Ansible-剧本与变量

对于运维小伙伴来讲,Ansible并不陌生,配置简单,上手容易,只要掌握几个基本的模块就可以解决好多运维中重复的事,但是对于处理更为高级的功能和更大、更复杂的项目时,管理和维护Ansible Playbook或高效使用将变得更加困难。

下面的的playbook是一个k8s安装环境初始化的剧本,其实现方式简单,是在k8s集群中所有节点都需要做的一些处理,实现如下功能

  • 配置firewallselinux,配置hosts
  • 关闭swap
  • 配置yum
  • 安装docker-ce,导入缺少的镜像,配置docker加速
  • 安装k8s相关包:kubelet、kubeadm、kubectl
  • 启动kubelet服务
- name: init k8shosts: alltasks:# 关闭防火墙- shell: firewall-cmd --set-default-zone=trusted# 关闭selinux- shell: getenforceregister: out- debug: msg="{{out}}"- shell: setenforce 0when: out.stdout != "Disabled"- replace:path: /etc/selinux/configregexp: "SELINUX=enforcing"replace: "SELINUX=disabled"- shell: cat /etc/selinux/configregister: out- debug: msg="{{out}}"- copy:src: ./hostsdest: /etc/hostsforce: yes# 关闭交换分区- shell: swapoff -a- shell: sed -i '/swap/d' /etc/fstab- shell: cat /etc/fstabregister: out- debug: msg="{{out}}"# 配置yum源- shell: tar -cvf /etc/yum.tar /etc/yum.repos.d/- shell: rm -rf /etc/yum.repos.d/*- shell: wget ftp://ftp.rhce.cc/k8s/* -P  /etc/yum.repos.d/# 安装docker-ce- yum:name: docker-cestate: present# 配置docker加速- shell: mkdir /etc/docker- copy:src: ./daemon.jsondest: /etc/docker/daemon.json- shell: systemctl daemon-reload- shell: systemctl restart docker# 配置属性,安装k8s相关包- copy:src: ./k8s.confdest: /etc/sysctl.d/k8s.conf- shell: yum install -y kubelet-1.21.1-0 kubeadm-1.21.1-0 kubectl-1.21.1-0 --disableexcludes=kubernetes# 缺少镜像导入- copy:src: ./coredns-1.21.tardest: /root/coredns-1.21.tar- shell: docker load -i /root/coredns-1.21.tar# 启动服务- shell: systemctl restart kubelet- shell: systemctl enable kubelet

如果搭建的集群节点很多,那么使用ansible要方便很多,但是上面的剧本没有使用角色,所有的操作都耦合在一起,所以看起来不是特别清晰,可读性差,而且一些可变的变量也没有抽离出来。复用性差,也没有考虑失败回滚的问题,大部分的操作是通过shell模块来完成的,尤其是对一些文件的操作,shell模块不满足幂等性。

高效的使用Ansible不仅仅在于功能或工具的使用,对于实践方法和项目组织更重要,对于剧本的编写规范,有以下三点:

  • 保持简单
  • 井然有序
  • 经常测试

保持简单

Ansible 的一大优势是简洁性。使用playbook保持简单,我们就能更加轻松地使用、修改和理解它们。

保持 Playbook 的可读性

  • 确保playbook有恰当注释且易于阅读。合理地使用垂直空白和注释。
  • 始终为play和任务提供有意义的名称,明确play或任务的用途。
  • 对于剧本编写文件格式,YAML 它非常适合表述⼀系列的字典和数组。
  • 对于难以在Ansible Playbook 中表述⼀些复杂的控制结构或条件,可以通过模板Jinja2过滤器巧妙地处理变量中的数据。
  • 使用原生 YAML 语法,而不是“折叠”的语法,以下示例不是推荐的格式:
- hosts: node1,node2tasks:- yum: name=httpd state=present- copy: content="RHCE Test" dest=/var/www/html/index.html force=yes- service: name=httpd state=restarted enabled=yes- service: name=firewalld state=restarted enabled=yes- firewalld: service=http state=enabled permanent=yes immediate=yes

使用现有的模块

  • 编写新playbook时,从基础playbook开始,并尽可能使用静态清单
  • 在构建设计时,将debug 模块用作测试或存根。
  • playbook按预期工作后,使用importincludeplaybook分成较小的逻辑组件。
  • 尽量使用Ansible中包含的特殊用途模块,而不是command、shell、raw这样的通用模块。使用为特定任务设计的模块可以轻松地使 Playbook 具有幂等性,且易于维护。

