Ansible首次发布于2012年,是一款基于Python开发的自动化运维工具,核心是通过ssh将命令发送执行,它可以帮助管理员在多服务器上进行配置管理和部署。它的工作形式依托模块实现,自己没有批量部署的能力。真正具备批量部署的是ansible所运行的模块,ansible只是提供一种框架。
# 配置ssh免密授权完成机器互通,形式公私钥
# 服务器A上执行,假设B服务器的账户名、IP为userB、hostB
ssh-keygen -t rsa
ssh-copy-id userB@hostB
当前主机A的linux版本是ubuntu
apt-get install ansible
# 查看安装的版本
ansible --version
[servers] # 定义ansible组
ansible_node1 ansible_host=121.47.45.83 # 配置从机域名及地址,此处变量为主机变量
[servers:vars] # 组变量
ansible_ssh_user=zhangs # ansible servers组机器被ssh时使用的账户
ansible_ssh_pass=zhangs@123 # ansible servers组机器被ssh时使用的密码
# 非root账户,提升至root需sudo,下面的参数就是提升权限所用,单词become换成sudo是一样的效果,可能版本升级,兼容原版本形式
ansible_become_pass=zhangs@123
test_node 192.168.200.131 ansible_ssh_user=root ansible_ssh_pass='123456' # 配置域名+IP+user+pwd
# 定义组嵌套,可以实现组变量共享
[link:children]
servers
[link:vars] # 组变量
server_name=www.example.com
ping | yum | copy | fetch | file | template | user | group |
---|---|---|---|---|---|---|---|
service | raw | command | shell | script | cron | get_url | synchronize |
其它模块 | 附属属性 |
ansible all -m ping # 对主机清单内的所有主机进行ping测试
ansible ansible_node1 -m ping # 对主机ansible_node1进行ping测试
# 主机test_node安装pandas
ansible test_node -m yum -a 'name=pandas state=present' # 可以不加state参数,默认值present
# 卸载pandas包
ansible test_node -m yum -a 'name=pandas state=absent'
参数名 | 是否必须 | 默认值 | 选项值 | 参数说明 |
---|---|---|---|---|
conf_file | no | 设定远程yum执行时所依赖的yum配置文件 | ||
disable_gpg_check | no | no | yes/no | 在安装包前检查包,只会影响state参数为present或者latest的时候 |
list | no | 只能由ansible调用,不支持playbook | ||
name | yes | 安装的包名,也能如此使用name=python=2.7安装python2.7 | ||
state | no | present | present/latest/absent | 用于描述安装包最终状态,present/latest用于安装包,absent用于remove安装包 |
update_cache | no | no | yes/no | 用于安装包前执行更新list,只会影响state参数为present/latest的时候 |
# 拷贝字符至目的地
ansible ansible_node1 -m copy -a 'content="Hello World\n" dest=/home/zhangs/1.txt'
# 拷贝文件至目的地,并配置文件属性
ansible ansible_node1 -m copy -a 'src=monitor dest=/home/zhangs/monitor owner=root group=root mode=0644'
参数名 | 是否必须 | 默认值 | 选项 | 说明 |
---|---|---|---|---|
src | no | 用于定位ansible执行的机器上的文件,须要绝对路径。若是拷贝的是文件夹,那么文件夹会总体拷贝,若是结尾是”/”,那么只有文件夹内的东西被考过去。一切的感受很像rsync | ||
content | no | 用来替代src,用于将指定文件的内容,拷贝到远程文件内 | ||
dest | yes | 用于定位远程节点上的文件,须要绝对路径。若是src指向的是文件夹,这个参数也必须是指向文件夹 | ||
backup | no | no | yes/no | 备份远程节点上的原始文件,在拷贝以前。若是发生什么意外,原始文件还能使用 |
directory_mode | no | 这个参数只能用于拷贝文件夹时候,这个设定后,文件夹内新建的文件会被拷贝。而老旧的不会被拷贝 | ||
follow | no | no | yes/no | 当拷贝的文件夹内有link存在的时候,那么拷贝过去的也会有link |
force | no | yes | yes/no | 默认为yes,会覆盖远程的内容不同的文件(可能文件名同样)。若是是no,就不会拷贝文件,若是远程有这个文件 |
group | no | 设定一个群组拥有拷贝到远程节点的文件权限 | ||
mode | no | 等同于chmod,参数能够为“u+rwx or u=rw,g=r,o=r” | ||
owner | no | 设定一个用户拥有拷贝到远程节点的文件权限 |
# 拉取从机文件到本机
ansible ansible_node1 -m fetch -a "src=/home/zhangs/123/1.txt dest=/usr/src"
参数 | 必填 | 默认值 | 选项 | 说明 |
---|---|---|---|---|
dest | yes | 用来存放文件的目录,例如存放目录为backup,源文件名称为/etc/profile在主机pythonserver中,那么保存为/backup/pythonserver/etc/profile | ||
fail_on_missing | no | no | yes/no | 当源文件不存在的时候,标识为失败 |
flat | no | 是否允许覆盖默认行为从hostname/path到/file的,若是dest以/结尾,它将使用源文件的基础名称 | ||
src | yes | 在远程拉取的文件,而且必须是一个file,不能是目录 | ||
