ansible备忘

ansible

• 【背景】
  ansible首次发布于2012年，作者Michael DeHaan
  Michael DeHaan也是Cobbler的作者
  于2015年被RedHat收购
  Ansible是一款自动化运维工具，基于Python开发（控制端需要有python环境）
  批量系统部署、程序部署、运行命令等功能

• 【特色】
  1.基于ssh做远程管理，被控制端必须开启ssh服务
  2.模块丰富
  3.社区活跃
  4.支持自定义模块
  5.支持异构IT架构
  6.部署简单，容易上手

• 【下载】
  dnf -y install ansible-core ansible-navigator
  ansible-core 主程序包
  ansible-navigator 9版本，可以调用容器中模块的包

• 【配置】
  主配置文件：/etc/ansible/ansible.cfg
  Ansible配置文件查找顺序：
  首先检测ANSIBLE_CONFIG变量定义的配置文件
  其次检查当前目录下的ansible.cfg文件
  再次检查当前用户家目录下的.ansible.cfg文件
  最后检查/etc/ansible/ansible.cfg文件
  /etc/ansible/ansible.cfg里可参考，执行ansible-config init –disabled > /tmp/ansible.cfg可看到真实配置

  ## 写配置
  mkdir ansible;cd ansible;vim ansible.cfg
  # 加空格只是为了美观
  [defaults]
  inventory = ./jadehosts  # ˈɪnvəntɔːri  (建筑物里的物品、家具等的)清单；指定主机清单
  remote_user = jade # 指定用户，不写默认root
  
  [privilege_escalation] # 权限相关配置
  become=True # 是否需要切换用户
  become_method=sudo # 以什么样的形式切换
  become_user=root # 切换成什么用户
  become_ask_pass=False # 切换时是否需要输入密码
  
  
  vim ./jadehosts // 配置主机ip或域名
  [test]
  node1
  [webserver]
  node[3:4]
  [test2]
  node2
  [qiantaozu:children]
  test
  webserver

  # 检查配置是否正确，查看所有主机列表
  ansible all --list-hosts
  ansible node1,qiantaozu -m ping
  # ansible执行结果颜色区分：红色（报错）；绿色（成功）；黄色（执行发生改变了）
  ## 配置机器免密
  #生成秘钥、传公钥给受管主机
  ssh-keygen -f /root/.ssh/id_rsa -N ' '
  ls /root/.ssh/
  #传输命令之一ssh-copy-id 主机
  for i in node{1..5} ;do ssh-copy-id $i;done
  #检查是否免密
  ansible node1 -m ping
  # 虽说模块名是ping，但不走icmp协议的策略，和平时的ping不一样，这里的ping只检测能否ssh、有无python环境，都ok返回success

【ansible ad-hoc命令行】

ansible ad-hoc是一种通过命令行批量管理的方式，适合执行一些临时性简单任务
语法格式：ansible 主机集合 -m 模块名 -a “参数” （不指定-m，默认command）
默认模块为【command】：把linux操作系统中所有可执行的命令，传递给被管理主机，直接执行命令
ansible node1 -m command -a “uptime”

查看模块帮助
ansible-doc command
ansible-doc -l | wc -l # 统计有多少个模块

【常用模块】

shell模块

与command模块区别：
command模块不支持bash特性，如管道和重定向等功能
所有需要调用shell的功能都无法使用
shell模块会启动shell执行命令，不可以使用shell模块执行交互命令，如vim、top等

ansible node1 -m command -a 'ps &' # ps放到后台，报错
ansible node1 -m command -a 'ps > a.txt' # 报错
ansible node1 -m command -a 'ps aux | wc -l' # 报错
ansible node1 -m shell -a 'ps aux | wc -l' # 成功