遵循标准样式

编写Ansible项目时,应考虑和同时遵循标准的样式:遵循统一的标准有助于提高可维护性和可读性。

  • 缩进多少个空格
  • 如何使用垂直空白
  • 如何命名任务剧本角色和变量
  • 应对什么进行注释
  • 如何注释

井然有序

Ansible项目的组织和Playbook的运行方式有助于维护、故障排除和审计

遵循变量命名约定

因为 Ansible 具有相对扁平的命令空间,所以变量名非常重要。应使用描述性变量且应阐明内容,如 apache_tls_port ,在角色中给最好能给角色变量添加前缀,如myapp_apache_tls_port 。

标准化项目结构

在文件系统上构建 Ansible 项目时,请使用统一的模式,推荐的示例:在这里插入图片描述

Playbook 结构的一大优势在于,可以将较⼤的playbook分成较小的⽂件,使其更易阅读,而较小的子playbook 可能会包含可以独立运行的、适合特定用途的 play

 

使用动态清单

动态清单支持从⼀个真实的中央来源集中管理主机和组,并确保清单自动更新。动态清单一般与云提供商、容器和虚拟机管理系统结合使用。

如果无法使用动态清单,则其它工具可以动态构建组或其他信息。group_by 模块根据事实动态生成组成员资格,该组成员资格对 playbook 的其余部分有效。

# Create nested groups
- group_by:key: el{{ ansible_distribution_major_version }}-{{ ansible_architecture }}parents:- el{{ ansible_distribution_major_version }}TASK [group_by] ****************************************************************************************************
task path: /root/ansible/group_by.yaml:5
[WARNING]: Invalid characters were found in group names but not replaced, use -vvvv to see details
changed: [192.168.26.82] => {"add_group": "el7-x86_64","changed": true,"parent_groups": ["el7"]
}
changed: [192.168.26.81] => {"add_group": "el7-x86_64","changed": true,"parent_groups": ["el7"]
}

充分利用组

主机可以是多个组的成员,可以按以下特征将主机划分不同的种类:

  • 地理位置
  • 环境
  • 站点或服务

将角色用于可重复使用的内容

  • 角色可以是 playbook 保持简单,能够通过重复利用项目间的通用代码来减少工作量。
  • 通过变量使角色成为可配置的通同角色,以便在将它们用于⼀组不同的playbook时无需对其进行编辑。
  • 使用ansible-galaxy init命令来初始化角色的目录结构。
  • RHEL 中的redhat-system-roles 软件提供的角色受到官方支持。
  • 也可以通过Ansible Galaxy 提供的角色,但是注意其质量和安全。
  • 将角色保存在项目的roles子目录中。

集中运行 Playbook

使用一个专用的控制节点来控制对系统的访问和审计 Ansible 活动,让所有的 Ansible Playbook 都从上面运行。

系统管理员仍应在系统上拥有自己的账户,以及用于连接受管主机的凭据,并在需要时可以进行权限提升。当系统管理员离职时,因从受管主机的authorized_keys文件中删除其 SSH 密钥,同时撤销其 sudo 权限。也可以考虑使用红帽 Ansible Tower 作为中央控制节点。

经常测试

在开发过程中、任务运行时以及Playbook投入使用后,应经常测试 Playbook 和 task

测试任务的结果

如果需要确认任务是否成功,请验证任务的结果,而不要信任模块的返回代码

- start web server service: name: httpd status: started
- name: Check web site from web server uri: ur1: http://{{ ansible_fqdn}}return_content: yes register: example_webpage failed_when: example_webpage. status !=200

使用 Block/Rescue 来恢复或回滚

block 指令可用于对任务进行分组,与 rescue 指令结合使用时,可帮助从错误和故障中恢复。

---
- name: block testhosts: node1tasks:- block:- debug: msg="vg myvg not found"   #提示卷组没找到- debug: msg="create vg myvg .. .."   #做其他操作(比如创建这个卷组...)when: ('myvg' not in ansible_lvm.vgs)   #当卷组myvg不存在时rescue:- debug: msg="creating failed .. .."     #block失败时提示创建卷组失败always:- shell: vgscan          #列出卷组信息register: list         #保存到名为list的变量- debug: msg={{list.stdout_lines}}     #提示卷组扫描结果

