要求
0.进入servera进行准备工作,做一些清理
1)停止httpd服务,清除httpd软件包、配置文件、主页文件
2)清理/etc/hosts文件中的内容,只保留最上面默认的两行
(127.0.0.1和::1这两行)
1.根据之前的剧本改造
0)还在之前的/work工作目录下
1)清单
确保servera在newweb组
2)项目文件目录
建立目录/work/files,存放ansible工作相关文件
提前编辑好httpd.conf放到files目录里
3)变量目录和文件
在工作目录中,建立变量目录varfile
在varfile目录中新建变量文件vars
4)变量文件vars内容
包含以下变量和对应值:
|----------|----------------------------|
| web_pkg | httpd |
| fw_pkg | firewalld |
| web_svc | httpd |
| fw_svc | |
| cfg_src | files/httpd.conf |
| cfg_dest | /etc/httpd/conf/httpd.conf |
| web_root | /var/www/html/ |
5)编写剧本(使用刚定义好的变量)
5.1)使用dnf模块,确保web_pkg和fw_pkg指定的软件包被安装
5.2)将cfg_src指定的文件,放到客户机的cfg_dest位置
并确保文件属于root账户组,权限644
5.3)在web_root指定的客户机目录,创建index.html文件
index.html中包含:客户机的主机名和IP地址
(获取客户机的facts信息并写入)
5.4)确保服务启动
web_svc和fw_svc
立刻启动,并开机自动启动
5.5)配置防火墙
确保防火墙放行web_svc指定的服务
立即生效,且写入配置文件(永久生效)
6)对变量文件加密
使用ansible-vault对变量文件var加密,使用密码redhat
密码写入密码文件files/pwd,确保文件仅root账户可读写
7)执行剧本
8)探索
刚才清除了客户机/etc/hosts文件内容
是否可以让ansible读取客户机facts,并填充hosts文件
把客户机的IP和对应主机名,填充进去
实验过程
0.工作目录
ansible的配置文件
files,要给客户机的文件,全放里头
varfile,变量文件房里头
host,是清单inventory
其他
facts.yml,查看客户机的所有facts,留着,回头有用
1.变量文件
web的软件包和服务名一样,web_pkg_svc赋值httpd
防火墙的软件包,fw_pkg
防火墙要放行的服务名,web_fw_svc
web的配置文件源,cfg_src
web的配置文件,放到客户机的哪里,cfg_dest
web的工作目录,web_root
web配置文件所属用户、组、权限
cfg_own,cfg_grp,fmode
2.变量文件需要加密
2.1)先建立密码文件
2.2)用这个密码文件,去加密刚才的变量文件
命令ansible-vault,选项
encrypt,加密
--vault-password-file,指定密码文件
2.3)加密后的变量文件,vim或cat看一下
打开以后,或者cat以后,只能看到一堆加密后的字符
看不到源文件内容的
如果要看源文件,需要解密......
用于加密的密码文件,看情况,是否要再加密后删除
密码文件需要限制权限,如果自己记住密码,也可以删了......
而且,之后,执行playbook的时候,可以使用交互式输入密码
可以不指定密码文件
3.准备要给web的配置文件
4.看剧本
开头,剧本名字
操作的主机
指定变量文件
开始tasks
第一个task
用了dnf模块,装软件包
用变量指定俩包,httpd,firewalld
第二个task
用copy模块
把web的配置文件复制到客户机指定目录
并且改所属和权限
第三个task
还是用copy模块
但是,是生成一个文件,index.html主页文件,在指定的目录产生
不需要提前先创建这个文件,会自动新建
content部分,和书里参考不太一样
在咱自己这个环境里,有可能default_ipv4这个fact是空的
需要从别的位置,去取IP地址
于是用了:
ansible_facts
ens160
ipv4
address
第四个task
启用防火墙服务
没干别的......
第五个task
并没有继续启动web服务
配置防火墙
放行web服务的端口
防火墙,是否放行服务,和目标服务本身的状态配置没关系
最后一个task
最后拉起web服务
5.执行这个剧本
要用vault的选项,使用了交互式提供密码,没使用密码文件
如果要详细过程,加选项 -v、-vv、-vvv
6.看一下web主页内容
所以,上面剧本里,fact外面的( ),就只是括号......
7.如果要修改已加密的变量文件,需要重新解密、加密