# 检查用户
ansible all -m shell -a "cat secure* | grep Accept | awk -F/" /" '{if($1==/"Jul/" && $2>20){print $0}}'" -i /etc/ansible/user_check_hosts
# 检查网络连通性
ansible all -m shell -a "ping www.baidu.com -c 1 -image 0.2 -W 1 &> /dev/null" -i /etc/ansible/hosts

script模块

script允许在本地写脚本，拷贝到被管理端并执行脚本
可以是shell、python、perl脚本，可以没有-x

vim test.sh
#!/bin/bash
touch /opt/a.txt
useradd bob

ansible node1,node2 -m script -a "./teset.sh"
ansible node1,node2 -m shell -a "ls /opt;id bob"

file模块

可以创建文件、目录、链接；修改权限与属性等
幂等性：任意次执行所产生的影响均与一次执行的影响相同

# 新建文件
ansible node1 -m file -a "path=/tmp/file.txt state=touch"
# 新建目录
ansible node1 -m file -a "path=/tmp/mydir state=directory"
# 修改文件权限（修改时，所有者、所属组必须存在）
ansible node1 -m file -a "path=/tmp/file.txt owner=sshd group=adm mode=0777"
# 删除文件目录
ansible node1 -m file -a "path=/tmp/mydir state=absent"
# 创建链接文件(类似快捷方式)
ansible node1 -m file -a "src=/etc/hosts path=/tmp/hosts state=link"
ansible node1 -m shell -a "ls -l /tmp/hosts"

copy模块

将文件拷贝到远程主机
backup=yes如果目标主机有同名文件，先备份
幂等性

# 新建测试文件
echo "test" > ~/a.txt
# 拷贝到目标主机指定目录下
ansible testnodezu -m copy -a "src=~/a.txt dest=/root"
# 拷贝到目标主机指定目录下并重命名
ansible testnodezu -m copy -a "src=~/a.txt dest=/root/achage.txt"
# 没有源文件，通过content直接提供文件内容 \n代表回车
ansible testnodezu -m copy -a "content='hello world\ntest' dest=/root/test.txt"

fetch模块

与copy作用相反，将其他主机的文件拷贝到本地

# 将远程主机的hostname文件下载到本地家目录（避免多个主机同名文件，fetch会在拷贝时新增对应主机名的目录）
ansible node1 -m fetch -a "src=/etc/hostname dest=~/"
ls ~/node1/etc

lineinfile|replace模块

幂等性

## 在修改单个文件的单行内容时可以使用lineinfile模块
# 在/etc/issue中添加一行，默认加到最后一行；基于幂等性，重复执行只会有一行
ansible node1 -m lineinfile -a "path=/etc/issue line='hello world'"
## lineinfile会替换一整行，replace可以替换关键词
# 将/etc/issue.net文件全文所有的Kernel替换为Ocean
ansible node1 -m replace -a "path=/etc/issue.net regexp=Kernel replace=Ocean"

user模块

# 远程test组中所有主机，并创建系统用户tuser1，state不写默认是present（创建）
ansible test -m user -a "name=tuser1"
# 创建用户并设置对应的用户属(groups指定附加组，home指定家目录，shell指定解释器)
ansible node1 -m user -a "name=tuser2 uid=1020 group=adm groups=daemon,root home= shell="
# 修改用户密码(ansible修改的密码需经过password_hash('sha512')加密，否则不生效)
ansible node1 -m user -a "name=tuser1 password={{'abc' | password_hash('sha512')}}"
ssh tuser1@node1
# 修改tuser1用户的附加组
ansible node1 -m user -a "name=tuser1 groups=daemon"
# 删除用户tuser1
ansible node1 -m user -a "name=tuser1 state=absent"
# 删除用户tuser2（删除时同步删除家目录、邮箱）
ansible node1 -m user -a "name=tuser1 state=absent remove=true"

group模块

# 创建stugp组，state不写默认present
ansible node1 -m group -a "name=stugp"
# 删除组
ansible node1 -m group -a "name=stugp state=absent"

yum_repository模块

可以创建、修改yum源配置文件

# 新建一个yum源配置文件/etc/yum.repos.d/myyum.repo
ansible all -m yum_repository -a "name=a description=aaa baseurl=yum源地址 gpgcheck=0"
ansible all -m shell a "cat /etc/yum.repos.d/a.repo"
# 无法实现同一个repo文件写两个yum源地址，只能一个yum源一个文件，且ansible会多生成一个async=1字段，启用并发下载

yum模块

安装卸载升级软件包

state：present（安装） absent（卸载） latest（升级）
ansible node1 -m yum -a "name=unzip state=present"

service模块

服务管理模块，启动、关闭、重启服务等
state：started（开启） stopped（停止） restarted（重启）
enabled=yes（开机自启）

# 开启服务
ansible node1 -m service -a "name=httpd state=started"
# 开机自启并启动
ansible node1 -m service -a "name=httpd enabled=yes state=started"