使用最新的 Ansible 版本开发 Playbook

即使不在⽣产中使用最新版本的 Ansible,也应该定期针对 Ansible 的最新版本测试 playbook。这将避免在Ansible 模块和功能不断演变时出现的问题。

如果 playbook 在运行时显示警告或弃用消息,应注意它们并做出相应的调整。通常,Ansible 中的某⼀功能已弃用或有变化,则该项目会在删除或更改功能之前提早四个小版本提供弃用通知。

使用测试工具

使用 ansible-playbook --syntax-check 命令进行语法检测

┌──[root@vms81.liruilongs.github.io]-[~/ansible]
└─$ansible-playbook group_by.yaml --syntax-checkplaybook: group_by.yaml
┌──[root@vms81.liruilongs.github.io]-[~/ansible]
└─$echo 22 >> group_by.yaml
┌──[root@vms81.liruilongs.github.io]-[~/ansible]
└─$ansible-playbook group_by.yaml --syntax-check
ERROR! We were unable to read either as JSON nor YAML, these are the errors we got from each:
JSON: No JSON object could be decodedSyntax Error while loading YAML.could not find expected ':'The error appears to be in '/root/ansible/group_by.yaml': line 11, column 1, but may
be elsewhere in the file depending on the exact syntax problem.The offending line appears to be:22
^ here

使用 ansible-playbook --check 命令,检查模式,针对check_mode中的实际受管主机运行 Playbook(不会改变主机状态),以查看Playbook执行的更改。此项检查不能保证完全准确性,因为 playbook 可能需要实际运行⼀些任务,playbook 中的后续任务才能正常运行。可能有⼀些标记有check_mode: no指令的任务。这些任务即使在检查模式中也会运行。

tasks:- name: This task will always make changes to the systemansible.builtin.command: /something/to/run --even-in-check-modecheck_mode: no- name: This task will never make changes to the systemansible.builtin.lineinfile:line: "important config"dest: /path/to/myconfig.confstate: presentcheck_mode: yesregister: changes_to_important_config

一个Demo

下面我们来看一个完整的Demo,这个Demo做的事很简单,但是剧本编写清晰,在三台机器部署一个web服务,其中一台机器用haproxy作为负载,剩下的两台机器提供web能力(安装http服务并部署APP),剧本中创建了四个角色,用于描述四种行为:

  • 安装配置负载均衡器
  • 安装配置web服务器
  • 部署服务到web服务器
  • LB、HTTP 服务的firewall配置

配置、清单、主剧本文件编写

编写一个ansible.cfg 配置文件,这个不多讲,指定主机清单文件位置和ssh用户,配置sudo 提权方式。

[defaults]
inventory=inventory
remote_user=devops[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

inventory 主机清单文件,定义两个分组,

  • 作为LB的机器为 servera
  • 提供web能力的机器为serverb和serverc
[lb_servers]
servera.lab.example.com[web_servers]
server[b:c].lab.example.com

site.yml为定义的实际执行的主剧本,这里通过,这里通过import_playbook模块来引入一个外部的调用角色的模块。一般情况下,当一个playbook很长很复杂,可以通过对剧本进行拆分。通过模块化的方式将多个playbook组合为一个完整的playbook,或者把文件中的任务列表插入到play中.

嗯,简单介绍下,ansible 可以使用两种方式实现剧本的模块化:

  • 包含内容:动态操作(include_task),在playbook运行期间,Ansible会在内容到达时处理包含的内容
  • 导入内容: 静态包含(import_task,import_playbook),在playbook运行之前,Ansible在最初解析的时候预处理导入的内容

和Java web体系中的Jsp脚本有些类似,通过include指令和include动作引入文件

我们可以看到,site.yml执行的三个剧本都是通过导入的方式。

- name: Deploy HAProxyimport_playbook: deploy_haproxy.yml- name: Deploy Web Serverimport_playbook: deploy_apache.yml- name: Deploy Web Appimport_playbook: deploy_webapp.yml

执行顺序为,创建LB、创建web Serve,部署 web app,这里把剧本行为抽象为角色,然后在deploy_*里面调用角色,实现了行为和剧本的解耦。

调用角色剧本编写

看一下导入的执行角色的剧本deploy_haproxy.yml

- name: Ensure HAProxy is deployedhosts: lb_serversforce_handlers: Trueroles:# The "haproxy" role has a dependency# on the "firewall" role. The# "firewall" role requires a# "firewall_rules" variable be defined.- role: haproxyfirewall_rules:# Allow 80/tcp connections- port: 80/tcp

