ansible 主要的意义在于可以

• 提高运维工作效率，降低成本
• 提高准确度

资料 Ansible中文权威指南

离线安装

wget https://github.com/ansible/ansible/archive/refs/tags/v2.16.5.tar.gz
tar -zxvf v2.16.5.tar.gz
cd ansible-v2.16.5
python setup.py install 

主要配置

• ansible.cfg : ansible执行需求的全局性、默认的配置文件
• hosts : 默认的主机资产清单文件

ansible.cfg

安装好ansible后会自动生成一个配置 /etc/ansible/ansible.cfg

按顺序寻找默认的配置文件：

• ANSIBLE_CONFIG
• ./ansible.cfg
• ~/ansible.cfg
• /etc/ansible/ansible.cfg

修改配置文件路径，可以此命令 export ANSIBLE_CONFIG=/root/test.cfg

可以通过version命令查看当前配置

╰─# ansible --version                                                                                                              ansible 2.9.27config file = /etc/ansible/ansible.cfg  # 默认配置文件路径configured module search path = [u'/root/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']ansible python module location = /usr/lib/python2.7/site-packages/ansibleexecutable location = /usr/bin/ansiblepython version = 2.7.5 (default, Nov 14 2023, 16:14:06) [GCC 4.8.5 20150623 (Red Hat 4.8.5-44)]

常用配置项含义

1）inventory 
该参数表示资源清单inventory文件的位置，资源清单就是一些Ansible需要连接管理的主机列表 
inventory = /root/ansible/hosts2）library 
Ansible的操作动作，无论是本地或远程，都使用一小段代码来执行，这小段代码称为模块，这个library参数就是指向存放Ansible模块的目录 
library = /usr/share/ansible3）forks 
设置默认情况下Ansible最多能有多少个进程同时工作，默认设置最多5个进程并行处理。具体需要设置多少个，可以根据控制主机的性能和被管理节点的数量来确定。 
forks = 54）sudo_user 
这是设置默认执行命令的用户，也可以在playbook中重新设置这个参数 
sudo_user = root
//注意:新版本已经作了修改，如ansible2.4.1下已经为：
default_sudo_user = root 5）remote_port 
这是指定连接被关节点的管理端口，默认是22，除非设置了特殊的SSH端口，不然这个参数一般是不需要修改的 
remote_port = 226）host_key_checking 
这是设置是否检查SSH主机的密钥。指纹校验报错，可以设置为False 
host_key_checking = False7）timeout 
这是设置SSH连接的超时间隔，单位是秒。 
timeout = 208）log_path 
Ansible系统默认是不记录日志的，如果想把Ansible系统的输出记录到日志文件中，需要设置log_path来指定一个存储Ansible日志的文件 
log_path = /var/log/ansible.log另外需要注意，执行Ansible的用户需要有写入日志的权限，模块将会调用被管节点的syslog来记录，口令是不会出现的日志中的9）private_key_file
在使用ssh公钥私钥登录系统时候，使用的密钥路径。
private_key_file=/path/to/file.pem

inventory 资产清单文件

默认资产文件路径在 /etc/ansible/hosts

官方文档

[group1]
test1 ansible_ssh_host=192.168.1.1 
192.168.1.2 ansible_ssh_port=22 ansible_password="123"

配置变量等方式

[web:vars]
ansible_port=22
ansible_password='1111'[web]
172.38.80.[211:214][backup]
172.38.80.211 ansible_port=22 ansible_password='1111'[group02:children]
web
backup

使用 ansible-vault 加密保护敏感变量

首先，您必须为ansible-vault本身创建一个密码。它被用作加密密钥，有了它，你可以在你的Ansible项目中加密几十个不同的密码。当你运行你的剧本时，你可以用一个密码（ansible-vault密码）访问所有这些秘密（加密值）。官网有一个简单的例子，可以参考。