分区、逻辑卷相关模块

state：present（创建） absent（删除）

【part】模块：对硬盘分区

# 安装新collection，可以使用parted等模块
ansible-galaxy collection install http://server1.lab0.example.com/materials/community-general-6.3.0.tar.gz
# 远程node2，对vdc进行分区，大小100M
ansible node2 -m parted -a "device=/dev/vdc num=1 part_end=100Mib state=present"
# 第二个分区，要从第一个分区的end开始
ansible node2 -m parted -a "device=/dev/vdc num=2 part_start=100Mib part_end=200Mib state=present"
# 删除第2个分区
ansible node2 -m parted -a "device=/dev/vdc num=2 state=absent"

【filesystem】模块：用于格式化（创建文件系统）

fstype 指定文件系统类型
dev 指定要格式化的设备，可以是分区、逻辑卷

# 格式化为ext4文件系统类型
ansible node1 -m filesystem -a "dev=/dev/vdc1 fstype=ext4"
# 再次格式化同一个分区为xfs文件系统类型
ansible node1 -m filesystem -a "dev=/dev/vdc1 fstype=xfs force=true"

【mount】模块：用于挂载文件系统

path 挂载点，若挂载点不存在，自动创建
src 待挂载的设备
fstype 文件系统类型
state=mounted 永久挂载

# 装包，9以上ansible基础包不包含mount，需下载额外的包（/var/www/html就是访问ip对应的物理路径）
ansible-galaxy collection install http://server1.lab0.example.com/materials/ansible-posix-1.5.1.tar.gz
# 将/dev/vdc1分区挂载到/data
ansible node1 -m mount -a "path=/data src=/dev/vdc1 fstype=xfs state=mounted"
ssh node1 ; df -Th

【lvg】模块：创建、删除卷组(vg)、修改卷组大小

# 先建个分区
ansible node1 -m parted -a "dev=/dev/vdc num=2 part_start=100MiB part_end=200MiB state=present"
# 创建名为myvg的卷组，该卷组由/dev/vdc2组成
ansible node1 -m lvg -a "vg=myvg pvs=/dev/vdc2 state=present"
# 删除卷组
ansible node1 -m lvg -a "vg=myvg state=absent"

【lvol】模块：创建、删除逻辑卷（lv）、修改逻辑卷大小

# 创建逻辑卷,名为mylv，大小50M（从上边创建的myvg卷组中）
ansible node1 -m lvol -a "lv=mylv vg=myvg size=50M"
# 删除逻辑卷
ansible node1 -m lvol -a "lv=mylv state=absent force=true"

firewalld模块

state：present enabled（添加） disabled（删除）

# 查看帮助文档（不在基础包里，在ansible-posix里）
ansible-doc firewalld
zone：安全区域
permanent：true永久生效 # 往区域里加规则需要加此参数，只改zone不需要
immediate：true立即生效
service：http协议
port：端口
# 添加、删除规则，放行http协议
ansible node1 -m firewalld -a "state=enabled service=http permanent=yes immediate=yes"
ansible node1 -m shell -a "firewall-cmd --list-all | grep service"
ansible node1 -m firewalld -a "state=disabled service=http permanent=yes immediate=yes"
# 添加、删除规则，放行端口
ansible node1 -m firewalld -a "state=enabled port=80/tcp permanent=yes immediate=yes"
ansible node1 -m shell -a "firewall-cmd --list-all | grep port"
ansible node1 -m firewalld -a "state=disabled port=80/tcp permanent=yes immediate=yes"

setup模块

ansible_factes用于采集被管理设备的系统信息（内存、网卡）
所有收集的信息都被保存在变量中
每次执行playbook默认第一个任务就是Gathering Fact
使用setup模块可以查看收集到的facts信息
有父子关系使用.表示

# 查看收集到的信息
ansible test -m setup | less
# 过滤关于内存的信息
ansible test -m setup -a "filter=ansible_mem*"
# 过滤关于enp1s0网卡的信息
ansible test -m setup -a "filter=ansible_enp1s0*"
# 查看主机名
ansible test -m setup -a "filter=ansible_enp1s0*"
# 查看完全域名、完全主机名
ansible test -m setup -a "filter=ansible_fqdn"
# 查看bios相关信息
ansible test -m setup -a "filter=ansible_bios*"