通过剧本执行LB角色,并且定义·变量firewall_rules,声明开放的端口协议,这里有一个force_handlers,我们看一下,剧本中handlers用于任务处理(布雷),可以设置一个或一块任务,但是他不会主动执行,需要通过notify通知触发(引爆),还有一些需要注意的点:

  • 每个剧本中handlers任务只会执行一次,即使收到多个任务的触发通知
  • handlers组的每一个任务都要设置名称(name)
  • handlers的层次与tasks平级
  • 其他任务在必要时,使用notify语句通知handlers任务名
  • 仅当发起notify的任务的执行状态为changed时,handlers任务才会被执行

看一个Demo

---
- name: handlers testhosts: node5tasks:- lvol: lv=vo001 size=100M vg=search   #创建逻辑卷vo001notify: mkfs     #如果changed则通知格式化(否则无需格式化)handlers:- name: mkfs     #定义格式化操作处理filesystem: dev=/dev/search/vo001 fstype=xfs force=yes 
...

那么这里的force_handlers即强制执行的意思,当触发他的通知对应的任务执行失败,但是handlers任然会执行,

deploy_apache.yml

- name: Ensure Apache is deployedhosts: web_serversforce_handlers: Trueroles:# The "apache" role has a dependency# on the "firewall" role. The# "firewall" role requires a# "firewall_rules" variable be defined.- role: apachefirewall_rules:# Allow http requests from any# internal zone source.- zone: internalservice: http# Add servera, the load balancer,# to the internal zone.- zone: internalsource: "172.25.250.10"

deploy_webapp.yml

- name: Ensure Web App is deployedhosts: web_serversvars:- webapp_version: v1.0roles:- role: webapp

这里需要说明下,vars定义的变量属于剧本变量,而在roles下面的变量为角色变量

自定义角色编写

我们来看一下角色,一共有四个角色,其中三个在上面的deplay_*.yaml 文件中被调用,firewall角色apache和haproxy依赖调用

  • apache http web服务器部署
  • firewall 防火墙部署配置
  • haproxy LB部署配置
  • wen app 能力部署
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles]
└─$ls
apache  firewall  haproxy  webapp

关于角色这里我们简单的回顾下

ansible 中的role指的是,为了方便复杂任务(包含大批量任务操作、模板、变量等资源)的重复使用,降低playbook剧本编写难度,而预先定义好的一套目录结构。

针对每一个角色,ansible会到固定的目录去调取特定的数据,关于角色在剧本中的使用,可以看看上面 deplay_*.yaml

角色内一般不指定hosts: 清单主机列表,而是交给调用此角色的剧本来指定,当然测试除外,具体看下

haproxy 角色

haproxy 角色 在剧本中负责LB 相关行为,简单看一下目录结构

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles]
└─$cd haproxy/ #角色根目录
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$tree
.
├── defaults      #定义变量的缺省值,优先级较低
│   └── main.yml  
├── handlers      #定义handlers处理任务
│   └── main.yml  
├── meta          #定义作者、版本、兼容性、依赖项等描述信息
│   └── main.yml  
├── tasks         #任务入口,最主要的文件
│   └── main.yml  
├── templates     #存放模板文件
│   └── haproxy.cfg.j2  
└── tests  # 用于角色测试├── inventory└── test.yml6 directories, 7 files

当然,这里的角色目录并不是最全的,正常的角色中还会有vars目录用于定义变量,相对于defaults优先级更高,files目录存放一些静态文件,README.md文件用于描述自述信息,我们通过init命令生成一个角色看一下目录

┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles]
└─$ansible-galaxy init demo
- Role demo was created successfully
┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles]
└─$ls
demo
┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles]
└─$tree
.
└── demo├── defaults│   └── main.yml├── files├── handlers│   └── main.yml├── meta│   └── main.yml├── README.md├── tasks│   └── main.yml├── templates├── tests│   ├── inventory│   └── test.yml└── vars└── main.yml9 directories, 8 files
┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles]
└─$