创建一个文件，并将ansible-vault的密码写入其中：

echo "Your own password" > ~/my-ansible-vault-pw-file

生成加密后的密码

ansible-vault encrypt_string --vault-id my_user@~/my-ansible-vault-pw-file 'Your_SSH_password' --name 'ansible_password'

启动时指定密码文件

# ad-hoc
ansible all -i inventory.yml --vault-id root@~/my-ansible-vault-pw-file -m yum -a "name=docker-ce state=removed"# playbook
ansible-playbook -i inventory --vault-id my_user@~/my-ansible-vault-pw-file first_playbook.yml

命令模式 ad-hoc

命令语法

ansible <host-pattern> [option]

host-pattern例如

ansible all -m shell -a "hostname"
ansible '192.168.1.*' -a "ls /tmp"
ansible group1 -a "ls /tmp"
ansible test1 -a "ls /tmp"

option:

• -v, --verbose：输出更详细的执行过程信息，-vvv可得到所有执行过程信息。
• -i PATH, --inventory=PATH：指定inventory信息，默认/etc/ansible/hosts。
• -f NUM, --forks=NUM：并发线程数，默认5个线程。
• --private-key=PRIVATE_KEY_FILE：指定密钥文件。
• -m NAME, --module-name=NAME：指定执行使用的模块。
• -M DIRECTORY, --module-path=DIRECTORY：指定模块存放路径，默认/usr/share/ansible，也可以通过ANSIBLE_LIBRARY设定默认路径。
• -a 'ARGUMENTS', --args='ARGUMENTS'：模块参数。
• -k, --ask-pass SSH：认证密码。
• -K, --ask-sudo-pass sudo：用户的密码（—sudo时使用）。
• -o, --one-line：标准输出至一行。
• -s, --sudo：相当于Linux系统下的sudo命令。
• -t DIRECTORY, --tree=DIRECTORY：输出信息至DIRECTORY目录下，结果文件以远程主机名命名。
• -T SECONDS, --timeout=SECONDS：指定连接远程主机的最大超时，单位是：秒。
• -B NUM, --background=NUM：后台执行命令，超NUM秒后kill正在执行的任务。
• -P NUM, --poll=NUM：定期返回后台任务进度。
• -u USERNAME, --user=USERNAME：指定远程主机以USERNAME运行命令。
• -U SUDO_USERNAME, --sudo-user=SUDO_USERNAM：E使用sudo，相当于Linux下的sudo命令。
• -c CONNECTION, --connection=CONNECTION：指定连接方式，可用选项paramiko (SSH), ssh, local。Local方式常用于crontab 和 kickstarts。
• -l SUBSET, --limit=SUBSET：指定运行主机。
• -l ~REGEX, --limit=~REGEX：指定运行主机（正则）。
• --list-hosts：列出符合条件的主机列表，不执行任何其他命令

帮助命令

ansible-doc --help
ansible-doc -l
ansible-doc -s ping

ansible的状态，就是用如下颜色区分，可以看到不同的状态

• 绿色：命令以用户期望的执行了，但是状态没有发生改变；
• 黄色：命令以用户期望的执行了，并且状态发生了改变；
• 紫色：警告信息，说明ansible提示你有更合适的用法；
• 红色：命令错误，执行失败；
• 蓝色：详细的执行过程；

常用模块

参考：Ansible 学习总结（6）—— Ansible 19个常用模块使用示例

command 模块 默认模块

shell 模块 在目标上执行shell命令

ansible test_group -m shell -a "echo $HOSTNAME" -f 5

copy 模块 将文件复制到远程位置

# 拷贝本机/etc/hosts文件到目标机器的/tmp中
ansible all -m copy -a "src=/etc/hosts dest=/tmp" 

setup 模块 搜集系统信息

# 搜集主机的所有系统信息
ansible test_group -m setup # 过滤信息为ansible_distribution开头的信息
ansible all -m setup -a "filter=ansible_distribution*"# 收集网卡信息
ansible all -m setup -a 'filter=ansible_eth[0-2]'# 收集内存信息
ansible all -m setup -a "filter=ansible_*_mb"# 搜集系统信息并以主机名为文件名分别保存在 /tmp/facts 目录
ansible 192.168.31.39 -m setup --tree /tmp/facts