# 常见变量：
ansible_enp1s0.ipv4.address   # enp1s0网卡的ip地址
ansible_hostname   # 主机名
ansible_memfree_mb   # 内存剩余大小，单位mb
ansible_fqdn   # 完整主机名
ansible_bios_version   # bios版本
ansible_devices.vda.size   # 第一块硬盘大小
ansible_devices.vda.partitions.vda1.size   # 第一块硬盘第一个分区大小
ansible_lvm.lvs.root.size_g   # 逻辑卷root的大小
ansible_kernel   # 内核版本信息

debug模块

# 查看node1主机有关的魔法变量，如果该任务写成剧本，由于剧本会自动收集普通变量，所以到时还会看到除了魔法变量之外的普通变量，如ip、内存大小等
ansible node1 -m debug -a "msg={{hostvars.node1}}"

get_url模块

# 从网络下载文件
ansible node1 -m get_url -a "url=http://server dest="

---

【ansible playbook】

ansible playbook：剧本
①将经常需要执行的任务写入一个文件（剧本）
②剧本中可以包含多个任务
③剧本写好后，随时根据剧本，执行相关的任务命令
④playbook剧本要求按照yaml格式编写
⑤适合执行周期性经常执行的复杂任务

语法格式：

- yaml格式
- 剧本文件中由1个或多个play组成
- 每个play可包含：
    - hosts（主机）
    - tasks（任务）
    - variables（变量）
    - roles（角色）
    - handlers（触发器）
- 使用ansbile-playbook命令运行

vim写yaml小技巧

vim ~/.vimrc # 只对对应用户有效
set nu ai ts=2 et cuc
# nu：行号
# ai：自动缩进
# ts：一个table等于几个空格
# et：把table转成空格
# cuc：光标列对齐

playbook格式

# 配置yum源、装包
# 另开一个窗口：ansible-doc yum_repository # 搜EXAMPLES，直接粘过来修改
vim yum_install.yaml
---
- hosts: all
  tasks:
  - name: Add multiple repositories into the same file（1/2） # 可不写，不写直接写下边的模块名
    yum_repository:
      name: AppStream
      description: AppStream
      baseurl: https://server1.lab0.example/rhel9/AppStream
      gpgcheck: no
  - name: Add multiple repositories into the same file（2/2） # 可不写，不写直接写下边的模块名
    yum_repository:
      name: AppStream
      description: AppStream
      baseurl: https://server1.lab0.example/rhel9/AppStream
      gpgcheck: no
# 以上算1个play，再写play要顶格写，也可用name加描述信息
# 另开一个窗口：ansible-doc yum # 搜EXAMPLES，直接粘过来修改
- name: install package # 可写可不写，不写就得- hosts
  hosts: webserver
  tasks:
  - name: install a list package
    yum:
      name:
      - httpd
      - mariadb
      - mariadb-server
  - name: install a group package
    yum:
      name: "@Development tools"
  - name: update software
    yum:
      name: "*"
      state: latest

ansible-playbook yum_install.yaml
ansible webserver -m shell -a "rpm -q httpd mariadb mariadb-server"
ansible webserver -m shell -a "dnf grouplist"

debug模块

可以显示变量的值，可以辅助排错

var：引用变量不需要{{}}
msg：引用变量需要{{}}

vim debug.yaml
---
- hosts: test
  tasks:
  - debug:
      var: ansible_all_ipv4_addresses
  - debug:
      msg: "主机名是:{{ ansible_hostname }}"
  - debug:
      msg: "总内存大小是{{ ansible_memtotal_mb }}"

ansible-playbook debug.yml

template模块

copy模块可以将一个文件拷贝给远程主机，但是希望每个文件内容都不一样，需要用到template
如何给所有web主机拷贝index.html内容是各自的IP地址、含有变量
ansible可以利用jinja2模板引擎读取变量

