如何利用ansible批量管理成百上千台windows服务器?

1、背景

目前行业中很多企业使用Windows Server, 由于管理的规模的增长windows服务器已达到成百上千台，比如所有服务器修改一个简单配置，就要重复操作耗费很多时间和精力，为了减轻让运维人员管理压力，可以用ansible来实现批量运维管理windows服务器，特意研究winrm服务（windows server下PowerShell的远程管理服务）。

2、winrm服务配置过程

2.1 被管理对象的概况

由于目前Windows Server服务器版本为：Windows Server 2008R2、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。 据了解Windows Server 2008R2比较常用的版本。

2.2 配置winrm必须满足以下5个条件

由于Windows Server 2008R2版本PowerShell 版本为2.0，需升级PowerShell版本3.0以上，建议升级到PowerShell 4.0+（被管理端版本过低，造成与管理端ansbile版本兼容性很差）。Windows Server 2008R2 需要执行如下前4个步骤，而win2012r2，win2016，win2019系统原生开启winrm服务，只需执行第5步。

2.2.1 Management Framework版本需要3.0+ (微软的框架3.0以上)

• Framework4.0: http://go.microsoft.com/fwlink/?linkid=247962

• Framework4.5: http://go.microsoft.com/fwlink/?LinkId=255995 【推荐版本】

2.2.2 底层通信基于PowerShell，其中版本3.0+ {通过 Get-Host /$PSVersionTable命令查看powershell版本}。

• PowerShell 3.0 : http://download.microsoft.com/download/E/7/6/E76850B8-DA6E-4FF5-8CCE-A24FC513FD16/Windows6.1-KB2506143-x64.msu

• PowerShell 4.0 ：https://download.microsoft.com/download/3/D/6/3D61D262-8549-4769-A660-230B67E15B25/Windows6.1-KB2819745-x64-MultiPkg.msu 【推荐版本】

2.2.3 更改powershell策略为remotesigned。（注意以管理员身份运行）

• 查看策略命令：get-executionpolicy一般情况下默认为Restricted

• 更改命令： set-executionpolicy remotesigned

2.2.4 开启Windows远端管理服务（WS-Management，WinRM）（注意以管理员身份运行）

手工执行开启htttp
1、查看服务状态：winrm enumerate winrm /config/listener {先查看状态；如无返回信息，则是没有启动}
2、开启 winrm service步骤如下：
-基础配置: winrm quickconfig
-查看listener: winrm e winrm/config/listener
-配置auth:winrm set winrm/config/service/auth '@{Basic="true"}'
-配置加密方式为允许非加密:winrm set winrm/config/service '@{AllowUnencrypted="true"}'

脚本执行开启htttp/https 【推荐方式】

#下载开启服务脚本：
https://github.com/ansible/ansible/blob/devel/examples/scripts/ConfigureRemotingForAnsible.ps1
#比如放在C:/Temp下，然后用CMD命令，切换到对应的目录
>cd C:/Temp
# 开启WinRM服务
C:\Temp>powershell -ExecutionPolicy RemoteSigned .\ConfigureRemotingForAnsible.ps1 -SkipNetworkProfileCheck

2.2.5 管理端ansible安装winrm模块

使用ansible命令执行为如下结果，请按照pywinrm模块
ansible [IP] -m win_ping

[IP] | FAILED! => {  "msg": "winrm or requests is not installed: No module named xmltodict"  }

pywinrm模块下载地址
安装方法在这就不赘述了

注意事项

1.如果windows Server 2008R2 升级PowerShell版本之后涉及到需要重启。
2.操作系统防火墙或外部防火墙是否对服务器5985/5986端口放行。
3.建议采用5986 https加密的方式进行批量管理。

3、ansible批量管理

3.1 配置文件

----------------------------------hosts/inventory.ini配置文件--------------------------------
模式一：
[windows]
192.168.1.105 ansible_ssh_user="Administrator" ansible_ssh_pass="123456" ansible_ssh_port=5986 ansible_connection="winrm" ansible_winrm_server_cert_validation=ignore

模式二：
[testwin]
192.168.10.105 
192.168.10.106
[testwin:vars]
 ansible_user: Administrator
 ansible_password: Admin~123
 ansible_port: 5986
 ansible_connection: winrm
 ansible_winrm_transport: ntlm
 ansible_winrm_server_cert_validation: ignore

3.2 windows常用模块

win_acl (E) —设置文件/目录属主属组权限；
win_copy—拷贝文件到远程Windows主机；
win_file —创建，删除文件或目录；
win_lineinfile—匹配替换文件内容；
win_package (E) —安装/卸载本地或网络软件包；
win_ping —Windows系统下的ping模块，常用来测试主机是否存活；
win_service—管理Windows Services服务；
win_user —管理Windows本地用户。

 I、系统常规操作模块
【主机是否存活】 
 ansible testwin -m win_ping 
【获取window主机信息】
 ansible testwin -m setup
【重启操作系统】    
 ansible testwin -m  win_reboot
 ansible testwin -m  win_shell -a "shutdown -r -t 1"
【创建标准用户】
 ansible testwin -m win_user -a "name=test1 passwd=tes@123"
【创建管理员用户,并且能远程访问】
 ansible testwin -m win_user -a "name=test1 passwd=tes@123 group='Administrators,Remote Desktop Users'"
【修改用户密码】
 ansible windows -m win_user -a "name=Administrator update_password=always password="Admin~123""
【结束程序】
 ansible testwin -m raw -a "taskkill /F /IM QQ.exe /T"

 II、命令、脚本和服务操作模块
【获取身份】
 ansible windows -m win_command -a "whoami"
【获取windows网卡信息】
 ansible testwin -m win_command -a "ipconfig"
【启动redis脚本】
 ansible testwin -m win_command -a "chdir=C:\Redis server-start.bat "
【执行ps脚本】
 ansible testwin -m script -a "E://test.ps1"
【重启windows主机服务】
 ansible windowstest  -m win_service -a "name=nscp state=restarted" //重启监控客户端程序
 III、文件模块操作
【查看文件状态】
 ansible testwin -m win_stat -a "path='C://Windows/win.ini'"
【创建文件夹】
 ansible testwin -m win_file -a 'dest=c:\config_dir state=directory'
 ansible testwin -m raw -a "mkdir c:\config_dir"
【复制拷贝文件到windows】
 ansible testwin -m win_copy -a "src=/etc/passwd dest=E:filepasswd"
 ansible testwin -m win_copy -a 'src=/opt/telnet-0.17-64.el7.x86_64.rpm dest=E:\config_dir\'
【删除windows文件或目录】
 ansible testwin -m win_file -a "path=E:\\\config_dir\\\telnet-0.17-64.el7.x86_64.rpm state=absent"
 ansible testwin  -m win_file -a  "dest=D:\Tomcat8630\logs\ state=absent"
 
 ansible windows -m raw -a "cmd /c ’move /y E:\test E:\config_dir\"
 
【window上解压文件到指定目录下】
 ansible testwin -m win_unzip -a"creates=no src=D:\web.zip dest=D:\app\webapps"

本篇技术文章仅供参考

有更多技术干货请关注微信公众号 “壹周技艺”