hhhh01 | SUCCESS => {"ansible_facts": {"ansible_distribution": "CentOS","ansible_distribution_file_parsed": true,"ansible_distribution_file_path": "/etc/redhat-release","ansible_distribution_file_variety": "RedHat","ansible_distribution_major_version": "7","ansible_distribution_release": "Core","ansible_distribution_version": "7.9","discovered_interpreter_python": "/usr/bin/python"},"changed": false
}
hhh02 | SUCCESS => {"ansible_facts": {"ansible_distribution": "CentOS","ansible_distribution_file_parsed": true,"ansible_distribution_file_path": "/etc/redhat-release","ansible_distribution_file_variety": "RedHat","ansible_distribution_major_version": "7","ansible_distribution_release": "Core","ansible_distribution_version": "7.9","discovered_interpreter_python": "/usr/bin/python"},"changed": false
}

yum 模块 管理软件包

ansible all -m yum -a "name=telnet state=present"

service 模块 服务管理

# 启动nginx服务
ansible all -m service -a "name=nginx state=started" 

git 模块 GIT模块

# 拉取最新代码 
ansible all -m git -a "repo=https://github.com/ansible/awx.git version=HEAD" 

user 模块 用户和组管理

# 添加用户 foo，指定密码，设置家目录，不允许远程登录
ansible all -m user -a "name=foo password=123456 home=/home/foo shell=/sbin/nologin"# ​彻底删除一个用户，包括家目录
ansible all -m user -a "name=foo remove=yes state=absent"

后台运行

ansible test -B 3500 -a "/usr/bin/running_operation --do-stuff"

内建模块官方文档

Ansible Collection针对POSIX和POSIX平台。

PlayBooks剧本

执行启动剧本命令

ansible-playbook playbook.yml [options]

option:

• -u REMOTE_USER, --user=REMOTE_USER ＃ ssh 连接的用户名
• -k, --ask-pass ＃ssh登录认证密码
• -s, --sudo ＃sudo 到root用户，相当于Linux系统下的sudo命令
• -U SUDO_USER, --sudo-user=SUDO_USER ＃sudo 到对应的用户
• -K, --ask-sudo-pass ＃用户的密码（—sudo时使用）
• -T TIMEOUT, --timeout=TIMEOUT ＃ ssh 连接超时，默认 10 秒
• -C, --check ＃ 指定该参数后，执行 playbook 文件不会真正去执行，而是模拟执行一遍，然后输出本次执行会对远程主机造成的修改
• -e EXTRA_VARS, --extra-vars=EXTRA_VARS ＃ 设置额外的变量如：key=value 形式 或者 YAML or JSON，以空格分隔变量，或用多个-e
• -f FORKS, --forks=FORKS ＃ 进程并发处理，默认 5
• -i INVENTORY, --inventory-file=INVENTORY ＃ 指定 hosts 文件路径，默认 default=/etc/ansible/hosts
• -l SUBSET, --limit=SUBSET ＃ 指定一个 pattern，对hosts匹配到的主机再过滤一次
• --list-hosts ＃ 只打印有哪些主机会执行这个 playbook 文件，不是实际执行该 playbook
• --list-tasks ＃ 列出该 playbook 中会被执行的 task
• --private-key=PRIVATE_KEY_FILE ＃ 私钥路径
• --step ＃ 同一时间只执行一个 task，每个 task 执行前都会提示确认一遍
• --syntax-check ＃ 只检测 playbook 文件语法是否有问题，不会执行该 playbook
• -t TAGS, --tags=TAGS ＃当 play 和 task 的 tag 为该参数指定的值时才执行，多个 tag 以逗号分隔
• --skip-tags=SKIP_TAGS ＃ 当 play 和 task 的 tag 不匹配该参数指定的值时，才执行
• -v, --verbose ＃输出更详细的执行过程信息，-vvv可得到所有执行过程信息。