在playbook中调用变量，也是jinja2的功能
jinja2模块的表达式包含在分隔符{{}}内

使用template模块将含有变量的文件上传到webserver组中的主机

mkdir template
# 写一个含有变量的文件
vim template/index.html
Welcome to {{ ansible_hostname }}
# 
vim template.yml
---
- hosts: webserver
  tasks: 
  - name: install httpd
    yum:
      name: httpd
  - name: use template module
    template:
      src: ~/ansible/template/index.html
      dest: /var/www/html/index.html   # httpd服务默认网页路径

ansible-playbook template.yml
ansible webserver -m shell -a "cat /var/www/html/index.html"

# jin2写for循环示例：
{% for i in groups.all %}
{{ hostvars[i].ansible_enp1s0.ipv4.address }} {{ hostvars[i].ansible_fqdn }} {{ hostvars[i].ansible_hostname }}
{% endfor %}

replace模块

vim /root/hardware.txt
hostname=inventoryhostname
mem=memory_in_MB
bios=BIOS_version
vdasize=disk_vda_size
vdbsize=disk_vdb_size

vim replace.yml
---
- hosts: all
  tasks:
  - replace:
      path: /root/hardware.txt
      regexp: inventoryhostname
      replace: "{{ inventory_hostname }}"
  - replace:
      path: /root/hardware.txt
      regexp: disk_vda_size
      replace: "{{ ansible_devices.vda.size }}"
  - replace:
      path: /root/hardware.txt
      regexp: disk_vdb_size
      replace: "{{ ansible_devices.vdb.size if ansible_devices.vdb.size is defined else 'NONE' }}"

ansible容器运行playbook

# 1安装navigator软件包
sudo dnf -y install ansible-navigator
# 2编写navigator下载镜像的配置文件，要放到家目录下
vim ~/.ansible-navigator.yml
---
ansible-navigator:
  execution-enviroment:
    image: registry.lab0.example.com:5000/ee-supported-rhel8:latest
    pull:
      policy: missing   # 如果使用镜像时没有就下载，有就不下载
# 3修改配置文件，方法和之前的podman一样
sudo vim /etc/containers/registries.conf
unqualified-search-registries = ["registry.lab0.example.com:5000"]
[[registry]]
insecure = true
location = "registry.lab0.example.com:5000"
# 4查看镜像，yaml中定义的image没有就下载，有就跳过
ansible-navigator images   # esc退出
<==>
podman images
# 5临时在容器中运行剧本
ansible-navigator run debug.yml -m stdout

---

##【ansible变量】

inventory变量（主机清单文件变量）

在主机清单配置文件中定义变量，可以针对主机或组

vim hosts
[test]
node1 myvar1="hello the world" myvar2="content"   # 在node1主机中定义了两个变量
[webserver]
node[3:4]
[webserver:vars]   # 主机组变量
yourname="jade"

# 写playbook调用
vim var.yaml
---
- hosts: node1
  tasks:
  - shell: echo "{{ myvar1 }}" > /tmp/"{{ mywar2 }}"
- hosts: webserver
  tasks:
  - user:
      name: "{{ yourname }}"

ansible node1 -m shell -a "ls /tmp"
ansible webserver -m shell -a "id jade"

魔法变量

ansible的内置变量

# 常用变量：
inventory_hostname   # 清单主机名
hostvars   # 包含被控制主机的所有变量
hostvars.node1   # 只调用node1主机所有变量
hostvars.node1.group_names   # 显示node1所在组的名字
groups   # 所有主机以及组信息
groups.all   # 所有被控制主机主机名
groups.test01   # 显示test01组里的所有主机名
groups_names   # 当前运行任务的主机所在的组的名字

# 查看node1主机有关的魔法变量，如果该任务写成剧本，由于剧本会自动收集普通变量，所以到时还会看到除了魔法变量之外的普通变量，如ip、内存大小等
ansible node1 -m debug -a "msg={{hostvars.node1}}"

playbook变量

在playbook中定义变量
使用vars关键词

vim playbook_var.yml
---
- hosts: test
  vars:
    iname: heal
    ipass: '12345'   # 密码必须是string，需要引号
  tasks:
  - user:
      name: "{{iname}}"
      password: "{{ ipass | password_hash('sha512') }}"

ansible-playbook playbook_var.yml
ansible test -m shell -a "id heal"

