CentOS7下搭建Ansible自动化运维工具，集中管理服务器

(1).Ansible具有如下特点：

　　部署简单，只需在主控端部署Ansible环境，被控端无需做任何操作；
　　默认使用SSH协议对设备进行管理；
　　主从集中化管理；
　　配置简单、功能强大、扩展性强；
　　支持API及自定义模块，可通过Python轻松扩展；
　　通过Playbooks来定制强大的配置、状态管理
　　对云计算平台、大数据都有很好的支持；

(2).实验环境

youxi1　　192.168.1.6　　Ansible主控端

youxi2　　192.168.1.7　　被控端

youxi3　　192.168.1.8　　被控端

(3).在youxi1上部署Ansible，并配置环境变量

　　yum安装Ansible需要epel源，安装完成后查看下版本

[root@youxi1 ~]# yum -y install ansible
[root@youxi1 ~]# ansible --version
ansible 2.8.1
  config file = /etc/ansible/ansible.cfg
  configured module search path = [u'/root/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python2.7/site-packages/ansible
  executable location = /usr/bin/ansible
  python version = 2.7.5 (default, Oct 30 2018, 23:45:53) [GCC 4.8.5 20150623 (Red Hat 4.8.5-36)]

　　配置Ansible主机清单

[root@youxi1 ~]# vim /etc/ansible/hosts　　//默认全是注释
[webservers]　　//定义模块
192.168.1.7 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456
192.168.1.8 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456
[root@youxi1 ~]# ssh root@192.168.1.7    //配置完成后使用ssh先测试一下，要确保不能有yes操作，否则报错。
The authenticity of host '192.168.1.7 (192.168.1.7)' can't be established.
ECDSA key fingerprint is SHA256:j3ee8eoTo2XEv0QxCYmxphMipcNRxC+IONPmt1HwRLg.
ECDSA key fingerprint is MD5:25:e2:b4:08:f2:79:7d:6e:42:84:b5:78:3d:6a:81:20.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.7' (ECDSA) to the list of known hosts.
root@192.168.1.7's password:
Last login: Sun Jul 7 23:06:22 2019 from xuefei-pc
[root@youxi2 ~]# exit
登出
Connection to 192.168.1.7 closed.
[root@youxi1 ~]# ssh root@192.168.1.8　　//测试ssh，理由同上
Connection to 192.168.1.8 closed.
[root@youxi1 ~]# ansible -i /etc/ansible/hosts webservers -m ping　　//最后使用一个简单的ping命令测试一下ansible是否配置正常
192.168.1.7 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}
192.168.1.8 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}

　　由于Ansible是基于ssh对设备进行管理，所以可以使用秘钥进行访问，以此来优化配置文件。先来做免密登录

[root@youxi1 ~]# ssh-keygen　　//生成秘钥
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:aOpFP3BWmgXReDuxqgGZk27LnphjgjLZfJUmcITe/Rw root@youxi1
The key's randomart image is:
+---[RSA 2048]----+
|   .    o+       |
|  . .   ..+      |
| . o =   .o+     |
|  o O ..E=+      |
|   + o=+So .     |
|    ++==+        |
|.+ o.=.oo        |
|* =++o.  .       |
|.+o++            |
+----[SHA256]-----+
[root@youxi1 ~]# ssh-copy-id root@192.168.1.7　　//将秘钥拷贝到192.168.1.7
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.1.7's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.1.7'"
and check to make sure that only the key(s) you wanted were added.

[root@youxi1 ~]# ssh-copy-id root@192.168.1.8　　//将秘钥拷贝到192.168.1.8
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.1.8's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.1.8'"
and check to make sure that only the key(s) you wanted were added.
[root@youxi1 ~]# ssh root@192.168.1.7　　//测试是否可以免密登录
Last login: Sun Jul 7 23:16:05 2019 from youxi1.cn
[root@youxi2 ~]# exit
登出
Connection to 192.168.1.7 closed.
[root@youxi1 ~]# ssh root@192.168.1.8
Last login: Sun Jul 7 23:16:05 2019 from youxi1.cn
[root@youxi3 ~]# exit
登出
Connection to 192.168.1.8 closed.

　　免密登录做完后，来优化配置文件

[root@youxi1 ~]# vim /etc/ansible/hosts
[webservers]　　//将原本的配置之留下IP地址（也可以是域名）
192.168.1.7
192.168.1.8
[root@youxi1 ~]# !ansible　　//测试，调用最近的ansible开头的命令
ansible -i /etc/ansible/hosts webservers -m ping　　//完整的命令
192.168.1.8 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}
192.168.1.7 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}

(4).Ansible的使用方法以及常用的选项

　　使用方法：ansible <主机模式> [选项]。一般不会定义主机模式。

　　常用选项：

-v,--verbose    详细模式
-i PATH, --inventory=PATH    指定host文件的路径，默认是在/etc/ansible/hosts
-f NUM,--forks=NUM    指定fork开启同步进程数的个数，默认为5个。
-m NAME,-module-name=NAME    指定使用的module，默认使用command
-a MODULE_ARGS,--args=MODULE_ARGS    指定module的参数
-k,--ask-pass    提示输入ssh密码，而不是使用秘钥认证
-b,--become    请求权限升级的用户名，需要和-K选项联合使用
-K, --ask-become-pass    请求权限升级的用户密码，需要和-b选项联合使用
-u REMOTE_USER, --user=REMOTE_USER    指定移动端的执行用户
-C, --check    测试命令执行会改变什么，而不会真正的执行