剧本内部yaml语法

大小写敏感
用缩进表示层级关系，而且只能用空格不能用tab
以---作为文档开始

支持的数据结构

变量的引用：

myname: jeson
name: "{{ myname }}"

变量

变量定义

使用 --extra-vars 执行参数赋给变量

ansible-playbook ./xxx.yml --extra-vars "touch_file=jeson2"

在资产清单文件中定义变量

[test_group]
192.168.1.1 [test_group:vars]
touch_file=jeson3

yaml文件中定义变量赋值

--- 
- hosts: test1remote_user: rootvars:touch_file: jeson1tasks:- name: touch fileshell: "touch /tmp/{{ touch_file }} 

注册变量

register 关键字可以存储指定命令的输出结果到一个自定义的变量中

- name: get timecommand: dateregister: date_output
- name: echo date_outputshell: "echo {{date_output.stdout}} > /tmp/xxx"

全局变量文件

- hosts: web# 变量文件vars_files: ./var.ymltasks:- name: print vardebug:# 在变量开头时要加引号msg: '{{dir}} 变量file的内容是{{file}}'

• group_vars/
  • lb/vars.yml
  • web/vars.yml
  • data/vars.yml
  • all/vars.yml

变量优先级

1. command line values (for example, .u my_user, these are not variables)
2. role defaults (defined in role/defaults/main.yml)
3. inventory file or script group vars
4. inventory group_vars/all
5. playbook group_vars/all
6. inventory group_vars/*
7. playbook group_vars/*
8. inventory file or script host vars
9. inventory host_vars/*
10. playbook host_vars/*
11. host facts / cached set_facts
12. play vars
13. play vars_prompt
14. play vars_files
15. role vars (defined in role/vars/main.yml)
16. block vars (only for tasks in block)
17. task vars (only for the task)
18. include_vars
19. set_facts / registered vars
20. role (and include_role) params
21. include params
22. extra vars (for example, .e "user=my_user")(always win precedence)

facts变量

条件判断

---
- hosts: hhhh01remote_user: roottasks:- name: touch flag filecommand: "touch /tmp/this_is_{{ ansible_distribution }}_system_{{ ansible_distribution_major_version }}"when: (ansible_distribution == "CentOS") or (ansible_distribution == "Debian" and ansible_distribution_major_version == "7")

循环语句

loop 循环

with_ 循环

标准循环 with_items

# 添加多个用户- name: add several usersuser: name={{ item }} state=present groups=wheelwith_items:- testuser1- testuser2# 添加多个用户，并将用户加入不同的组内。- name: add several usersuser: name={{ item.name }} state=present groups={{ item.groups }}with_items:- { name: 'testuser1', groups: 'wheel' }- { name: 'testuser2', groups: 'root' }

锚点嵌套循环 with_nested

# 分别给用户授予3个数据库的所有权限- name: give users access to multiple databasesmysql_user: name={{ item[0] }} priv={{ item[1] }}.*:ALL append_privs=yes password=foowith_nested:- [ 'alice', 'bob' ]- [ 'clientdb', 'employeedb', 'providerdb' ]

锚点遍历字典 with_dict

# 输出用户的姓名和电话tasks:- name: Print phone recordsdebug: msg="User {{ item.key }} is {{ item.value.name }} ({{ item.value.telephone }})"with_dict: {'alice':{'name':'Alice Appleworth', 'telephone':'123-456-789'},'bob':{'name':'Bob Bananarama', 'telephone':'987-654-3210'} }

锚点并行遍历列表 with_together

# 如果列表数目不匹配，用None补全tasks:- debug: "msg={{ item.0 }} and {{ item.1 }}"with_together:- [ 'a', 'b', 'c', 'd','e' ]- [ 1, 2, 3, 4 ]