validate_checksum | no | yes | yes/no | 当文件fetch以后进行md5检查 |
# 创建指定目录文件并设定用户及用户组权限
ansible ansible_node1 -m file -a "path=/home/zhangs/2.txt owner=zhangs group=zhangs mode=0644"
# 建立软链接
ansible ansible_node1 -m file -a "src=/home/zhangs dest=/home/zhangs_link owner=zhangs state=link"
参数 | 必填 | 默认 | 选项 | 说明 |
---|---|---|---|---|
follow | no | no | yes/no | 这个标识说明这是系统连接文件,若是存在,应该遵循 |
force | no | no | yes/no | 强制建立连接在两种状况下:源文件不存在(过会会存在);目标存在可是是文件(建立连接文件替代) |
group | no | 文件所属用户组 | ||
mode | no | 文件所属权限 | ||
owner | no | 文件所属用户 | ||
path | yes | 要控制文件的路径 | ||
recurse | no | no | yes/no | 当文件为目录时,是否进行递归设置权限 |
src | no | 文件连接路径,只有状态为link的时候,才会设置,能够是绝对相对不存在的路径 | ||
state | no | file | file/directory/link/touch/absent | 若是是目录不存在,那么会建立目录;若是是文件不存在,那么会建立文件;若是是link,那么软连接会被建立或者修改;若是是absent,那么目录下的全部文件都会被删除,若是是touch,会建立不存在的目录和文件 |
ansible all -m template -a 'src=files/CentOS-Base.repo dest=/etc/yum.repos.d/CentOS-Base.repo owner=root group=root mode=0644'
# 创建账户
ansible ansible_node1 -m user -a 'name=lis uid=666 system=yes create_home=no shell=/sbin/nologin state=present'
# 查看账户
id lis
# 修改账户
ansible ansible_node1 -m user -a 'name=lis uid=888'
# 删除账户
ansible ansible_node1 -m user -a 'name=lis state=absent remove=yes'
参数名 | 是否必须 | 默认值 | 选项 | 参数说明 |
---|---|---|---|---|
home | 指定用户的家目录,须要与createhome配合使 | |||
groups | 指定用户的属组 | |||
uid | 指定用的uid | |||
password | 指定用户的密码 | |||
name | 指定用户名 | |||
createhome | 是否建立家目录 yes | |||
system | 是否为系统用户 | |||
remove | 当state=absent时,remove=yes则表示连同家目录一块儿删除,等价于userdel -r | |||
state | 是建立仍是删除 | |||
shell | 指定用户的shell环境 |
# 创建组
ansible ansible_node1 -m group -a 'name=testG gid=666 state=present'
# 查看组
grep testG /etc/group
# 删除组
ansible ansible_node1 -m group -a 'name=testG gid=666 state=absent'
# 启动nginx服务
ansible ansible_node1 -m service -a 'name=nginx state=started'
# 查看nginx服务状态
ansible ansible_node1 -m shell -a 'systemctl is-active nginx'
# 查看nginx服务是否开启自启
ansible ansible_node1 -m shell -a 'systemctl is-enabled nginx'
# 设置nginx服务开机自启动
ansible ansible_node1 -m service -a 'name=nginx enabled=yes state=restarted'
# 停止nginx服务
ansible ansible_node1 -m service -a 'name=nginx state=stopped'
参数名 | 是否必须 | 默认值 | 选项 | 参数说明 |
---|---|---|---|---|
enabled | no | yes/no | 启动os后启动对应service的选项。使用service模块的时候,enabled和state至少要有一个被定义 | |
name | yes | 须要进行操做的service名字 | ||
state | no | stared/stoped/restarted/reloaded | service最终操做后的状态 |
# 重定向写入数据
ansible ansible_node1 -m raw -a 'echo "hello world" > /home/zhangs/test.txt'
# 管道符应用
ansible ansible_node1 -m raw -a 'cat /home/zhangs/test.txt|grep -Eo hello'
# 匹配正则文件
ansible ansible_node1 -m raw -a 'ls -lrth /home/zhangs/te*'
# 查看从机host信息
ansible ansible_node1 -m raw -a 'hostname|tree'
# 查看日期
ansible ansible_node1 -m command -a 'date'
ansible ansible_node1 -a 'date' # 因默认故省略
# 关机
ansible ansible_node1 -a '/sbin/shutdown -t now'
# 创建文件
ansible ansible_node1 -a 'touch /home/zhangs/demo.txt warn=false'
# 执行sh脚本,目录/usr/src/file不存在执行,否则跳过
ansible ansible_node1 -a '/usr/bin/scp_file.sh ag1 ag2 creates=/usr/src/file'
# 查看目录
ansible ansible_node1 -a 'ls /home/zhangs'
