从零开始搭建运维体系 - ansible

基本配置好了局域网内的机器后，第一个遇到的问题就是如何批量操作这么多台机器，ansible就是这么一个自动化运维工具。

ansible是一个基于ssh的批量远程操作命令工具。它有分管理端和被管理端，管理端安装ansible，被管理端什么都不需要安装。这个是非常方便的。只要能远程登陆上就可以。

ansible有两种模式，ansible-hoc和ansible-playbook。简单来说,ansible-hoc就是可以在console上一次执行多个命令。ansible-playbook就是预先编写一个执行步骤，然后在不同机器上执行这个执行步骤。

配置好ssh的用户名密码

我选择使用root账号直接操作ssh的用户，这样我可以站在上帝视角做任何操作，当然这个也是一个双刃剑，也附带一定的危险性。

去每个机器上配置root密码：

passwd root

输入-123456

安装ansible的管理机

ansible的安装比较简单。我选用的是yum安装

安装完成之后，所有的配置文件都在

/etc/ansible/

下面。

ansible配置

修改ansible的默认host配置，在这个配置里面就可以配置上用户名和密码

[local]

localhost ansible_connection=local

[test]

192.168.34.3    ansible_connection=ssh          ansible_user=root       ansible_ssh_pass=123456

[all]

localhost       ansible_connection=local

192.168.34.3    ansible_connection=ssh          ansible_user=root       ansible_ssh_pass=123456

192.168.34.4    ansible_connection=ssh          ansible_user=root       ansible_ssh_pass=123456

"/etc/ansible/hosts" 50L, 1261C

我配置了三个组，其中一个组叫local，它只有ansible的管理机local，直接使用ansible_connection=local就表示是操作的本机。

另外一个组叫做all，这个all包含了三台机器，34.2～4（local）这个机器是本地机器的IP。

还有一个组叫做test，就代表我发布之前先执行这台程序，算是灰度发布。

测试执行第一条命令

第一条命令长这样：

ansible all -m ping

这个就是ansible-hoc模式，其中all 表示ansible操作在all这个组，-m表示调用的是什么模块，ansible有很多模块，这个ping是最常用的模块之一。其他的常用模块使用可以参考ansible常用模块介绍

你有可能返回这个错误

192.168.34.3 | FAILED | rc=-1 >>

Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host.

这个就是说需要你把远程服务器加入到known_hosts中，当然你可以不需要加入，修改ansible配置文件/etc/ansible/ansible.cfg

修改这个配置

host_key_checking = False

就可以不需要known_hosts就行了

[root@localhost var]# ansible all -m ping

localhost | SUCCESS => {

    "changed": false,

    "ping": "pong"

}

192.168.34.3 | SUCCESS => {

    "changed": false,

    "ping": "pong"

}

192.168.34.4 | SUCCESS => {

    "changed": false,

    "ping": "pong"

}

使用ansible创建公司用户

我们希望创建一个公司用户，以后业务应用都用这个用户进行运行，而不是使用root。那么用ansible如何操作？

我们可以使用user模块，使用模块的好处是很容易写出幂等的命令。可以多次执行。如果你不知道user模块有哪些可以配置，就使用命令ansible-doc -s user 来查看，或者去官网查看

ansible test -m user -a 'name=company shell=/bin/bash home=/home/company state=present password=$6$mysecretsalt$RGyLyUuTb8ssDdlZDeLV0gn3khYBQkdIAuyRwAVr9WcH5FpUH6V7qBd4ZI59DXaAuL9Zmift0CTv8mCsQG3Ws.'

这里的password是怎么生成的呢？

可以使用这个命令：

ansible all -i localhost, -m debug -a "msg={{ 'company123' | password_hash('sha512', 'mysecretsalt') }}"

将输出的密码复制到用户里面

192.168.34.3 | CHANGED => {

    "append": false,

    "changed": true,

    "comment": "",

    "group": 1001,

    "home": "/home/company",

    "move_home": false,

    "name": "company",

    "password": "NOT_LOGGING_PASSWORD",

    "shell": "/bin/bash",

    "state": "present",

    "uid": 1001

}

创建成功了。这里的state=present代表如果这个用户不存在就创建，如果这个用户存在就不创建。所以这个命令是幂等的。

然后我就可以对所有机器执行这个操作了。

[root@localhost var]# ansible all -m user -a 'name=company shell=/bin/bash home=/home/company state=present password=$6$mysecretsalt$RGyLyUuTb8ssDdlZDeLV0gn3khYBQkdIAuyRwAVr9WcH5FpUH6V7qBd4ZI59DXaAuL9Zmift0CTv8mCsQG3Ws.'

批量修改hostname

我希望修改每个机器的hostname, 根据它的ip（ansible定义给它的host）修改为xx-xx-xx-xx，把ip中的点换成-

这个时候就需要用到playbook了。其实playbook本质就是yml。你可以在yml中定义你这个脚本需要执行在哪个机器，执行哪些命令。

比如修改hostname的playbook如下：

- hosts: test

  tasks:

  - hostname : name={{ ansible_host.split('.') | join('-') }}

操作在test机器组，执行hostname的命令，其中的ansible_host是我ansible调用的host，先用.切割成数组，再用-拼接起来。

如果你还对这些变量和命令比较不熟悉，建议先使用debug模块在ansible-hoc上尝试一下：

[root@localhost ~]# ansible test  -m debug -a "msg={{ansible_host.split('.') | join('-')}}"

192.168.34.3 | SUCCESS => {

    "msg": "192-168-34-3"

}

好，执行这个playbook:

[root@localhost ~]# ansible-playbook /etc/ansible/playbooks/change_hostname.yml

PLAY [test] ******************************************************************************************************************************************

TASK [Gathering Facts] *******************************************************************************************************************************

ok: [192.168.34.3]

TASK [hostname] **************************************************************************************************************************************

changed: [192.168.34.3]

PLAY RECAP *******************************************************************************************************************************************

192.168.34.3               : ok=2    changed=1    unreachable=0    failed=0

登陆到机器上，或者直接使用shell模块看，成功了

[root@localhost ~]# ansible test -m shell -a 'hostname'

192.168.34.3 | CHANGED | rc=0 >>

192-168-34-3

对所有机器执行这个操作，修改/etc/ansible/playbooks/change_hostname.yml里面的hosts为all。

需要把这个company用户加入到sudoer列表中, 并且把我管理机上的company用户设置为授信用户

首先我管理机上company用户先创建公钥，切换到company用户上，命令ssh-keygen生成公钥和私钥，公钥在/home/company/.ssh/id_rsa.pub

授信就是把公钥放到需要授权的机器上的authroized_key中。

增加用户到sudoers呢就是在/etc/sudoers中增加一行用户信息，并且设置NO PASSWORD。

ansible中最爽的就是有模块的概念，这两个操作都有模块提供，一个是linefile模块，一个是authorized_key模块

- hosts: test

  tasks:

  - name: 确保存在company这个group

    group: name=company state=present

  - name: 允许company组的人可以无密码切换sudo

    linefile:

      dest: /etc/sudoers

      state: present

      regexp: '^%company'

      line: '%company ALL=(ALL) NOPASSWD: ALL'

      validate: 'visudo -cf %s'

  - name: 为company用户设置authorized_key

    authorized_key: user=company key="{{item}}"

    with_file:

      - /home/company/.ssh/id_rsa.pub

完整playbook如上。