小阿轩yx-Ansible部署与应用基础

小阿轩yx-Ansible部署与应用基础

前言

• 由于互联网的快速发展导致产品更新换代速度逐步增长，运维人员每天都要进行大量的维护操作，按照传统方式进行维护使得工作效率低下。
• 这时部署自动化运维就可以尽可能安全、高效的完成这些工作。

Ansible 概述

什么是 Ansible

• 是基于 Python 开发
• 集合了众多优秀运维工具的优点
• 实现了批量运行命令、部署程序、配置系统等功能的自动化运维管理工具
• 默认通过 SSH 协议进行远程命令执行或下发配置
• 无需部署任何客户端代理软件，使得自动化环境部署变的简单
• 可同时支持多台主机并行管理，使得管理主机更加便捷

Ansible 的架构组成

• Ansible 可以看作是一种基于模块进行工作的框架结构，批量部署能力就是由 Ansible 所运行的模块实现的。
• 简而言之 Ansible 是基于 "模块" 完成各种 "任务" 的。

• 图中可得出 Ansible 的基本架构由六大件构成

Ansible core 核心引擎

• 即 Ansilbe 本身；

Host Inventory 主机清单

• 用来定义 Ansible 所管理的主机，默认是在 Ansible 的 hosts 配置文件中定义被管理主机，同时也支持自定义动态主机清单和指定其它配置文件的位置；

Connect plugin 连接插件

• 负责和被管理主机实现通信。
• 除支持使用 SSH 连接被管理主机外，Ansible 还支持其它的连接方式， 所以需要有连接插件将各个主机用连接插件连接到 Ansible；

Playbook（yaml， jinjia2）剧本

• 用来集中定义 Ansible 任务的配置文件， 即将多个任务定义在一个剧本中由 Ansible 自动执行， 可以由控制主机针对多台被管理主机同时运行多个任务；

Core modules 核心模块

• 是 Ansible 自带的模块，使用这些模块将资源分发到被管理主机使其执行特定任务或匹配特定的状态；

Custom modules 自定义模块

• 用于完成模块功能的补充，可借助相关插件完成记录日志、发送邮件等功能。

Ansible 与 SaltStack 的对比

Ansible 安装部署简单

• 默认情况下，Saltstack 需要安装客户端接收服务器发送过来的命令。
• Ansible 不需要在被控服务器上部署任何的客户端，直接使用 ssh 通道进行远程命令的执行或者下发配置。

SaltStack 响应速度快

• 默认情况下，Ansible 使用的是标准的 SSH 协议，而 Saltstack 使用 ZeroMQ 进行通信和传输。
• 因此，仅仅从响应速度来讲，Saltstack 比 Ansible 快很多，甚至快十几倍。
• 在一般运维场景下，Ansible 的响应速度完全可以满足需求。

Ansible 更安全

• Ansible 使用标准的 SSH 连接传输数据，不需要在远程主机上启动守护进程。
• 此外，标准的 SSH 数据传输本身就是加密传输，远程主机不易被攻击。

对 Windows 的支持

• Saltstack 对 Windows 的支持比较友好，Ansible 从 1.7 版本开始加入了对 windows 的支持。
• 由于Windows 默认没有 SSH，而 Ansible 有依赖 SSH 进行通信，所以在 Windows 下 Ansible 需要依赖 Powershell 来实现远程管理。
• Ansible 必须使用 Linux 系统运行控制端。

Ansible 自身运维比较简单

• Saltstack 需要在 Master 和 Minion 主机启动一个守护进程，自身需要检测守护进程的运行状态增加了运维成本。
• Ansible 和服务器之间用 SSH 进行通信，服务器上值需要运行 SSH 进程就可以进行运维操作。
• 因此，从工具本身的运维角度来说，Ansible 要比 Saltstack 简单很多。

安装部署 Ansible 服务

• Ansible 自动化运维环境由控制主机与被管理主机组成。
• 由于 Ansible 是基于 SSH 协议进行通信的，所以控制主机安装 Ansible 软件后不需要重启或运行任何程序，被管理主机也不需要安装和运行任何代理程序。

|-------|---------------|----------------|-----|
| 角色 | 主机名 | IP 地址 | 组 |
| 控制主机 | ansible-node1 | 192.168.10.101 | |
| 被管理主机 | ansible-node2 | 192.168.10.102 | web |
| 被管理主机 | ansible-node3 | 192.168.10.103 | db |

系统环境设置

修改每台主机名

主机一

[root@localhost ~]# hostnamectl set-hostname ansible-node1
[root@localhost ~]# bash

主机二

[root@localhost ~]# hostnamectl set-hostname ansible-node2
[root@localhost ~]# bash

