ansible是目前广泛使用的一款自动化运维工具,用于Linux服务器管理。我们的DevOps平台采用了Ansbile来进行持续发布,满足了大部分的项目组的发布需求。而对于Windows服务的CD,是不是也可以继续用Ansible呢,答案是肯定的。
Windows的持续发布,我了解到大概有tfs,psexec,powershell,ansible 等方案可以选择,
| 方案 | 说明 | 分析 |
|---|---|---|
| TFS | 现在改名叫 Azure DevOps,全家桶,功能强大。在目标服务器安装angent ,通过angent执行命令 | 如果技术栈在windows,并且要整套解决方案,TFS不二之选 |
| psexec | 微软的pstools集里的一个小工具,不需要agent,直接可以在目标服务器运行命令,同步返回执行结果 | 基于psexec的paexec,完美解决stdout丢失和字符集的问题。如果习惯bat,建议使用psexec |
| powershell | Invoke-command -computername *** -scriptblock{} 可以在目标服务器运行powershell脚本 | 所有脚本执行完才能输出结果,复杂脚本执行时完全懵逼。记得使用Ip地址还有点问题 |
| ansible | 使用powershell编写modul,通过winrm。熟悉powershell的话,无需使用modul,直接通过ansible在目标服务器运行 powershell也不错 | 和Linux的方案统一,要管理多种类型服务器,推荐使用 |
1. Ansibile管理window服务器关键技术
2. 安装Ansible控制服务器
控制服务器操作系统要Linux,我这里用的CentOS,可以yum安装ansbile,也可以pip安装。
yum install -y ansbile
# 或者 pip install ansible
安装完后测试一下ansible是否好用
ansible --version
ansible localhost -m ping
ansible控制windows服务器使用了winrm,需要在控制服务器安装pywinrm
pip install pywinrm
# Successfully installed ntlm-auth-1.4.0 pywinrm-0.4.1 requests-ntlm-1.1.0 xmltodict-0.12.0
控制器的软件都安装好了,还需要一个inventory文件,配置要控制的目标服务器时需要的一些信息。我这里使用了域账户devops,注意传输使用ntlm一定别漏了。
[win:vars]
ansible_user=VASHARE\devops
ansible_password=****
ansible_port=5985
ansible_connection=winrm
ansible_winrm_transport=ntlm
ansible_winrm_server_cert_validation=ignore
[win]
192.168.0.100
控制端的准备就完成了。主要的坑在使用AD域账户的话,一定要记得加 ntlm 那条配置项。
3. 安装Windows目标服务器
目标服务器要求:
- 操作系统 windows 7 和 windows server 2008 版本以上
- PowerShell 3.0 和 .NET 4.0
推荐直接使用windows server 2016。
第一步 安装winrm
ansible网站提供了安装脚本ConfigureRemotingForAnsible.ps1,下载到本地磁盘后,使用管理员运行该脚本。
PS C:\> d:
PS D:\> .\ConfigureRemotingForAnsible.ps1
检查winrm是否启动监听
winrm enumerate winrm/config/Listener
如果一切正常,应该会看到5985端口已经启动监听了
Listener
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.0.2.15, 127.0.0.1, 192.168.56.155, ::1, fe80::5efe:10.0.2.15%6, fe80::5efe:192.168.56.155%8, fe80::
ffff:ffff:fffe%2, fe80::203d:7d97:c2ed:ec78%3, fe80::e8ea:d765:2c69:7756%7
Listener
Address = *
Transport = HTTPS
Port = 5986
Hostname = SERVER2016
Enabled = true
URLPrefix = wsman
CertificateThumbprint = E6CDAA82EEAF2ECE8546E05DB7F3E01AA47D76CE
ListeningOn = 10.0.2.15, 127.0.0.1, 192.168.56.155, ::1, fe80::5efe:10.0.2.15%6, fe80::5efe:192.168.56.155%8, fe80::
ffff:ffff:fffe%2, fe80::203d:7d97:c2ed:ec78%3, fe80::e8ea:d765:2c69:7756%7
第二步 添加管理员
将控制服务器inventory文件里配置的域账户,加入本地管理员。
继续在powershell窗口运行命令
Add-LocalGroupMember -Group "Administrators" -Member "VASHARE\devops"
第三步 在inventory文件里添加Ip地址
在inventory文件的win组里,增加目标服务器的地址。win_ping一下看,能不能通。
ansible -i inventory win -m win_ping
不通的话,ping IP地址,telnet 端口看是不是防火墙给拦截了,window防火墙和企业的防火墙都检查一下。
4. 编写ansible playbook
ansible官方提供了很多windows模块,大部分都用win_为前缀,详细可以查看这个页面。https://docs.ansible.com/ansible/latest/modules/list_of_windows_modules.html
下面是个简单的示例:
vim winplaybook.yml
---
- hosts: win
gather_facts: no
tasks:
- name: Create directory structure
win_file:
path: C:\Temp\folder
state: directory
playbook编写完成,使用ansible-playbook程序运行该文件:
ansible-playbook -i inventory winplaybook.yml
5. 总结
使用ansible运维windows服务器,官方的模块已经很多,扩展性也不错,配合jenkins来使用的话,也算神器啦。