嗯,回到我们的haproxy来看一下 defaults目录下的yaml文件用于定义一些缺省的变量。

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat defaults/main.yml
# Log-level for HAProxy logs
log_level: info# Port exposed to clients
port: 80# Name for the default backend
backend_name: app# Port backend is exposed to
backend_port: 80# The appservers variable is a list
# of backend servers that provide
# the web service that is proxied
# haproxy.  Each server must define:
# name, address, port. Below is
# and example structure:
# appservers:
#   - name: serverb.lab.example.com
#     ip_address: 1.2.3.4
#     port: 5000
#   - name: serverc.lab.example.com
#     ip_address: 1.2.3.5
#     port: 5000
# The default is no defined backend servers.
appservers: []# Socket used to communicate with haproxy service. DO NOT CHANGE
socket: /var/run/haproxy.sock

handlers这个目录用于定义需要处理被激活的任务。这里定义了两个任务,都用到了Service模块

  • 重新启动haproxy服务
  • 重新加载haproxy服务配置文件
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat handlers/main.yml
---
# handlers file for haproxy- name: restart haproxyservice:name: haproxystate: restarted- name: reload haproxyservice:name: haproxystate: reloaded

看下meth元数据,作者信息,版本,以及通过dependencies我们可以看到该角色依赖角色firewall

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat meta/main.yml
galaxy_info:author: Ophelia Dunhamdescription: A role to ensure deployment of HAProxycompany: Example, Inc.
。。。。license: license (GPLv2, CC-BY, etc)min_ansible_version: 2.4
。。。。galaxy_tags: []
。。
dependencies:- name: firewall

这里我们简单聊聊角色依赖,角色依赖可以在使用角色时自动拉入其他角色。Ansible 执行角色依赖项,则必须使用关键字dependenciesmate文件夹下的main.yaml中声明在指定角色之前插入的角色和参数列表,我们这里的参数是定义在deploy_*.yaml

「主任务剧本」

  • 通过yum模块下载负载均衡工具haproxy和反向代理工具socat
  • 通过Service模块启动haproxy,并设置开启自启
  • 通过template模块,利用jieja2 模板,替换配置文件,这里处理完要通知前面重载配置文件的handlers
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat tasks/main.yml
---
# tasks file for haproxy
- name: Ensure haproxy packages are presentyum:name:- haproxy- socatstate: present- name: Ensure haproxy is started and enabledservice:name: haproxystate: startedenabled: yes- name: Ensure haproxy configuration is settemplate:src: haproxy.cfg.j2dest: /etc/haproxy/haproxy.cfg#validate: haproxy -f %s -c -qnotify: reload haproxy

模板文件编写,这里用到了jieja2模板引擎,在一般的python web项目中用的比较多一点,这里简单的理解为变量替换。

haproxy.cfg.j2模板里用到了我们之前定义的大量变量,包括default目录的下main.yaml中定义的变量,以及appservers.yaml中的变量。

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat templates/haproxy.cfg.j2
#---------------------------------------------------------------------
# Global settings
#---------------------------------------------------------------------
global#Send events/messages to rsyslog server.log         127.0.0.1:514 local0 {{ log_level }}chroot      /var/lib/haproxypidfile     /var/run/haproxy.pidmaxconn     4000user        haproxygroup       haproxydaemon#state changes due to API calls are stored in this file.server-state-file /usr/local/haproxy/haproxy.state# turn on stats unix socket#  required for the ansible haproxy module.stats socket {{ socket }} level admin# utilize system-wide crypto-policiesssl-default-bind-ciphers PROFILE=SYSTEMssl-default-server-ciphers PROFILE=SYSTEM#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaultsmode                        httplog                         globaloption                      httplogoption                      dontlognulloption http-server-closeoption forwardfor           except 127.0.0.0/8option                      redispatchretries                     3timeout http-request        10stimeout queue               1mtimeout connect             10stimeout client              1mtimeout server              1mtimeout http-keep-alive     10stimeout check               10smaxconn                     3000#Loads state changes from the state file.load-server-state-from-file global#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend mainmode httpbind *:{{ port }}default_backend {{ backend_name }}#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend {{ backend_name }}balance roundrobin
{% for server in appservers %}server {{ server.name }} {{ server.ip }}:{{ backend_port }}
{% endfor %}

appservers 清单变量用于定义需要负载的机器域名和ip。这里为了角色的复用性,单独分离出来。

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices]
└─$cat appservers.ymlappservers:- name: serverb.lab.example.comip: "172.25.250.11"- name: serverc.lab.example.comip: "172.25.250.12"

