作
-m MODULE_NAME, --module-name=MODULE_NAME # 要執行的模塊,默認爲command
-M MODULE_PATH, --module-path=MODULE_PATH # 要執行的模塊的路徑,默認爲/usr/share/ansible/
-o, --one-line # 壓縮輸出,摘要輸出.嘗試一切都在一行上輸出
--playbook-dir=BASEDIR # 由於此工具不使用劇本,因此將其用作替代劇本目錄。這爲很多功能設置了相對路徑,包括roles/ group_vars/etc等
-P POLL_INTERVAL, --poll=POLL_INTERVAL # 如果使用-B,則設置輪詢間隔,默認爲15秒
--syntax-check # 對playbook進行語法檢查,且不執行playbook
-t TREE, --tree=TREE # 日誌輸出到該目錄,日誌文件名會以主機名命名
--vault-id=VAULT_IDS # 要使用的vault標識
--vault-password-file=VAULT_PASSWORD_FILES # vault密碼文件
-v, --verbose # 輸出執行的詳細信息,使用-vvv獲得更多,-vvvv 啓用連接調試
--version # 顯示程序的版本號並退出
**連接選項:**
-k, --ask-pass # 要求用戶輸入請求連接密碼
--private-key=PRIVATE_KEY_FILE, --key-file=PRIVATE_KEY_FILE # 私鑰路徑,使用這個文件來驗證連接
-u REMOTE_USER, --user=REMOTE_USER # 連接遠程用戶,默認爲空
-c CONNECTION, --connection=CONNECTION # 連接類型,默認smart,支持local ssh 和 paramiko
-T TIMEOUT, --timeout=TIMEOUT # 指定默認超時時間,默認是10S
--ssh-common-args=SSH_COMMON_ARGS # 指定要傳遞給sftp/scp/ssh的常見參數 (例如 ProxyCommand)
--sftp-extra-args=SFTP_EXTRA_ARGS # 指定要傳遞給sftp,例如-f -l
--scp-extra-args=SCP_EXTRA_ARGS # 指定要傳遞給scp,例如 -l
--ssh-extra-args=SSH_EXTRA_ARGS # 指定要傳遞給ssh,例如 -R
**特權升級選項:**
-s, --sudo # 使用sudo (nopasswd)運行操作(不推薦使用)
-U SUDO_USER, --sudo-user=SUDO_USER # sudo 用戶,默認爲root(不推薦使用)
-S, --su # 使用su運行操作(不推薦使用)
-R SU_USER, --su-user=SU_USER # su 用戶,默認爲root(不推薦使用)
-b, --become # 運行操作(不暗示密碼提示)
--become-method=BECOME_METHOD # 權限升級方法使用,默認爲sudo,有效選擇:sudo 、su、pbrun、pfexec、doas、dzdo、ksu、runas、pmrun、enable
--become-user=BECOME_USER # 使用哪個用戶運行(默認爲root)
--ask-su-pass # 要求輸入su密碼(不推薦使用)
-K, --ask-become-pass # 請求特權升級密碼
2、ansible-playbook
[root@Ansible ~]# ansible-playbook -h
Usage: ansible-playbook [options] playbook.yml [playbook2 ...]
相對於ansible,增加了下列選項:
--flush-cache # 清除fact緩存
--syntax-check # 語法檢查
--force-handlers # 如果任務失敗,也要運行handlers
--list-tags # 列出所有可用的標籤
--list-tasks # 列出將要執行的所有任務
--skip-tags=SKIP_TAGS # 跳過運行標記此標籤的任務
--start-at-task=START_AT_TASK # 在此任務處開始運行
--step # 一步一步:在運行之前確認每個任務
-t TAGS, --tags=TAGS # 只運行標記此標籤的任務
該指令對於需反覆執行的、較爲複雜的任務,我們可以通過定義 Playbook 來搞定。它允許使用變量、條件、循環、以及模板,也能通過角色及包含指令來重用既有內容。其通過讀取playbook 文件後,執行相應的動作,這個後面會詳細講到。
3、ansible-doc
[root@Ansible ~]# ansible-doc -h
Usage: ansible-doc [-l|-F|-s] [選項] [-t <插件類型> ] [插件]
該指令用於查看模塊信息,常用參數有兩個-l 和 -s ,具體如下:
--# 列出所有已安裝的模塊
[root@Ansible ~]# ansible-doc -l
--# 查看具體某模塊的用法,這裏查看command模塊
[root@Ansible ~]# ansible-doc -s command
4、ansible-pull
[root@Ansible ~]# ansible-pull -h
Usage: ansible-pull -U <庫> [選項] [<playbook.yml>]
該指令使用需要談到ansible的另一種模式---pull 模式,這和我們平常經常用的push模式剛好相反,其適用於以下場景:你有數量巨大的機器需要配置,即使使用非常高的線程還是要花費很多時間;你要在一個沒有網絡連接的機器上運行Anisble,比如在啓動之後安裝。
5、ansible-config
[root@Ansible ~]# ansible-config -h
Usage: ansible-config [view|dump|list] [--help] [選項] [ansible.cfg]
- view(查看):顯示當前的配置文件
- dump(轉儲):顯示當前設置,合併ansible如果指定.cfg
- list(列表)列出所有讀取lib/constants.py的當前配置並顯示env和config文件設置名稱
該指令是一個配置命令行類。查看、編輯、管理Ansible配置。
6、ansible-galaxy
[root@Ansible ~]# ansible-galaxy -h
Usage: ansible-galaxy [delete|import|info|init|install|list|login|remove|search|setup] [--help] [options] ...
