ansible 基础一

安装

解决依赖关系：

yum -y install python-jinja2 PyYAML python-paramiko python-babel python-crypto

tar包安装

http://releases.ansible.com/ansible/　　##下载最新版，解压安装
python setup.py build
python setup.py install

使用

Ansible 通过读取默认的主机清单配置/etc/ansible/hosts,可以同时连接到多个远程主机上执行任务, 默认路径可以通过修改 ansible.cfg 的 hostfile 参数指定路径。

ansible配置目录结构讲解

[root@ansible ~]# rpm -ql ansible
/etc/ansible                　　　    # 所有配置文件存放目录配置文件位于/etc/ansible  官方建议将该目录使用git/svn进行版本控制便于跟踪和修改
/etc/ansible/ansible.cfg        　   # 主配置文件
/etc/ansible/hosts            　　    # 主机定义文件
/etc/ansible/roles
/usr/bin/ansible                     # 实现批量部署的命令
/usr/bin/ansible-doc                 # 模块文档查看器
/usr/bin/ansible-galaxy              # 可以把他理解成ansible的pip，可以从galaxy.ansible.com下载官方收录的playbooks
/usr/bin/ansible-playbook            # playbook配置管理工具
/usr/bin/ansible-pull                # 支持直接从git下载playbook执行，需要遵循其规定的目录格式，用处不是特别大，可以不关注
/usr/bin/ansible-vault               # 如果你的配置文件中含有敏感信息，你可能并不希望他能被人看到，vault可以帮你加密/解密这个配置文件主机或者组变量
/etc/ansible/group_vars/all          # group_vars目录用于存放group变量，all文件对所有组有效
/etc/ansible/group_vars/windows      # 文件windows要和hosts里面定义的组名一样，表示对windows组下的所有主机有效
/etc/ansible/host_vars/foosball      # 文件foosball要和hosts里面定义的主机名一样，表示只对foosball主机有效
/etc/ansible/host_vars/all           # host_vars目录用于存放hosts变量，all文件对所有主机有效

对于/etc/ansible/hosts最简单的定义格式像下面：

1、简单的主机和组

[webservers]
test1 web1.yanruogu.com ansible_ssh_host=1.1.1.1　　　　#这里test1表示别名
web2.yanruogu.com 

[dbservers]
db1.yanruogu.com
db2.yanruogu.com

a、中括号中的名字代表组名，可以根据自己的需求将庞大的主机分成具有标识的组，如上面分了两个组webservers和dbservers组；

b、主机(hosts)部分可以使用域名、主机名、IP地址表示；当然使用前两者时，也需要主机能反解析到相应的IP地址，一般此类配置中多使用IP地址；

2、指定主机范围

[webservers]
www[01-].yanruogu.com
[databases]
db-[a:f].yanruogu.com

上面指定了从web1到web50，webservers组共计50台主机；databases组有db-a到db-f共6台主机。

3、使用主机变量

以下是Hosts部分中经常用到的变量部分：

ansible_ssh_host     #用于指定被管理的主机的真实IP （ansible_ssh_host=''）
ansible_ssh_port     #用于指定连接到被管理主机的ssh端口号，默认是22
ansible_ssh_user     #ssh连接时默认使用的用户名
ansible_ssh_pass     #ssh连接时的密码
ansible_sudo_pass     #使用sudo连接用户时的密码
ansible_sudo_exec     #如果sudo命令不在默认路径，需要指定sudo命令路径
ansible_ssh_private_key_file     #秘钥文件路径，秘钥文件如果不想使用ssh-agent管理时可以使用此选项
ansible_shell_type     #目标系统的shell的类型，默认sh
ansible_connection     #SSH 连接的类型：local,ssh,paramiko，在ansible1.2之前默认是 paramiko，后来智能选择，优先使用基于 ControlPersist 的 ssh （支持的前提）
ansible_python_interpreter     #用来指定python解释器的路径，默认为/usr/bin/python 同样可以指定ruby 、perl 的路径
ansible_*_interpreter     #其他解释器路径，用法与ansible_python_interpreter类似，这里"*"可以是ruby或才perl等其他语言（ansible _ruby_interpreter=/usr/bin/ruby）