变量文件

单独定义个变量文件
在playbook中使用vars_files调用该变量文件
优先级是最高的

vim variables.yml
---
iname: cloud
ipass: '123456'

vim file_var.yml
---
- hosts: test
  vars_files: variables.yml   # 相对路径需要变量yaml和playbookyaml在同个目录
  tasks:
  - name: create user.
    user:
      name: "{{ iname }}"
      password: "{{ ipass | password_hash('sha512') }}"

ansible test -m shell -a "id cloud"

---

【ansible高级语法】

handlers

可以通过handlers定义一组任务
仅当某个任务触发（notify）handlers时才执行相应的任务
如果有多个notify触发执行handlers任务，也仅执行一次
仅当任务的执行状态为changed时handlers任务才执行
handlers任务在所有其他任务都执行后才执行

vim handlers.yml
---
- hosts: test
  tasks:
  - file: 
      path: /tmp/parents/subdir
      state: directory
    notify: touch file   # 要和handlers的name值对应
  handlers:   # 当notify所在task change，handlers才会执行，基于幂等性，success或其他不会执行
  - name: touch file   # 要和notify值对应
    file:
      path: /tmp/parents/subdir/new.txt
      state: touch

when条件判断

条件为真时执行

常见条件操作符：== != > >= < <=
可用and or
when表达式中调用变量不使用{{}}，直接写变量名

# 远程主机剩余内存不足800M，则关闭NetworkManager服务
# 变量名可通过setup模块进行查找
vim when.yml
---
- hosts: test
  tasks:
  - service:
      name: NetworkManager
      state: stopped
    when: ansible_memfree_mb < 800

# 多个条件
vim when-multi.yaml
---
- hosts:
  tasks:
  - file:
      path: /tmp/jadewhen.txt
      state: touch
    when: > # >换行符，不保留换行符，也可直接写一行空格分隔
      ansible_distribution == "RedHat"
      and
      ansible_distribution_major_version == "9"
# when成立 success执行；不成立 skipping跳过

fail模块

任务执行失败则终止任务

ansible node1 -m setup -a "filter=ansible_dev*"
vim fail.yml
---
- hosts: all
  tasks:
  - fail:
      msg: "vdc不存在设备里，终止任务"
    when: "'vdc' not in ansible_devices"

block任务块

使用block可以将多个任务合并为一个组
可以将整个block任务组，一起控制是否要执行

# block结合when使用时，当条件成立，执行一组任务
vim block.yaml
---
- hosts: test
  tasks:
  - block:
    - yum:
        name: mysql-server
        state: present
    - service:
        name: mysqld
        state: started
    when: ansible_distribution == "RedHat"

ansible-playbook block.yaml
ansible test -m shell -a "rpm -q mysql-server ; systemctl status mysqld"
# 常用关键词：
【rescue】 定义block任务失败时要执行的其他任务
【always】 定义无论block任务是否成功，都要执行的任务

vim block-rescue-always.yml
---
- hosts: test
  tasks:
  - block:
    - file:
        path: /tmp/notexist/block.txt
        state: touch
    rescue:   # block失败时执行
    - file:
        path: /tmp/rescue.txt
        state: touch
    always:   # 成功与否，都会执行
    - file:
        path: /tmp/always.txt
        state: touch

loop循环

相当于for
循环用到的变量名是固定的：item

vim simple-loop.yaml
---
- hosts: test
  task:
  - file:
      path: /tmp/{{item}}
      state: directory
    loop:
    - School
    - Legend
    - Life

vim complex-loop.yaml
---
- hosts: test
  tasks:
  - user:
      name: "{{item.iname}}"
      password: "{{item.upass | password_hash('sha512')}}"
    loop:
    - { iname: 'tem', upass: '123456'}
    - { iname: 'amy', upass: '654321'}

ansible-playbook complex-loop.yaml
ansible test -m shell -a "id term;id amy"