ansible ansible_node1 -a 'tree /home/zhangs'
# 创建目录
ansible ansible_node1 -m shell -a "mkdir /home/zhangs/test"
ansible检测到语法使用某模块,而不是shell时,会报[WARNING], 可通过ansible.cfg中配置command_warnings=False或命令后面追加warn=false进行屏蔽
# 创建目录
ansible ansible_node1 -m shell -a "mkdir /home/zhangs/test1 warn=false"
# 查看nginx的进程信息
ansible ansible_node1 -m shell -a 'ps -ef|grep nginx'
# 输出到文件
ansible ansible_node1 -m shell -a 'echo "Hello World">>2.txt'
# 查看文件
ansible ansible_node1 -m shell -a 'cat /home/zhangs/2.txt'
# 执行shell脚本
ansible ansible_node1 -m shell -a '/bin/bash /scripts/test.sh'
# cd目录编译并安装
ansible ansible_node1 -m shell -a "./configure && make && make install" chdir=/xxx/yyy/
# 查看HOSTNAME内置变量值
ansible ansible_node1 -m shell -a 'echo ${HOSTNAME}'
# 执行主机sh脚本并将结果输出到从机文件
ansible ansible_node1 -m script -a "/home/zhuz/mk.sh & > /tmp/log"
# 查看从机结果
ansible ansible_node1 -m shell -a 'cat /tmp/log'
ansible ansible_node1 -m cron -a 'name="a job for reboot" special_time=reboot job="/some/job.sh"'
ansible ansible_node1 -m cron -a 'name="yum autoupdate" weekday="2" minute=0 hour=12 user="root
ansible ansible_node1 -m cron -a 'backup="True" name="test" minute="0" hour="5,2" job="ls -alh > /dev/null"'
ansilbe ansible_node1 -m cron -a 'cron_file=ansible_yum-autoupdate state=absent'
参数名 | 是否必须 | 默认值 | 选项 | 参数说明 |
---|---|---|---|---|
backup | 对远程主机上的原任务计划内容修改以前作备份 | |||
cron_file | 若是指定该选项,则用该文件替换远程主机上的cron.d目录下的用户的任务计划 | |||
day | 日(1-31,,/2,……) | |||
hour | 小时(0-23,,/2,……) | |||
minute | 分钟(0-59,,/2,……) | |||
month | 月(1-12,,/2,……) | |||
weekday | 周(0-7,*,……) | |||
job | 要执行的任务,依赖于state=present | |||
name | 该任务的描述 | |||
special_time | 指定何时执行,参数:reboot,yearly,annually,monthly,weekly,daily,hourly | |||
state | 确认该任务计划是建立仍是删除 | |||
user | 以哪一个用户的身份执行 |
# 从web拉取文件到从机
ansible ansible_node1 -m get_url -a 'url= http://10.1.1.11/favicon.ico dest=/home/zhangs'
参数名 | 是否必须 | 默认值 | 选项 | 参数说明 |
---|---|---|---|---|
sha256sum | 下载完成后进行sha256 check | |||
timeout | 下载超时时间,默认10s | |||
url | 下载的URL | |||
url_password、url_username | 主要用于须要用户名密码进行验证的状况 | |||
use_proxy | 是否使用代理,代理需事先在环境变动中定义 |
# 将主机file目录推送到从机的/home/zhangs目录下
ansible ansible_node1 -m synchronize -a 'src=file dest=/home/zhangs/ compress=yes' # --exclude=.Git忽略同步.git结尾的文件
#
参数名 | 是否必须 | 默认值 | 选项 | 参数说明 |
---|---|---|---|---|
archive | 归档,至关于同时开启recursive(递归)、links、perms、times、owner、group、-D选项都为yes ,默认该项为开启 | |||
checksum | 跳过检测sum值,默认关闭 | |||
compress | 是否开启压缩,默认开启 | |||
copy_links | 复制连接文件,默认为no ,注意后面还有一个links参数 | |||
delete | 同步后保持主从文件一致,以发送方的文件作为参考,默认no | |||
dest | 目录路径 | |||
dest_port | dest_port:默认目录主机上的端口 ,默认是22,走的ssh协议 | |||
dirs | 传速目录不进行递归,默认为no,即进行目录递归 | |||
rsync_opts | rsync参数部分 | |||
set_remote_user | 主要用于/etc/ansible/hosts中定义或默认使用的用户与rsync使用的用户不一样的状况 | |||
mode | push或pull 模块,push模式的话,通常用于从本机向远程主机上传文件,pull 模式用于从远程主机上取文件,默认push |
ansible test_node1 -m shell -a 'touch a.txt chdir=/root/test'
ansible test_node1 -m shell -a 'touch 1.txt chdir=/root/test creates=1.txt'
ansible test_node1 -m shell -a 'rm -f /root/test/1.txt removes=/root/test/1.txt'
如《第四章》不难看出,命令的执行时独立的,有没有将多个命令编排在一起的呢?