主机三

[root@localhost ~]# hostnamectl set-hostname ansible-node3
[root@localhost ~]# bash

三台主机开启回话同步

设置每台主机的 hosts 文件

主机一

[root@ansible-node1]# vim /etc/hosts
##添加每台主机地址
192.168.10.101 ansible-node1
192.168.10.102 ansible-node2
192.168.10.103 ansible-node3

主机二

[root@ansible-node2]# vim /etc/hosts
##添加每台主机地址
192.168.10.101 ansible-node1
192.168.10.102 ansible-node2
192.168.10.103 ansible-node3

主机三

[root@ansible-node3]# vim /etc/hosts
##添加每台主机地址
192.168.10.101 ansible-node1
192.168.10.102 ansible-node2
192.168.10.103 ansible-node3

• 会话同步三台主机名称注意不一样

关闭所有主机的防火墙、内核机制

主机一

[root@ansible-node1]# systemctl stop firewalld
[root@ansible-node1]# setenforce 0

主机二

[root@ansible-node2]# systemctl stop firewalld
[root@ansible-node2]# setenforce 0

主机三

[root@ansible-node3]# systemctl stop firewalld
[root@ansible-node3]# setenforce 0

关闭会话同步

安装 Ansible（只安装第一台）

• Ansible 可以使用源码方式进行安装，也可以使用操作系统中 YUM 软件包管理工具进行安装。
• YUM方式安装 Ansible，需要依赖第三方的 EPEL 源。

设置好主机的 epel 源

[root@ansible-node1 ~]# yum -y install epel-release

安装 Ansible

[root@ansible-node1 ~]# yum -y install ansible

查看 Ansible 软件版本信息

[root@ansible-node1 ~]# ansible --version

进入 ansible 目录

[root@ansible-node1 ~]# cd /etc/ansible

查看安装目录

• Ansible 主要相关配置文件在/etc/ansible 目录下

  [root@ansible-node1 ansible]# ll
  总用量
  -rw-r--r-- 1 root root 19985 6 月 19 11:04 ansible.cfg //配置文件
  -rw-r--r-- 1 root root 1016 6 月 19 11:04 hosts //管控主机文件
  drwxr-xr-x 2 root root 6 6 月 19 11:04 roles

配置主机清单

• /etc/ansible/hosts 文件中可以定义被管理主机，Ansible 通过读取 /etc/ansible/hosts 文件内定义的主机清单批量做一些操作。

定义一个 websrvs 组，包含一台主机,再定义一个 dbsrvs 组，包含另一台主机

[root@ansible-node1 ansible]# vim hosts
#在末尾添加如下信息
[web]
192.168.10.102
[db]
192.168.10.103

设置 SSH 无密码登录

• 为了避免 Ansible 下发指令时需要输入被管理主机的密码，可以通过证书签名达到 SSH无密码登录。

使用 ssh-keygen 产生一对密钥，并通过 ssh-copy-id 命令来发送生成的公钥。

[root@ansible-node1 ~]# ssh-keygen -t rsa
#这一步下面的操作默认回车，直到出现密钥对

[root@ansible-node1 ~]# ssh-copy-id 192.168.10.102
[root@ansible-node1 ~]# ssh-copy-id 192.168.10.103

• 当然也可以在控制端主机的 hosts 文件里直接写入连接方式、用户、密码也能下发指令。
• 但是生产环境不建议这么做。因为这样明文密码容易泄露，另外如果被控制主机修改了密码，这里也需要一起更改不方便于管理。
• 至此 Ansible 的环境就部署完成。

测试安装结果

[root@ansible-node1 ~]# ansible all -m ping

Ansible 命令应用基础

• Ansible 可以使用命令行的方式进行自动化管理。
• Ansible 的命令行管理工具都是由一系列模块、参数组成的，使用某些模块或参数之前， 可以在命令后面加上 -h 或 --help 来获取帮助。

• ansible-doc 工具可以使用 ansible-doc -h 或者 ansible-doc --help 查看其帮助信息。

ansible-doc 工具用于查看模块帮助信息。

主要选项包括

• -l 用来列出可使用的模块;
• -s 用来列出某个模块的描述信息和使用示列。

列出所有可用模块

[root@ansible-node1 ~]# ansible-doc -s

列出 yum 模块的描述信息和操作动作

[root@ansible-node1 ~]# ansible-doc -s yum

• 按q退出
• Ansible 自带了很多模块，能够下发执行 Ansible 的各种管理任务。

Ansible常用的这些核心模块

command 模块

• Ansibale 管理工具使用 -m 选项来指定所使用模块，默认使用 command 模块，即 -m 选项省略时会运行此模块，用于在被管理主机上运行命令。

使用 IP 地址查看被管理主机日期

[root@ansible-node1 ~]# ansible 192.168.10.102 -m command -a 'date'