　　其中-m选项非常复杂，可以使用ansible-doc命令查看，主要使用的几个选项可以看(6).常见的高级模块

ansible-doc -l    查看所有module
ansible-doc -s [MODULE_NAME]    查看指定模块的参数

(5).实例

　　使用ping检查连通性

[root@youxi1 ~]# ansible -i /etc/ansible/hosts 'webservers' -m ping
192.168.1.8 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}
192.168.1.7 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}
[root@youxi1 ~]# ansible 'webservers' -m ping　　//如果不指定host文件，默认指向/etc/ansible/hosts文件
192.168.1.7 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}
192.168.1.8 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}

　　检查节点运行时间

[root@youxi1 ~]# ansible 'webservers' -m command -a "uptime"
192.168.1.7 | CHANGED | rc=0 >>
 21:32:19 up 13 min,  2 users,  load average: 0.00, 0.04, 0.06

192.168.1.8 | CHANGED | rc=0 >>
 21:32:19 up 13 min,  2 users,  load average: 0.00, 0.05, 0.09

　　检查节点内核版本

[root@youxi1 ~]# ansible 'webservers' -m command -a "uname -r"
192.168.1.8 | CHANGED | rc=0 >>
3.10.0-957.el7.x86_64

192.168.1.7 | CHANGED | rc=0 >>
3.10.0-957.el7.x86_64

　　查看节点文件系统使用情况并重定向到指定文件

[root@youxi1 ~]# ansible 'webservers' -m command -a "df -Th" > command-output
[root@youxi1 ~]# cat command-output
192.168.1.7 | CHANGED | rc=0 >>
文件系统                类型      容量  已用  可用 已用% 挂载点
/dev/mapper/centos-root xfs        17G  1.3G   16G    8% /
devtmpfs                devtmpfs  979M     0  979M    0% /dev
tmpfs                   tmpfs     991M     0  991M    0% /dev/shm
tmpfs                   tmpfs     991M  9.6M  981M    1% /run
tmpfs                   tmpfs     991M     0  991M    0% /sys/fs/cgroup
/dev/sda1               xfs      1014M  133M  882M   14% /boot
tmpfs                   tmpfs     199M     0  199M    0% /run/user/0
192.168.1.8 | CHANGED | rc=0 >>
文件系统                类型      容量  已用  可用 已用% 挂载点
/dev/mapper/centos-root xfs        17G  1.5G   16G    9% /
devtmpfs                devtmpfs  979M     0  979M    0% /dev
tmpfs                   tmpfs     991M     0  991M    0% /dev/shm
tmpfs                   tmpfs     991M  9.6M  981M    1% /run
tmpfs                   tmpfs     991M     0  991M    0% /sys/fs/cgroup
/dev/sda1               xfs      1014M  133M  882M   14% /boot
tmpfs                   tmpfs     199M     0  199M    0% /run/user/0

(6).常用模块

　　command模块，也是ansible的默认模块。不指定-m选项时，使用的就是command模块，常见的命令都可以使用，但由于不是通过shell执行的，所以<、>、|、&都是不可以的。当然也不支持管道，没法批量执行命令。

　　shell模块，远程命令通过/bin/sh来执行，所以在终端输入的各种命令方式都可以使用。如果自定义在~/.bashrc或~/.bash_profile中的环境变量shell模块由于没有加载，而导致的无法识别，可以在最开始执行加载自定义脚本的语句。例如ansible webservers -m shell -a "source ~/.bash_profile && free -m"。如果待执行语句过多，可以编写脚本通过copy模块传到远端，再执行，但会用到两次ansible，这士就可以使用script模块。

　　script模块，在本地编写脚本后，直接使用该模块，可以自动将脚本传到远端并执行，执行完成后删除远端脚本。

　　copy模块，将本地文件复制到远端，例如ansible webserver -m copy -a "src=[本地文件地址] dest=[远端目录] owner=[远端所属主] group=[远端所属组] mode=[4位数字权限，例0755]"

　　file模块，设置文件属性，例如ansible webservers -m file -a "path=[远端文件地址] mode=[4位数字权限，例0755]"

　　stat模块，获取远程文件信息，例如ansible webservers -m stat -a "path=[远端文件地址]"

　　get_url模块，实现远程主机下载指定url，例如ansible webservers -m get_url -a "url=[url地址] dest=[远端存放目录] mode=[4位数字权限，例0755] force=yes"。其中force=yes表示当下载文件存在时，如果所下的内容和原目录下的文件内容不一样则替换，如果一样则不下载。另外force=no表示仅目标不存在时才下载。

　　yum模块，软件包管理，例如ansible webservers -m yum -a "name=[软件包名] state=[软件包状态]"。其中state有五个可选值，latest、present、installed代表安装；removed, absent代表卸载。

　　cron模块，远程主机计划任务（crontab）配置，例如ansible webservers -m cron -a "name='list dir' minute=*/30 job='ls /root'"，这是每30分钟查看root目录下文件。

　　service模块，远程主机系统服务管理，常用的就是name、state和enabled三个参数，name指定服务名称，state指定服务状态（started、stopped、restarted、reloaded）、enabled设置为yes则开机自启，设置为no则开机不启动。例如ansible webservers -m service -a "name=httpd state=restarted"

　　sysctl模块，远程主机sysctl配置。例如ansible webservers -m sysctl -a "name=net.ipv4.ipforward value=1 reload=yes”，此时查看远程主机的/proc/sys/net/ipv4/ip_forward文件内容就是1。

　　user模块，远程主机用户管理，例如ansible webservers -m user -a "name=test1 state=present",state表示账户是否应该存在，如果与申明状态不同，则采取措施。

(7).使用Playbook（剧本）

　　没用过，记录一个参考文档吧：https://www.cnblogs.com/bananaaa/archive/2017/12/29/8143345.html