剩下的就是测试相关的yaml文件,不多介绍,remote_user指定连接受管机的远程用户名

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat tests/inventory
localhost┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy]
└─$cat tests/test.yml
---
- hosts: localhostremote_user: rootroles:- haproxy

apache 角色

apache 角色用于提供http 服务,目录结构相对简单

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles]
└─$cd apache/
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/apache]
└─$tree
.
├── meta
│   └── main.yml
├── tasks
│   └── main.yml
└── tests├── inventory└── test.yml3 directories, 4 files
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/apache]
└─$

meta 文件夹我们这里不多介绍了,涉及防火墙操作,所以依赖firewall角色,看一下主任务剧本

  • yum模块安装 http相关包
  • seboolean模块用于设置selinux开机自启,允许httpd_can_network_connect 访问网络
  • service模块用于启动http服务
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/apache]
└─$cat tasks/main.yml
---
# tasks file for apache- name: Install httpyum:name:- httpd- php- git- php-mysqlndstate: present- name: Configure SELinux to allow httpd to connect to remote databaseseboolean:name: httpd_can_network_connect_dbstate: truepersistent: yes- name: http service stateservice:name: httpdstate: startedenabled: yes

webapp 角色

webapp角色用于部署web 项目到httpd服务,主要涉及缺省变量编写和主任务剧本。

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles]
└─$cd webapp/
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp]
└─$tree
.
├── defaults
│   └── main.yml
├── meta
│   └── main.yml
├── tasks
│   └── main.yml
└── tests├── inventory└── test.yml4 directories, 5 files
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp]
└─$

defaults目录下的清单变量只有一个webapp_message,meta目录下的元数据不多介绍

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp]
└─$cat defaults/main.yml
webapp_message: "This is"
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp]
└─$cat meta/main.yml

主任务剧本中,用了一个dufault目录下的缺省变量和一个ansible的魔法变量,一个使用角色时定义的剧本变量。通过copy模块向http服务的引导页写入一句话。

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp]
└─$cat tasks/main.yml
---
# tasks file for webapp#- name: Copy the code from the repository
#  git:
#    repo: "{{ webapp_repo }}"
#    version: "{{ webapp_version }}"
#    dest: /var/www/html/
#    accept_hostkey: yes
##    key_file: deployment key??- name: Copy a stub file.copy:content: "{{ webapp_message }} {{ ansible_hostname }}. (version {{ webapp_version}})\n"dest: /var/www/html/index.html

最后来看一下firewall角色

firewall 角色

firewall 角色并没有被显示的调用,那么它是如何被调用的?

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles]
└─$cd firewall/
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall]
└─$tree
.
├── defaults
│   └── main.yml
├── handlers
│   └── main.yml
├── meta
│   └── main.yml
├── tasks
│   └── main.yml
└── tests├── inventory└── test.yml5 directories, 6 files
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall]
└─$

这里就要讲到角色依赖,我们上面的haproxy角色apache角色都在meta/main.yaml 文件中依赖了firewall角色,所以haproxy角色apache角色在执行的时候要先执行firewall角色.

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall]
└─$cat defaults/main.yml
---
# defaults file for firewall# This role requires that firewall_rules variable
# be defined. The variable is a list of rules, and
# each rule defines:
#
#   service: (optional)
#   port:    (optional)
#   zone:    (optional)
#   source:  (optional)
#
# A rule should only define a service or a port.
# And example definition is:
#
# firewall_rules:
#   - service: http
#     zone: internal
#   - port: 8443
#     source: 192.168.0.2# By default, no rules are implemented.
firewall_rules: []

一个重载firewall 配置文件的任务

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall]
└─$cat handlers/main.yml
---
# handlers file for firewall- name: reload firewalldservice:name: firewalldstate: reloaded

主任务文件,编写防火墙配置,在配置完通知上面的handlers

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall]
└─$cat tasks/main.yml
---
# tasks file for firewall- name: Ensure Firewall Sources Configurationfirewalld:source: "{{ item.source if item.source is defined else omit }}"zone: "{{ item.zone if item.zone is defined else omit }}"permanent: yesstate: "{{ item.state | default('enabled') }}"service: "{{ item.service if item.service is defined else omit }}"immediate: trueport: "{{ item.port if item.port is defined else omit }}"loop: "{{ firewall_rules }}"notify: reload firewalld