使用管控主机分别查看被管理 web 和 db 组里面所有主机的日期

[root@ansible-node1 ~]# ansible web -m command -a 'date'

[root@ansible-node1 ~]# ansible db -m command -a 'date'

查看所有被管理主机上的日期

[root@ansible-node1 ~]# ansible all -m command -a 'date'

查看所有被管理主机的 /etc/passwd 的最后一行

[root@ansible-node1 ~]# ansible all -a 'tail -l /etc/passwd'

• 若省略 -m 选项，默认运行 command 模块。

shell 模块

• Ansible 中的 shell 模块可以在被管理主机上运行命令，并支持像管道符等功能的复杂命令。

在被管理组 db 里所有主机创建用户 user1、uid 和 gid 都为 1001，用户家目录为 /home/user1，shell为 /bin/bash。

[root@ansible-node1 ~]# ansible db -m user -a 'name=user1'

被管理组 dbsrvs 里的所有主机使用无交互模式给用户设置密码。

[root@ansible-node1 ~]# ansible db -m shell -a 'echo redhat passwd --stdin user1'

user 模块

• Ansible 中的 user 模块用于创建新用户和更改、删除已存在的用户。
• 其中 name 选项用于指明创建的用户名称。

主要包括两种状态（state）

• present 表示添加(省略状态时默认使用)；
• absent 表示移除。

在被管理组 db 里所有主机上创建一个 user1 用户

[root@ansible-node1 ~]# ansible db -m user -a 'name="user1"'

删除上述创建的用户 user1

[root@ansible-node1 ~]# ansible db -m user -a 'name="user1" state=absent'

cron 模块

• Ansible 中的 cron 模块用于定义任务计划。

主要包括两种状态（state）

• present 表示添加(省略状态时默认使用)；
• absent 表示移除。

添加任务计划

• 使得被管理组 db 里所有主机每十分钟输出 hello 字符串

  [root@ansible-node1 ~]# ansible db -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job"'

执行任务计划

[root@ansible-node1 ~]# ansible db -a 'crontab -l'

也可以指定更详细的时间

[root@ansible-node1 ~]# ansible db -m cron -a 'hour=2 minute=30 weekday=1-5 name="backup mysgl" job=/root/mysql_backup.sh'

移除上述添加的任务计划

[root@ansible-node1 ~]# ansible db -m cron 'minute="*/10" job="/bin/echo hello" name="test cron job" state=absent'

group 模块

• Ansible 中的 group 模块用于对用户进行组管理。

被管理组 db 里所有主机创建 mysql 组，gid 为 306

[root@ansible-node1 ~]# ansible db -m group -a 'name=mysql gid=306 system=yes'

将被管理组 dbsrvs 里所有主机的 mysql 用户添加到 mysql 组中

[root@ansible-node1 ~]# ansible db -m user 'name=mysql uid=306 system=yes group=mysql'

copy 模块

• Ansible 中的 copy 模块用于实现文件复制和批量下发文件。

• 使用 src 来定义本地源文件路径；
• 使用 dest 定义被管理主机文件路径；
• 使用 content 则是使用指定信息内容生成目标文件。

将本地文件 /etc/fstab 复制到被管理组 db 里的所有主机上的 /tmp/fstab.ansible，并将所有者设置为 root，权限设置为640

[root@ansible-node1 ~]# ansible db -m copy -a 'src=/etc/fstab dest=/tmp/fstab.ansible owner=root mode=640'

登录被管理主机 ansible-node3，验证上述命令执行结果。

[root@ansible-node1 ~]# ll /tmp/fstab.ansible
-rw-r----- 1 root 541 7月 12 22:23 /tmp/fstab.ansible

执行命令的时，如果看到如下报错

"msg": "Aborting, target uses selinux but python bindings (libselinux-python) aren'tinstalled!"

• 是因为被管理主机开启了 SELinux，需要在被管理机上安装 libselinux-python 软件包，才可以使用 Ansible 中与 copy、file 相关的函数。

将 "Hello Ansible Hi Ansible" 写入到被管理组 db 里所有主机上的 /tmp/ test.ansible 文件中。

[root@ansible-node1 ~]# ansible db -m copy -a 'content="Hello Ansible Hi Ansible\n" dest=/tmp/test.ansible'

• \n：表示换行

登录被管理主机 ansible-node3，验证上述命令执行结果

[root@ansible-node3 ~]# ll /tmp/test.ansible
-rw-r--r--1 root root 24 7月12 22:27 /tmp/test.ansible