playbook可以定义为一些列任务的配置集合。也称为剧本,每一个playbook都包含一系列的任务,每个任务在Ansible中称为play。Playbook的写法采用缩排的方式呈现,结构通过缩进来表示,连续的项目通过减号 “-”来表示。一个name仅代表一个play,每个play下只能跟一个命令(如command),当存在多个命令时只会执行最后一个命令
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
tasks:
- name: touch myfile # 任务的名称,随意起
- file: path=/home/zhangs/demo.txt state=touch mode=0755 # 利用file模块实现创建文件
如果不用file文件去创建文件,还有别的方式吗?command,但那需要两次command命令才能实现相同的功能,如下
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
ansible-playbook -i inventory --syntax-check ansible_demo.yml
如果ansible配置文件位置,选择的是系统默认,那么inventory=/etc/ansible/hosts,否则填写自定义位置
ansible-playbook -i /etc/ansible/hosts ansible_demo.yml
①配置文件路径如果是默认,可不加参数-i
②如果想看过程输出,可以追加参数-verbose
③支持ansible从机正则匹配规则,如果从机数量过多,可用--list-host
来查询匹配到的主机汇总
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
- name: latest httpd version installed
become: yes # 安装包需要提权以便系统目录文件的写入,sudo升权密码已在Inventory标注
yum:
name: httpd
state: latest
# 自定义参数引用时,可以用关键字vars。在剧本级别中定义变量时,与hosts同级;在任务级别中定义,与tasks或command同级皆可
vars:
custom_item: custom_value # 引用形式双大括号为{{custom_item}},如在inventory文件中有过声明,可直接引用
# 自定义yml文件引用,可以用关键字include,与task同级
include: other.yml # 主要用于不同项目间的批量任务处理,每个项目都有自己专属的yaml文件
# with_item应用,引用形式为{{item}},实现多个包的安装,多变量信息读取执行,与command、file等模块同级
with_items:
-'docker-ce'
-'nginx'
-'git'
# cd目录执行及指定解释器,与command、file等模块同级
args:
chdir: /xxx/yyy
executable: /bin/bash
# 返回命令(shell、command等)执行的结果, 与command、file等模块同级
register: result
# 根据命令执行结果决定任务执行情况,与command、file等模块同级
when: result|success # 如果上面的result为success,则该任务执行
章节《5.1》中为playbook剧本任务的一种最常见形式task,下面我们需要了解另一种形式,也就是handler,有没有想到厨师这个职业,是的!就是炒菜,意味着只有买了原料之后才能炒菜,假设买每一种菜都当作一个任务,所有任务完成之后才能执行最终要做的炒菜任务。。。话不多说,为什么要有这么个东西?再举个简单例子"老师准备上课,但是她的课本进度适中,她考虑加快进度迎头赶上,进入教室例行学生的考验,哈哈,叫到了张三、李四、王五、赵六,回答的一塌糊涂,老师很生气,于是将课程加快这个想法放弃,发放试卷加深学生对课本知识的汲取,以防学生们考得太差。。真难啊,老师心想,走出了教室,不久下课铃响了。。。"在老师考校几个学生都分别当作一个任务,当所有任务失败后,讲课的任务被迫放弃,反言之,只有所有任务成功才能继续学习新内容
。我想你大概理解了这段话的意思!所有任务完成→→最终任务
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
notify: rm myfile # 任务完成执行handler任务
handlers:
- name: rm myfile
command: rm /home/zhangs/demo.txt
上面的例子只是执行了一个handler,有没有方法执行多个handler?这就需要一个另一个关键字listen,你可以将之理解成组名
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
notify: handler group # 任务完成执行handler任务组
handlers:
- name: rm myfile
listen: handler group
command: rm /home/zhangs/demo.txt
- name: create myfile again
listen: handler group
command: touch /home/zhangs/demo.txt
在playbook中,只要有task执行失败,则playbook终止,即使是与handler关联的task在失败的task之前运行成功了,handler也不会被执行,那么如何保证多任务执行时handler任务不会受其它任务影响?关键字force_handlers派上用场
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
force_handlers: yes # 保证任务成功执行的handler任务也可以被执行
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
notify: handler group # 任务完成执行handler任务组
- name: a task which fails because the package doesn't exist # 创建一个必定失败的项目验证任务间互不干扰