ansible-galaxy 該指令用於共享和下載roles的工具,方便的從https://galaxy.ansible.com/ 站點下載第三方擴展模塊,我們可以形象的理解其類似於centos下的yum、python下的pip或easy_install 。如下示例:
[root@Ansible ~]# ansible-galaxy install aeriscloud.docker
- downloading role 'docker', owned by aeriscloud
- downloading role from https://github.com/AerisCloud/ansible-docker/archive/v1.2.1.tar.gz
- extracting aeriscloud.docker to /etc/ansible/roles/aeriscloud.docker
- aeriscloud.docker was installed successfully
這個安裝了一個aeriscloud.docker組件,前面aeriscloud是galaxy上創建該模塊的用戶名,後面對應的是其模塊。在實際應用中也可以指定txt或yml 文件進行多個組件的下載安裝。這部分可以參看官方文檔。
7、ansible-vault
[root@Ansible ~]# ansible-vault -h
Usage: ansible-vault [create|decrypt|edit|encrypt|encrypt_string|rekey|view] [options] [vaultfile.yml]
該指令是一個文件加解密工具,應用於配置文件中含有敏感信息,又不希望他能被人看到,vault可以幫你加密/解密這個配置文件,屬高級用法。主要對於playbooks裏比如涉及到配置密碼或其他變量時,可以通過該指令加密,這樣我們通過cat看到的會是一個密碼串類的文件,編輯的時候需要輸入事先設定的密碼才能打開。這種playbook文件在執行時,需要加上 –ask-vault-pass參數,同樣需要輸入密碼後才能正常執行。具體該部分可以參查官方博客。
8、ansible-inventory
[root@Ansible ~]# ansible-inventory -h
Usage: ansible-inventory [options] [host|group]
該指令用於在Ansible看到它時顯示或轉儲配置的清單信息。
9、ansible-console
[root@Ansible ~]# ansible-console -h
Usage: ansible-console [<host-pattern>] [options]
該指令是一個REPL控制檯允許執行Ansible任務(基於dominis’ansible-shell)。
10、ansible-connection
該指令是一個連接類型,可以是 local、ssh 或 paramiko,ansible1.2 之前默認爲 paramiko。
Ansible官方文檔:
http://docs.ansible.com/ansible/latest/search.html?q=ansible-doc&check_keywords=yes&area=default
以上就是Ansible常用的命令格式及參數,在接下來的學習中會逐步運用的。
三、Ad-Hoc
1、Ad-Hoc簡介
所謂 ad-hoc 命令是什麼呢?
這其實是一個概念性的名字,是相對於寫 Ansible playbook 來說的。類似於在命令行敲入shell命令和寫shell scripts兩者之間的關係。
如果我們敲入一些命令去比較快的完成一些事情,而不需要將這些執行的命令特別保存下來,這樣的命令就叫做 ad-hoc 命令。
Ansible提供兩種方式去完成任務
(1)ad-hoc命令
執行shell命令,或shell腳本。可以執行一些簡單的命令,不需要將這些執行的命令特別保存下來。適合執行簡單的命令。
(2)Ansible playbook
可以解決比較複雜的任務,可以將命令保存下來。適合執行配置管理或部署客戶機。
Ad-Hoc是指Ansible下臨時執行的一條命令,並且不需要保存的命令,對於複雜的命令會使用playbook。Ad-hoc的執行依賴於模塊,Ansible官方提供了大量的模塊。如:command、raw、shell、file、cron等,具體可以通過ansible-doc -l 進行查看。可以使用ansible-doc -s module來查看某個模塊的參數,也可以使用ansible-doc help module來查看該模塊更詳細的信息。
2、Ad-Hoc用法
接下來我們詳細講解該命令的用法:
(1)命令說明
ansible [主機或組] -m [模塊名] -a ['模塊參數'] [ansible參數]
主機和組,是在/etc/ansible/hosts 裏進行指定的部分,當然動態Inventory 使用的是腳本從外部應用裏獲取的主機;
模塊名,可以通過ansible-doc -l 查看目前安裝的模塊,默認不指定時,使用的是command模塊,具體可以查看/etc/ansible/ansible.cfg 的“#module_name = command ” 部分,默認模塊可以在該配置文件中進行修改;
模塊參數,可以通過 “ansible-doc -s 模塊名” 查看具體的用法及後面的參數;
ansible參數,可以通過ansible命令的幫助信息裏查看到,這裏有很多參數可以供選擇,如是否需要輸入密碼、是否sudo等。
(2)後臺執行
當命令執行時間比較長時,也可以放到後臺執行,使用-B、-P參數,如下:
ansible all -B 3600 -a "/usr/bin/long_running_operation --do-stuff" # 後臺執行命令3600s,-B 表示後臺執行的時間