对剧本的clean

当我们不需要这套环境了需要编写一个卸载当前环境的剧本clean.yml

- name: Clean Load Balancershosts: lb_serversgather_facts: notasks:- name: Remove packagesyum:name: haproxystate: absent- set_fact:firewall_rules:- port: 80/tcp- name: Clean Web Servershosts: web_serversgather_facts: notasks:- name: Remove packagesyum:name: httpdstate: absent- set_fact:firewall_rules:- zone: internalservice: http- zone: internalsource: 172.25.250.10- name: Clean Firewall ruleshosts: lb_servers, web_serverstasks:- name: Ensure Firewall Sources Configurationfirewalld:source: "{{ item.source if item.source is defined else omit }}"zone: "{{ item.zone if item.zone is defined else omit }}"permanent: yesstate: 'disabled'service: "{{ item.service if item.service is defined else omit }}"port: "{{ item.port if item.port is defined else omit }}"loop: "{{ firewall_rules }}"- name: reload firewalldservice:name: firewalldstate: reloaded- name: Remove web applicationhosts: web_serverstasks:- name: Remove stub filefile:state: absentpath: "/var/www/html/index.html"

下面是Demo完整的结构

┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices]
└─$ls
ansible.cfg     clean.yml          deploy_haproxy.yml  inventory  site.yml
appservers.yml  deploy_apache.yml  deploy_webapp.yml   roles
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices]
└─$

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/239360.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解决MPICH的GPU初始化失败:一次深入探索

今天来分享“MPICH:MPII_Init_thread(222): gpu_init failed”这个问题的解决方式 文章目录 前言问题原因解决方案 前言 如果在安装MPICH的时候没有注意要一些选项,那么当使用mpicxx mpi_send.cpp -o send && mpirun -n 2 ./send进行编译输出的…

C++ 之LeetCode刷题记录(十一)

😄😊😆😃😄😊😆😃 开始cpp刷题之旅。 向耗时0s前进。 67. 二进制求和 给你两个二进制字符串 a 和 b ,以二进制字符串的形式返回它们的和。 示例 1: 输入…

最新AI绘画Midjourney绘画提示词Prompt大全

一、Midjourney绘画工具 SparkAi创作系统是基于ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统,支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美,可以说SparkAi是目前国内一款的ChatGPT对接OpenAI软件系统。那么如何搭…

抖音SEO搜索排名优化培训教程课件

【干货资料持续更新,以防走丢】 抖音SEO搜索排名优化培训教程课件 部分资料预览 资料部分是网络整理,仅供学习参考。 抖音运营资料合集 (完整资料包含以下内容) 目录 抖音易爆单的商品特征 抖音作为一款短视频平台,…

基于杂交PSO算法的风光储微网日前优化调度(MATLAB实现)

微网中包含:风电、光伏、储能、微型燃气轮机,以最小化电网购电成本、光伏风机的维护成本、蓄电池充放电维护成本、燃气轮机运行成本及污染气体治理成本为目标,综合考虑:功率平衡约束、燃气轮机爬坡约束、电网交换功率约束、储能装…

C语言数组

文章目录 1:一维数组的创建和初始化1.1 创建方式1.2:一维数组的初始化1.3:一维数组的使用1.3.1:数组下标 1.4:一维数组在内存中的存储 2:二维数组的创建和初始化2.1:二维数组的创建2.2:二维数组的初始化2.3:二维数组的下标2.4:二维数组在内存中的存储 3:数组越界4:数…

request entity too large 解决请求实体过大问题的方法

在网络请求过程中,有时会出现请求实体过大而导致服务器无法处理的情况。本文将介绍两种情况及其解决办法,真实可用! 问题描述 请求实体过大问题主要分为两种情况: 1、带413状态码的请求实体过大 这种情况通常发生在请求文件过…

display布局实现一侧的盒子高度与另一侧盒子的高度等高

实现两边容器的高度等高主要是用 align-items: stretch 这个属性 stretch 拉伸: 子元素没有高度或高度为auto&#xff0c;将占满整个容器的高度 <template><div><h3>我是测试页面</h3><div class"container"><div class"left-…

09、Kafka ------ 通过修改保存时间来删除消息(retention.ms 配置)

目录 通过修改保存时间来删除消息★ 删除指定主题的消息演示1、修改kafka检查过期消息的时间间隔2、修改主题下消息的过期时间3、查看修改是否生效4、先查看下主题下有没有消息5、添加几条消息看效果6、查看消息是否被删除 ★ 恢复主题的retention.ms配置1、先查看没修改前的te…