---

【ansible角色】

在实际生产环境中，为实现不同功能会编写大量playbook，而且每个playbook还可能会调用其他文件（如变量文件）
对于海量的、无规律的文件，管理较麻烦
ansible从1.2版本开始支持roles
roles是管理ansible文件的一种规范（目录结构）
roles会按照标准的规范，自动到特定的目录和文件中读取数据

roles规范的目录结构

defaults/main.yml：定义变量的缺省值，优先级较低
files目录：存储静态文件的目录
handlers/main.yml：定义handlers
meta/main.yml：作者、版本等描述信息
README.md：整个role的描述信息
tasks/main.yml：定义任务
templates目录：存放动态数据文件的地方（模版文件）
vars/main.yml：定义变量，优先级高

roles应用

# 配置，在defaults下添加roles_path行，自定义role存放位置
vim ansible.cfg
[defaults]
inventory=./hosts
remote_user=alice
role_path=./roles   # 定义角色目录位置
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

手工创建角色

# 创建角色相关目录，roles是配置文件中指定的存放角色总目录，http是创建的角色，tasks是存放角色任务的目录
mkdir -p roles/http/tasks
vim roles/http/tasks/main.yml
---
- yum:
    name: httpd
- debug:
    msg: ok

# 编写playbook调用角色
vim myrole.yml
---
- hosts: test
  roles:
  - http   # 会找roles下的http下的tasks的main.yml

使用命令创建角色

ansible-galaxy命令可以创建、管理自己的roles
# 初始化创建一个role，名为issue
ansible-galaxy init ~/ansible/roles/issue
# 把控制端本地的文件拷贝到被管理主机
# 如果拷贝的是常量文件，则把文件放到files目录下
# 如果拷贝的是变量文件，则放到templates下

# 定义issue模版文件
vim ~/ansible/roles/issue/templates/issue.j2
this is the system {{ansible_hostname}}
contact to {{admin}}   # 自定义变量

# 定义刚才j2文件中使用的自定义变量
vim roles/issue/vars/main.yml
admin: jade@cloud.cn

# 定义任务：拷贝模版文件
vim roles/issue/tasks/main.yml
---
- template:
    src: issue.j2   # 不需要写绝对路径，只写文件名，roles会自动找
    dest: /etc/issue

# 写playbook调用issue角色
vim issue.yml
---
- hosts: test
  roles:
  - issue

# 运行
ansible-playbook issue.yml
ansible test -m shell -a "cat /etc/issue"

使用网络下载安装角色

galaxy.ansible.com/ui/ 可以看到别人写好的角色

vim roles.yml
---
- name: myphp   # 安装的角色名
  src: http://172.25.0.254/roles/myphp.tar   # 下载的角色路径

# 安装网上下载的角色，-r 指定下载的角色文件，默认安装路径由配置文件中roles_path决定
ansible-galaxy install -r roles.yml
ls ~/ansible/roles

安装系统自带角色

# 安装系统自带角色
dnf -y install rhel-system-roles
# 查看rhel-system-roles安装清单
rpm -ql rhel-ssytem-roles
# 拷贝角色
cp -r /usr/share/ansible/roles/rhel-system-roles.timesync/ roles
# 参考帮助文档编写剧本文件，时间同步 timesync
cat roles/rhel-system-roles.timesync/README.md

vim timesync.yml
---
- hosts: test
  vars:
    timesync_ntp_servers:
    - hostname: 192.25.0.254
      iburst: yes
  roles:
  - rhel-system-roles.timesync

# 执行
ansible-playbook timesync.yml
ansible test -m shell -a "chronyc sources -v"

---

【ansible vault】

ansible有时需要访问一些敏感数据，如密码、key等
使用ansible-vault可以加密或解密数据
–encrypt：加密
–decrypt：解密
–view：查看
–rekey：修改密码

# 新建测试文件
vim hello.txt
Hello The world
# 加密文件
ansible-vault --help
ansible-vault encrypt hello.txt
# 查看加密文件
ansible-vault view hello.txt
# 解密
ansible-vault decrypt hello.txt
# 修改密码
ansible-vault rekey hello.txt

# 用密码文件做加密解密，防止忘记密码
vim pass
123456
ansible-vault encrypt --vault-id=pass hello.txt
ansible-vault decrypt --vault-id=pass hello.txt

# playbook做加密解密
vim user-vault.yml
---
- hosts: test
  tasks:
  - user:
      name: jerry
      password: "{{ '12345' | password_hash('sha512') }}"
ansible-vault encrypt user-vault.yml
# 使用--ask-vault-password运行playbook
ansible-playbook user-vault.yml --ask-vault-password