Ansible自动化运维实战笔记：环境搭建与四大核心模块详解

Ansible配置自动化

作用：掌握Ansible配置自动化工具，能实现多服务器批量管理！

一、Ansible环境搭建

1. 自动化运维

问题：假设我要去1000台服务器上做一个操作（如MySQL数据库服务器修改配置文件my.cnf里的某一个参数), 下面两种方法缺点明显:

第一种方案：按传统的方法, 一台连着一台服务器的ssh上去手动操作。

缺点: 效率太低。

第二种方案：写个Shell脚本来做。(最多只能部署几百台服务器)

缺点: 管理的机器平台（cnetos/ubuntu/kylin/rocky）不一致，脚本可能不具备通用性。传密码麻烦(在非免密登录的环境下, 需要expect来传密码)，效率较低，循环1000次也需要一个一个的完成，如果用&符放到后台执行，则会产生1000个进程。

第三种方案：自动化运维

将日常IT运维中大量的重复性工作，小到简单的日常检查、配置变更和软件安装，大到整个变更流程的组织调度，由过去的手工执行转为自动化操作，从而减少乃至消除运维中的延迟，实现"零延时"的IT运维。

2. 自动化运维需要关注内容

假如管理很多台服务器，主要关注以下几个方面:

管理机与被管理机的连接(管理机如何将管理指令发送给被管理机)
服务器信息收集 (如果被管理的服务器有centos外还有其它linux发行版,如suse,ubuntu，kylin等。当你要做的事情在不同OS上有所不同,你需要收集信息,并将其分开处理)
服务器分组：因为有些时候我要做的事情不是针对所有服务器,可能只针对某一个分组
管理内容的主要分类
- 文件目录管理 (包括文件的创建,删除,修改,查看状态,远程拷贝等)
- 用户和组管理
- cron 时间任务管理
- yum 源配置与通过yum管理软件包
- 服务管理
- 远程执行脚本
- 远程执行命令

3. 常见运维工具对比

puppet：基于ruby语言，成熟稳定。适合于大型架构，相对于ansible和saltstack会复杂些。
saltstack：基于python语言，简单、并发能力比ansible要好, 需要维护被管理端的服务。如果服务断开，连接就会出问题。
**ansible：**基于python语言。简单快捷，被管理端不需要启服务。直接走ssh协议,需要验证所以机器多的话速度会较慢。

4. Ansible概述

ansible是一种由Python开发的自动化运维工具，集合了众多运维工具（puppet、cfengine、chef、func、fabric）的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能。

特点：

部署简单
默认使用ssh进行管理，基于python里的paramiko模块开发
管理端和被管理端不需要启动服务
配置简单，功能强大，扩展性强
能过playbook(剧本)进行多个任务的编排（第一步、第二步、第三步...）

Host1 ～ HostN：被管理机（不需要额外安装任何服务，Ansible直接走SSH协议）

Ansible => Connection Plugins（连接插件）=> 连接所有的被管理机（走SSH协议）

Host Inventory：主机清单（就是通过一个配置文件把所有被管理机进行分组，如分成web组、mysql组、redis组等等）

Modules：Core Modules（核心模块）、Custom Modules（自定义模块）=> 重点学习内容 => 通过模块实现管理被管理机（copy模块 => 文件上传、user模块可以进行用户管理、yum模块实现管理安装卸载...）

Plugins：插件，连接被管理机，结合email邮件、logging日志等实现一些额外功能

Playbook：剧本（演电影都要有剧本），把我们管理工作变成剧本，可以让Ansible可以有逻辑的执行（高级）

Users：用户管理，由于Ansible底层走SSH协议，所以连接被管理机，要么通过账号+密码，要么通过（Public/Private）免密操作

大致流程：Ansible首先需要配置主机清单（配置要连接机器以及进行提前分组），然后通过Connection连接插件连接所有的被管理机，底层走SSH协议，连接后，可以通过模块以及插件的方式对所有被管理机进行管理操作。针对于复杂的业务场景，还可以配合Playbook、Roles实现任务编排（让任务有逻辑的执行），这个就是Ansible核心原理了。

5. Ansible环境搭建

实验准备: 三台机器，一台管理，两台被管理

编号	IP	角色
node1	192.168.88.101	管理机master
node2	192.168.88.102	被管理机1
node3	192.168.88.103	被管理机2

配置说明：

静态ip
主机名及IP互相绑定=>/etc/hosts
关闭防火墙, selinux
时间同步
确认和配置yum源

全服务器时间同步：

shell 复制代码

# 安装 EPEL（Extra Packages for Enterprise Linux）软件源 安装扩展库
dnf install epel-release -y

# 安装 NTPsec（Network Time Protocol Secure）服务
dnf install ntpsec -y

# 立即同步系统时间到中国 NTP 服务器（cn.ntp.org.cn）
ntpdate cn.ntp.org.cn

第1步: 管理机上安装ansible，被管理节点必须打开ssh服务

注意：ansible不需要再每一台机器上安装，只需要在node1主节点安装即可。

shell 复制代码

# yum install ansible -y
# ansible --version
ansible [core 2.14.17]
  config file = /etc/ansible/ansible.cfg
  configured module search path = ['/root/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python3.9/site-packages/ansible
  ansible collection location = /root/.ansible/collections:/usr/share/ansible/collections
  executable location = /usr/bin/ansible
  python version = 3.9.19 (main, Aug 23 2024, 00:00:00) [GCC 11.5.0 20240719 (Red Hat 11.5.0-2)] (/usr/bin/python3)
  jinja version = 3.1.2
  libyaml = True

第2步: 实现master对agent的免密登录，只在master上做。(如果这一步不做，则在后面操作agent时都要加-k参数传密码;或者在主机清单里传密码)

shell 复制代码

master# ssh-keygen
master# ssh-copy-id 192.168.88.102
master# ssh-copy-id 192.168.88.103

如果是CentOS7采用ssh-copy-id -i IP地址，如果CentOS Stream 9系列，要去掉-i参数，否则报错！！！

第3步: 在master上定义主机组（主机清单）,并测试连接性

powershell 复制代码

master# vim /etc/ansible/hosts 
# 表示被管理的机器
[group1]
192.168.88.102    # 可以用IP也可以使用主机名
192.168.88.103

-m 代表模块 => module

master# ansible -m ping group1
192.168.88.103 | SUCCESS => {
  "changed": false, 
  "ping": "pong"
}

192.168.88.102 | SUCCESS => {
  "changed": false, 
  "ping": "pong"
}

powershell 复制代码

master# ansible -m ping all
192.168.88.103 | SUCCESS => {
  "changed": false, 
  "ping": "pong"
}

192.168.88.102 | SUCCESS => {
  "changed": false, 
  "ping": "pong"
}

6. 服务器分组（重点理解）

https://docs.ansible.com/ansible/latest/inventory*guide/intro*inventory.html

Ansible通过一个"主机清单"功能来实现服务器分组。

Ansible的默认主机清单配置文件为/etc/ansible/hosts

案例1：