锚点遍历列表和索引 with_indexed_items

# item.0 为索引，item.1为值
- name: indexed loop demodebug: "msg='at array position {{ item.0 }} there is a value {{ item.1 }}'"with_indexed_items: [1,2,3,4]

锚点遍历文件列表的内容 with_file

---
- hosts: alltasks:- debug: "msg={{ item }}"with_file:- first_example_file- second_example_file

锚点遍历目录文件with_fileglob

with_fileglob匹配单个目录中的所有文件，非递归匹配模式。

拷贝所有文件到目标机器的/etc/fooapp/路径下。

---
- hosts: alltasks:- file: dest=/etc/fooapp state=directory- copy: src={{ item }} dest=/etc/fooapp/ owner=root mode=600with_fileglob:- /playbooks/files/fooapp/*

当在role中使用with_fileglob的相对路径时，Ansible解析相对于 roles/<rolename>/files 目录的路径。

组合示例

--- 
- hosts: test1remote_user: roottasks:- debug: msg="{{ item.key }} is the winner"with_dict: { 'jeson': { 'english': 60, 'chinese': 30}, 'tom': { 'english': 20, 'chinese': 30} }when: item.value.english >= 60 

其他示例请参考 ansible_playbook语法中的循环语句归纳

错误处理

ignore_errors: yes

--- 
- hosts: test1remote_user: roottasks:- name: ignore falsecommand: /bin/false# 忽略错误，继续执行touch的taskignore_errors: yes- name: touch a filefile: path=/tmp/test state=touch 

failed_when: [boolean]

--- 
- hosts: test1remote_user: roottasks:- name: get processshell: ps -ef | wc -l# 将变量注册到process_count变量中 register: process_count# 如果进程数小于3 则抛出异常，终止剧本failed_when: process_count < 3- name: touch a filefile: path=/tmp/test state=touch 

changed_when: false

--- 
- hosts: test1remote_user: roottasks:- name: touch a filefile: path=/tmp/test state=touch # 取消changed的状态显示changed_when: false

tags标签处理

tasks:
- name: Install the serversansible.builtin.yum:name:- httpd- memcachedstate: presenttags:- packages- webservers- name: Configure the serviceansible.builtin.template:src: templates/src.j2dest: /etc/foo.conftags:- configuration

# 只执行Install the servers任务
ansible-playbook test.yml -t packages
# 跳过Install the servers任务
ansible-playbook test.yml --skip-tags packages

剧本重用

roles角色

官方推荐

ansible官方网站的建议playbook剧本结构如下：

production          # 正式环境的inventory文件
staging             # 测试环境用得inventory文件
group_vars/         # 机器组的变量文件group1        group2
host_vars/          # 执行机器成员的变量hostname1     hostname2
================================================
site.yml            # 主要的playbook剧本
webservers.yml      # webserver类型服务所用的剧本
dbservers.yml       # 数据库类型的服务所用的剧本roles/webservers/           # webservers这个角色相关任务和自定义变量tasks/           # 存放任务所用main.ymlhandlers/        # 存放触发器main.ymlvars/            # 存放当前目录所用变量main.ymldbservers/            # dbservers这个角色相关任务和定义变量...common/               # 公共的tasks/           #   main.yml    # handlers/        #main.yml    # handlers file.vars/            # 角色所用到的变量main.yml    # 
===============================================templates/            # 模板文件目录ntp.conf.j2     # 模版文件files/                # 用于上传存放文件的目录bar.txt         # foo.sh          # meta/                 # 角色的依赖main.yml        # 

我们可以新建剧本项目到roles目录下，使用ansible-galaxy命令生成标准化目录模板

ansible-galaxy init module-name

设计思路

主机组独立，按照环境或机房分类

ansible-playbook -i ./production

将公共任务、资源、变量等对象尽可能独立

自动化项目

这里提供了一个可在Linux内网一键安装各种常用模块的项目。欢迎大家star

auto-install: 自动化安装Linux中常见功能模块