常见半导体设备厂商介绍

半导体作为全球最重要的一个产业&#xff0c;每年为全球经济贡献数千亿美元产值。在整个产业链上&#xff0c;除我们耳熟能详的英特尔、AMD、高通、台积电等生产商外&#xff0c;还包括了众多著名的材料商和设备商。今天我们将对全球最为出色的半导体设备厂商进行一次盘点和介绍…

学习c语言,奇偶排序

如果左边是奇数右边是偶数就不管他&#xff0c;如果左边找到偶数右边是奇数则互相交换。

【大厂算法面试冲刺班】day0:数据范围反推时间复杂度

常见算法的时间复杂度 规定n是数组的长度/树或图的节点数 二分查找&#xff1a;O(logn) 双指针/滑动窗口&#xff1a;O(n) DFS/BFS&#xff1a;O(n) 构建前缀和&#xff1a;O(n) 查找前缀和&#xff1a;O(1) 一维动态规划&#xff1a;O(n) 二维动态规划&#xff1a;O(n^2) 回溯…

图像表示方法

RGB表示 RGB是使用三基色合成的原理&#xff0c;我们看到的彩色图片&#xff0c;都有三个通道&#xff0c;分别为红、绿、蓝通道&#xff0c;如果需要透明度则还有alpha分量. 通常每个通道用8bit表示&#xff0c;8bit能表示256种颜色&#xff0c;所以可以组成 256256256167772…

云服务器搭建GitLab

经验总结&#xff1a; 1、配置需求&#xff1a;云服务器内存最低4G 2、内存4G的云服务器&#xff0c;在运行容器后&#xff0c;会遇到云服务器操作卡顿问题&#xff0c;这里有解决方案 转载&#xff1a;服务器搭建Gitlab卡顿解决办法-CSDN博客 3、云服务器的操作系统会影响…

游戏开发,中小公司跳槽去大厂容易还是考研应届生校招容易?

游戏开发&#xff0c;中小公司跳槽去大厂容易还是考研应届生校招容易&#xff1f; 在之前的文章中&#xff0c;我们提到过&#xff0c;游戏开发行业首选直接进入游戏大厂。《开发者必读&#xff1a;如何选择适合的游戏开发公司&#xff1f;》因为大厂不仅能提供良好的职业发展…

#AIGC##LLM##RAG# RAG:专补LLMs短板_减少LLM幻觉并多模态/RAG 技术最新进展

RAG技术&#xff0c;即检索增强生成&#xff0c;标志着自然语言处理领域的重大进展。通过整合先前知识&#xff0c;它提升了大型语言模型的性能&#xff0c;广泛应用于多模态领域和垂直行业。本文深入探讨了RAG技术的演进历程、技术发展、LLMs问题及其解决方案&#xff0c;为读…

localStorage、sessionStorage、vuex区别和使用感悟

一、介绍及区别 localStorage的生命周期是永久&#xff1b;不手动在浏览器提供的UI上清除localStorage信息&#xff0c;否则这些信息将永远存在。 sessionStorage的生命周期为当前窗口或标签页&#xff0c;一旦窗口或标签页被永久关闭&#xff0c;那么所有通过sessionStorage存…

[软件工具]AI软件离线表格识别工具使用教程图像转excel转表格可复制文字表格导出实时截图识别成表格

【官方框架地址】 https://github.com/PaddlePaddle/PaddleOCR.git 【算法介绍】 PaddleOCR是一个基于PaddlePaddle框架的开源光学字符识别&#xff08;OCR&#xff09;工具库&#xff0c;由百度公司开发。它提供了一套完整的OCR解决方案&#xff0c;包括文字检测、文字识别以…

中间件框架知识进阶

概述 近期从不同渠道了解到了一些中间件相关的新的知识&#xff0c;记录一下收获。涉及到的中间件包括RPC调用、动态配置中心、MQ、缓存、数据库、限流等&#xff0c;通过对比加深理解&#xff0c;方便实际应用时候更明确如何进行设计和技术选型。 一、RPC框架中间件系列 1、…

JavaWeb后端——Maven

maven主要服务于基于Java平台的项目构建、依赖管理和项目信息管理 maven项目对象模型简称POM&#xff0c; maven解决问题&#xff1a; 1. 添加第三方jar包&#xff0c;maven将 jar 包放在本地仓库中统一管理&#xff0c;使用时用坐标的方式引用即可 2. 解决 jar 包之间的依…