查看结果

[root@ansible-node3 ~]# cat /tmp/test.ansible
Hello Ansible Hi Ansible

file 模块

• Ansible 中使用 file 模块来设置文件属性。

• 其中使用 path 指定文件路径；
• 使用 src 定义源文件路径；
• 使用 name 或 dest 来替换创建文件的符号链接。

指定用户名 mysql

[root@ansible-node1 ~]# ansible db -m user -a name="mysql"'

设置被管理组 dbsrvs 里所有主机中 /tmp/fstab.ansible 文件的所属主为 mysql，所属组为 mysql，权限为 644。

[root@ansible-node1 ~]# ansible db -m -m file -a owner=mysql group=mysql mode=644 path=/tmp/fstab.ansible'

设置被管理组 dbsrvs 里的所有主机的 /tmp/fstab.link 文件为 /tmp/fstab.ansible 文件的链接文件。

[root@ansible-node1 ~]# ansible db -m file 'path=/tmp/fstab.link src=/tmp/fstab.ansible state=link'

登录被管理主机 ansible-node3，验证上述命令执行结果

[root@ansible-node3 ~]# ll /tmp/fstab.link
lrwxrwxrwx 1 root root 18 7 月 12 22:29 /tmp/fstab.link -> /tmp/fstab.ansible

ping 模块

• Ansible 中使用 ping 模块来检测指定主机的连通性。

检测所有被管理主机的连通性。

[root@ansible-node1 ~]# ansible all -m ping

script 模块

• Ansible 中的 script 模块可以将本地脚本复制到被管理主机上进行运行。
• 需要注意的是使用相对路径指定脚本位置。

编辑一个本地脚本 test.sh，复制到被管理组 db 里所有主机上运行。

[root@ansible-node1 ~]# vim test.sh
echo "hello ansible from script" > /tmp/script.ansible

提升权限

[root@ansible-node1 ~]# chmod +x test.sh

执行

[root@ansible-node1 ~]# ansible db -m script -a 'test.sh

登录被管理主机 ansible-node3 查看执行结果。

[root@ansible-node3 ~]# cat /tmp/script.ansible
hello ansible from script

yum 模块

• 负责在被管理主机上安装与卸载软件包，但是需要提前在每个节点配置自己的YUM 仓库。

• 使用 name 指定要安装的软件包，还可以带上软件包的版本号；否则安装最新的软件包。
• 使用 state 指定安装软件包的状态， present、latest 用来表示安装， absent 表示卸载。

被管理组 db 里所有主机安装 zsh 软件包

[root@ansible-node1 ~]# ansible db -m yum -a 'name=zsh'

• 登录被管理主机 ansible-node3 查看 zsh 包是否安装。

  [root@ansible-node3 ~]# rpm -q zsh
  zsh-5.0.2-34.e17_8.2.x86 64

卸载被管理组 dbsrvs 里所有主机上的 zsh 软件包。

[root@ansible-node1 ~]# ansible db -m yum -a 'name=zsh state=absent

登录被管理主机 ansible-node3 査看 zsh 包是否安装

[root@ansible-node3 ~]# rpm -q zsh
未安装软件包 zsh

service 模块

• Ansible 中使用 service 模块来控制管理服务的运行状态。

• 使用 enabled 表示是否开机自动启动，取值为 true 或者 false；
• 使用 name 定义服务名称；
• 使用 state 指定服务状态,取值有 started、stoped、restarted。

查看被管理组 websrvs 里所有主机 httpd 服务的状态

[root@ansible-node1 ~]# ansible web -m yum -a 'name=httpd'

查看被管理组 web 里所有主机的 httpd 服务是否是开机自动启动状态

[root@ansible-node1 ~]# ansible web -a'systemctl is-enabled httpd'
192.168.10.102 | FAILED | rc=1 >>
disablednon-zero return code

红色提示表示被管理组里所有主机的 httpd 服务并且设置为开机自动启动状态

192.168.10.102 | FAILED | rc=1 >>
disablednon-zero return code

设置远程主机自启动 httpd 服务

[root@ansible-node1 ~]# ansible web -m service -a "enabled=true name=httpd state=started'

査看被管理主机 ansible-node2 的 httpd 状态

[root@ansible-node1 ~l# ansible web -a 'systemctl status httpd'

查看被管理组里所有主机的 httpd 服务是否是开机自动启动状态

[root@ansible-node1 ~]# ansible web -a 'systemctl is-enabled httpd'

setup 模块

• Ansible 中使用 setup 模块收集、査看被管理主机的 facts（facts 是 Ansible 采集被管理主机设备信息的一个功能）。
• 每个被管理主机在接收并运行管理命令之前，都会将自己的相关信息（操作系统版本、IP 地址等）发送给控制主机。

查看被管理组 db 里所有主机的 facts 信息:

[root@ansible-node1 ~]# ansible db -m setup

小阿轩yx-Ansible部署与应用基础