ansible all -m async_status -a "jid=123456789" # 檢查任務的狀態
ansible all -B 1800 -P 60 -a "/usr/bin/long_running_operation --do-stuff" # 後臺執行命令最大時間是1800s即30分鐘,-P 每60s檢查下狀態,默認15s
(3)命令執行模塊
命令執行模塊包含如下4個模塊:
- command模塊:該模塊通過-a跟上要執行的命令可以直接執行,不過命令裏如果有帶有如下字符部分則執行不成功 “ "<", ">", "|", "&" ;
- shell 模塊:用法基本和command一樣,不過其是通過/bin/sh進行執行,所以shell 模塊可以執行任何命令,就像在本機執行一樣;
- raw模塊:用法和shell 模塊一樣 ,也可以執行任意命令,就像在本機執行一樣;
- script模塊:其是將管理端的shell 在被管理主機上執行,其原理是先將shell 複製到遠程主機,再在遠程主機上執行,原理類似於raw模塊。
說明:raw模塊和comand、shell 模塊不同的是其沒有chdir、creates、removes參數,chdir參數的作用就是先切到chdir指定的目錄後,再執行後面的命令,這在後面很多模塊裏都會有該參數 。接下來會進行詳細的介紹:
command模塊包含如下選項:
- creates:創建一個文件名,當該文件存在,則該命令不執行
- free_form:要執行的linux指令
- chdir:在執行指令之前,先切換到該指定的目錄
- removes:一個文件名,當該文件不存在,則該選項不執行
- executable:切換shell來執行指令,該執行路徑必須是一個絕對路徑
例1 使用chdir的示例
[root@Ansible ~]# ansible 192.168.8.66 -m command -a 'chdir=/tmp touch test.txt'
192.168.8.66 | SUCCESS | rc=0 >>
--# 結果顯示:進入tmp目錄然後創建test.txt文件
[root@Ansible ~]# ansible 192.168.8.66 -m shell -a 'chdir=/tmp touch test.txt'
192.168.8.66 | SUCCESS | rc=0 >>
--# 結果顯示:進入tmp目錄然後創建test.txt文件
[root@Ansible ~]# ansible 192.168.8.66 -m raw -a 'chdir=/tmp touch test.txt'
192.168.8.66 | SUCCESS | rc=0 >>
Shared connection to 192.168.8.66 closed.
--# 結果顯示:進入當前執行用戶的家目錄然後創建test.txt文件
說明:三個命令都會返回執行成功的狀態。不過實際上只有前兩個文件會被創建成功。使用raw模塊執行的結果文件事實上也被正常創建了,不過不是在chdir指定的目錄,而是在當前執行用戶的家目錄。
例2 使用creates與removes示例
--# 當/tmp/test.txt文件存在時,則不執行who指令;則反之
[root@Ansible ~]# ansible 192.168.8.66 -m command -a 'creates=/tmp/test.txt who'
192.168.8.66 | SUCCESS | rc=0 >>
skipped, since /tmp/test.txt exists
--# 當/tmp/test.txt文件存在時,則執行who指令;則反之
[root@Ansible ~]# ansible 192.168.8.66 -m command -a 'removes=/tmp/test.txt who'
192.168.8.66 | SUCCESS | rc=0 >>
root tty1 2018-04-17 17:07
root pts/0 2018-04-19 16:51 (192.168.8.1)
root pts/1 2018-04-19 17:16 (192.168.8.55)
例3 script模塊實例
首先在Ansible服務器上創建一個腳本並賦予可執行權限
[root@Ansible ~]# vim script.sh
#/bin/bash
ifconfig ens33
df -h
[root@Ansible ~]# chmod +x script.sh
[root@Ansible ~]# ansible 192.168.8.66 -m script -a 'script.sh'
192.168.8.66 | SUCCESS => {
"changed": true,
"rc": 0,
"stderr": "Shared connection to 192.168.8.66 closed.\r\n",
"stdout":
……
"stdout_lines": [
"ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500",
" inet 192.168.8.66 netmask 255.255.255.0 broadcast 192.168.8.255",
……
"",
"文件系統 容量 已用 可用 已用% 掛載點",
"/dev/sda3 28G 1.7G 26G 7% /",
"devtmpfs 983M 0 983M 0% /dev",
"tmpfs 993M 0 993M 0% /dev/shm",
"tmpfs 993M 8.7M 984M 1% /run",
"tmpfs 993M 0 993M 0% /sys/fs/cgroup",
"/dev/sda1 497M 109M 389M 22% /boot",
"tmpfs 199M 0 199M 0% /run/user/0"
]
}