yum:
name: notapkg
state: latest
handlers:
- name: rm myfile
listen: handler group
command: rm /home/zhangs/demo.txt
- name: create myfile again
listen: handler group
command: touch /home/zhangs/demo.txt
##如果与handler关联的task还未执行,在其前的task已经失败,整个play终止,则handler未被触发,也不会执行。
在《5.7 Handler》介绍中,有得到剧本任务执行顺序:所有任务完成→→最终任务,那么有没有方式不等到所有任务完成就去执行最终任务?关键字meta可以实现
- name: Ansible Project Demo # 剧本名,我觉得叫项目名更合适,随意起
hosts: ansible_node1 # 被控端域名或IP,在inventory中需要声明
force_handlers: yes # 保证任务成功执行的handler任务也可以被执行
tasks:
- name: create myfile
command: touch /home/zhangs/demo.txt
- name: change the mod
command: chmod 755 /home/zhangs/demo.txt
notify: handler group # 任务完成执行handler任务组
- meta: flush_handlers # change the mod这个任务一经完成(无关所有任务完不完成),立即执行handler任务
- name: a task which fails because the package doesn't exist # 创建一个必定失败的项目验证任务间互不干扰
yum:
name: notapkg
state: latest
handlers:
- name: rm myfile
listen: handler group
command: rm /home/zhangs/demo.txt
- name: create myfile again
listen: handler group
command: touch /home/zhangs/demo.txt
需要什么取什么,可能不一定满足需要哈,仅供参考!!
- name: play to setup web server
hosts: all # 如果是主机,可以是localhost
tasks:
# 任务一:安装httpd包
- name: latest httpd version installed
yum:
name: httpd
state: latest
# 任务二:复制文件
- name: correct index.html is present
copy:
src: files/index.html
dest: /var/www/html/index.html
# 任务三: 开启httpd服务并配置开机自启
- name: start httpd service
service:
name: httpd
state: started
enabled: true
# 任务四: 文件内容替换
- name: 'change sshd_config'
lineinfile:
dest: /etc/ssh/sshd_config
regexp: "{{ item.regexp }}"
line: "{{ item.line }}"
state: present
with_items:
#- regexp: "^#PermitRootLogin yes"
# line: "PermitRootLogin no"
# Both methods have the same effect
- { regexp: "PermitRootLogin yes",line: "PermitRootLogin no" }
# 任务五: 安装Docker
- name: Install Docker
apt:
name: docker.io
state: present
# 任务六: 启动Docker服务并设置开机自启
- name: start docker service
systemd: centos7开启服务,添加到启动项
name: docker
state: started
enabled: true
# 任务七: 拉取nginx镜像
- name: Pull Docker image
docker_image:
name: nginx
state: present
# 任务八: 启动由nginx镜像生成的服务
- name: Run Docker container
docker_container:
name: mynginx
image: nginx
state: started
ports:
- "80:80"
volumes:
- "/var/www/html:/usr/share/nginx/html"
# 任务九: docker配置文件文件变更,触发docker服务重启
- name: provide docker-ce configfile
template:
src: daemon.json.j2 提供配置文件
dest: /etc/docker/daemon.json
notify: restart docker 配置文件修改了触发通知机制,提醒handler
# 任务十: 关停项目,清除遗留,开启项目
- name: project restart
become: yes
shell: /home/zhangs/miniconda3/envs/web_server/bin/supervisorctl -c server.conf stop all && lsof -i:4057|awk 'NR>1 {print $2}'|xargs -i kill {}|/home/zhangs/miniconda3/envs/web_server/bin/supervisorctl -c server.conf reload
args:
chdir:/home/zhangs/web_server
# 任务十一: 重启docker
- name: docker restart
command: docker-compose -f xxx.yaml restart