[privilege_escalation]　　　　　　　　　　　　#非root用户是否开启sudo权限
become = True　　　　　　#是否为sudo
become_method = sudo   #sudo方式
become_user=root       #sudo后变为root用户
become_ask_pass=False        #sudo后是否验证密码

[accelerate]　　　　　　　#ansible加速相关配置,保持默认即可
accelerate_port= 5099     #加速连接端口
accelerate_timeout = 30   #命令执行超时时间，单位秒
accelerate_connect_timeout=5.0    #连接超时时间，单位秒
accelerate_daemon_timeout= 30     #上一个活动连接的时间，单位分钟
accelerate_multi_key = yes 

示例如下：

[test]
192.168.1.1 ansible_ssh_user=root ansible_ssh_pass='P@ssw0rd'
192.168.1.2 ansible_ssh_user=breeze ansible_ssh_pass='123456'
192.168.1.3 ansible_ssh_user=bernie ansible_ssh_port=3055 ansible_ssh_pass='456789'

4、组内变量

变量也可以通过组名，应用到组内的所有成员：

[test]
host1
host2
[test:vars]
ntp_server=192.168.1.10
proxy=192.168.1.20　

上面test组中包含两台主机，通过对test组指定vars变更，相应的host1和host2相当于相应的指定了ntp_server和proxy变量参数值 。

Patterns（主机与组正则匹配部分）

　　把Patterns 直接理解为正则实际是不完全准确的，正常的理解为patterns意味着在ansible中管理哪些主机，也可以理解为，要与哪台主机进行通信。在探讨这个问题之前我们先看下ansible的用法：

ansible <pattern_goes_here> -m <module_name> -a <arguments>

直接上一个示例：　　

ansible webservers -m service -a "name=httpd state=restarted" -l ip   #表示只执行指定ip进行playbook执行

　　

这里是对webservers 组或主机重启httpd服务 ，其中webservers 就是Pattern部分。而之所以上面说Pattern（模式）可以理解为正则，主要针对下面经常用到的用法而言的。

1、表示所有的主机可以使用all 或 *

2、通配符与逻辑或

利用通配符还可以指定一组具有规则特征的主机或主机名，冒号表示or－－－逻辑或

 web1.yanruogu.com
    web1.yanruogu.com:web2.yanruogu.com
    192.168.1.1
    192.168..*

当然，这里的*通配符也可以用在前面，如：

    *.yanruogu.com
    *.com    

webservers1[0]     #表示匹配 webservers1 组的第 1 个主机    webservers1[0:25]  #表示匹配 webservers1 组的第 1 个到第 25 个主机（官网文档是":"表示范围，测试发现应该使用"-",注意不要和匹配多个主机组混淆）

上面的用法，在多个组之间同样适用 ，如：

webservers
webservers:dbservers  #表示两个组中所有的主机

3、逻辑非与逻辑and

非的表达式，如，目标主机必须在组webservers但不在phoenix组中

    webserver:!phoenix

交集的表达式，如，目标主机必须即在组webservers中又在组staging中

    webservers:&staging

一个更复杂的示例：

    webserver:dbservers:&staging:!phoenix

上面这个复杂的表达式最后表示的目标主机必须满足：在webservers或者dbservers组中，必须还存在于staging组中，但是不在phoenix组中 。

4、混合高级用法

    *.yanruogu.com:*.org

还可以在开头的地方使用”~”，用来表示这是一个正则表达式:

    ~(web|db).*\.yanruogu\.com

给两个ansible-playbook中具体可能用的用法：

a、在ansible-palybook命令中，你也可以使用变量来组成这样的表达式，但是你必须使用“-e”的选项来指定这个表达式（通常我们不这样用）：

 ansible-palybook -e webservers:!{{excluded}}:&{{required}}

b、在ansible和ansible-playbook中，还可以通过一个参数”--limit”来明确指定排除某些主机或组：

ansible-playbook site.yml --limit datacenter2

c、从Ansible1.2开始，如果想排除一个文件中的主机可以使用"@"：

ansible-playbook site.yml --limit @retry_hosts.txt

ansible.cfg配置说明

 

官网：http://docs.ansible.com/ansible/latest/intro_configuration.html

Ansible默认安装好后有一个配置文件/etc/ansible/ansible.cfg，该配置文件中定义了ansible的主机的默认配置部分，如默认是否需要输入密码、是否开启sudo认证、action_plugins插件的位置、hosts主机组的位置、是否开启log功能、默认端口、key文件位置等等。

具体如下：

  [defaults]
    # some basic default values...
    hostfile       = /etc/ansible/hosts   　　\\指定默认hosts配置的位置
    # library_path = /usr/share/my_modules/
    remote_tmp     = $HOME/.ansible/tmp
    pattern        = *
    forks          = 5
    poll_interval  = 15
    sudo_user      = root 　　　　\\远程sudo用户
    #ask_sudo_pass = True  　　　　\\每次执行ansible命令是否询问ssh密码
    #ask_pass      = True  　　　　\\每次执行ansible命令时是否询问sudo密码
    transport      = smart
    remote_port    = 22
    module_lang    = C
    gathering = implicit
    host_key_checking = False    　　\\关闭第一次使用ansible连接客户端是输入命令提示
    log_path    = /var/log/ansible.log \\需要时可以自行添加。chown -R root:root ansible.log
    system_warnings = False    　　　　\\关闭运行ansible时系统的提示信息，一般为提示升级
    # set plugin path directories here, separate with colons
    action_plugins     = /usr/share/ansible_plugins/action_plugins
    callback_plugins   = /usr/share/ansible_plugins/callback_plugins
    connection_plugins = /usr/share/ansible_plugins/connection_plugins
    lookup_plugins     = /usr/share/ansible_plugins/lookup_plugins
    vars_plugins       = /usr/share/ansible_plugins/vars_plugins
    filter_plugins     = /usr/share/ansible_plugins/filter_plugins
    fact_caching = memory
    [accelerate]
    accelerate_port = 5099
    accelerate_timeout = 30
    accelerate_connect_timeout = 5.0
    accelerate_daemon_timeout = 30

　　

如果在对之前未连接的主机进行连结时报错如下：

ansible test -a 'uptime'
    192.168.1.1| FAILED =>Using a SSH password instead of a key is not possible because HostKey checking is enabled and sshpass does not support this.Please add this host's fingerprint to your known_hosts file to manage this host.
    192.168.1.2 | FAILED => Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host.

　　是由于在本机的~/.ssh/known_hosts文件中并有fingerprint key串，ssh第一次连接的时候一般会提示输入yes 进行确认为将key字符串加入到  ~/.ssh/known_hosts 文件中。

方法1：

在进行ssh连接时，可以使用-o参数将StrictHostKeyChecking设置为no，使用ssh连接时避免首次连接时让输入yes/no部分的提示。通过查看ansible.cfg配置文件，发现如下行：

[ssh_connection]
# ssh arguments to use
# Leaving off ControlPersist will result in poor performance, so use
# paramiko on older platforms rather than removing it
#ssh_args = -o ControlMaster=auto -o ControlPersist=60s

　　

可以启用ssh_args 部分，使用下面的配置，避免上面出现的错误：

ssh_args = -o ControlMaster=auto -o ControlPersist=60s -o StrictHostKeyChecking＝no

方法2：

在ansible.cfg配置文件中，也会找到如下配置：

# uncomment this to disable SSH key host checking
host_key_checking = False  

默认host_key_checking部分是注释的，通过找开该行的注释，同样也可以实现跳过ssh 首次连接提示验证部分。但在实际测试中，似乎并没有效果，建议使用方法1.