Ansible简介安装

Ansible是一个综合的强大的管理工具,他可以对多台主机安装操作系统,并为这些主机安装不同的应用程序,也可以通知指挥这些主机完成不同的任务.查看多台主机的各种信息的状态等,ansible都可以通过模块的方式来完成。

Ansible特性

No agents：不需要再被管理节点上安装客户端，只要有sshd即可
No server：在服务端不需要启动任何服务，只需要执行命令就行
No additional PKI：由于不基于ssl，所以也不基于PKI工作
Modules in any language：基于模块工作，ansible拥有众多的模块
YAML：支持YAML语法
SSH by default：默认使用ssh控制各节点

Ansible的基本组件

ansible1

核心：ansible
核心模块（Core Modules）：这些都是ansible自带的模块
扩展模块（Custom Modules）：如果核心模块不足以完成某种功能，可以添加扩展模块
插件（Plugins）：完成模块功能的补充
剧本（Playbooks）：把需要完成的多个任务定义在剧本中
连接插件（Connectior Plugins）：ansible基于连接插件连接到各个主机上，虽然ansible是使用ssh连接到各个主机的，但是它还支持其他的连接方法，所以需要有连接插件
主机群（Host Inventory）：ansible在管理多台主机时，可以选择只对其中的一部分执行某些操作

Ansible工作机制

Ansible 在管理节点将 Ansible 模块通过 SSH 协议（或者 Kerberos、LDAP）推送到被管理端执行，执行完之后自动删除，可以使用 SVN 等来管理自定义模块及编排。

ansible2

Ansible的安装

Ansible的安装方式有很多种，常用的安装方法是基于yum或者源码，如果是基于yum安装，需要配置epel源，然后直接执行下面命令安装

yum -y install ansible

主机清单hosts

Ansible 通过读取默认的主机清单配置/etc/ansible/hosts,可以同时连接到多个远程主机上执行任务, 默认路径可以通过修改 ansible.cfg 的 hostfile 参数指定路径。

Hosts and Groups（主机与组）

对于/etc/ansible/hosts最简单的定义格式像下面：

简单的主机和组

# 中括号中的名字代表组名，可以根据自己的需求将庞大的主机分成具有标识的组，如上面分了两个组webservers和dbservers组；  
# 主机(hosts)部分可以使用域名、主机名、IP地址表示；当然使用前两者时，也需要主机能反解析到相应的IP地址，一般此类配置中多使用IP地址；
mail.yanruogu.com
[webservers]
web1.yanruogu.com
web2.yanruogu.com 
[dbservers]
db1.yanruogu.com
db2.yanruogu.com

端口与别名

如果某些主机的SSH运行在自定义的端口上，ansible使用Paramiko进行ssh连接时，不会使用你SSH配置文件中列出的端口，但是如果修改ansible使用openssh进行ssh连接时将会使用：

192.168.1.1:3091

假如你想要为某些静态IP设置一些别名，可以这样做：

# web1别名就指代了IP为192.168.1.2，ssh连接端口为3333的主机  
web1 ansible_ssh_port = 3333 ansible_ssh_host = 192.168.1.2

指定主机范围

 
  # 下面指定了从web1到web50，webservers组共计50台主机；databases组有db-a到db-f共6台主机
[webservers]
www[01:50].yanruogu.com
[databases]
db-[a:f].yanruogu.com 
 

使用主机变量

以下是Hosts部分中经常用到的变量部分：

 
  ansible_ssh_host     #用于指定被管理的主机的真实IP
ansible_ssh_port     #用于指定连接到被管理主机的ssh端口号，默认是22
ansible_ssh_user     #ssh连接时默认使用的用户名
ansible_ssh_pass     #ssh连接时的密码
ansible_sudo_pass     #使用sudo连接用户时的密码
ansible_sudo_exec     #如果sudo命令不在默认路径，需要指定sudo命令路径
ansible_ssh_private_key_file     #秘钥文件路径，秘钥文件如果不想使用ssh-agent管理时可以使用此选项
ansible_shell_type     #目标系统的shell的类型，默认sh
ansible_connection     #SSH 连接的类型： local , ssh , paramiko，在 ansible 1.2 之前默认是 paramiko ，后来智能选择，优先使用基于 ControlPersist 的 ssh （支持的前提）
ansible_python_interpreter     #用来指定python解释器的路径，默认为/usr/bin/python 同样可以指定ruby 、perl 的路径
ansible_*_interpreter     #其他解释器路径，用法与ansible_python_interpreter类似，这里"*"可以是ruby或才perl等其他语言 
 

下面是一个简单的示例：

 
  # 指定了三台主机，三台主机的用密码分别是P@ssw0rd、123456、45789，指定的ssh连接的用户名分别为root、breeze、bernie，ssh 端口分别为22、22、3055 ，这样在ansible命令执行的时候就不用再指令用户和密码等了
[test]
192.168.1.1 ansible_ssh_user=root ansible_ssh_pass='P@ssw0rd'
192.168.1.2 ansible_ssh_user=breeze ansible_ssh_pass='123456'
192.168.1.3 ansible_ssh_user=bernie ansible_ssh_port=3055 ansible_ssh_pass='456789' 
 

组内变量

变量也可以通过组名，应用到组内的所有成员：

 
  # test组中包含两台主机，通过对test组指定vars变更，相应的host1和host2相当于相应的指定了ntp_server和proxy变量参数值

[test]
host1
host2
[test:vars]
ntp_server=192.168.1.10
proxy=192.168.1.20 
 

组的包含与组内变量

下面是一个示例，指定了一个武汉组有web1、web2；随州组有web3、web4主机；又指定了一个湖北组，同时包含武汉和随州；同时为该组内的所有主机指定了2个vars变量。设定了一个组中国组，包含湖北、湖南。

[wuhan]
web1
web2
[suizhou]
web4
web3
[hubei:children]
wuhan
suizhou
[hubei:vars]
ntp_server=192.168.1.10
zabbix_server=192.168.1.10
[china:children]
hubei
hunan
注：vars变量在ansible ad-hoc部分中基本用不到，主要用在ansible-playbook中。

Patterns（主机与组正则匹配部分）

把Patterns 直接理解为正则实际是不完全准确的，正常的理解为patterns意味着在ansible中管理哪些主机，也可以理解为，要与哪台主机进行通信。在探讨这个问题之前我们先看下ansible的用法：

ansible <pattern_goes_here> -m <module_name> -a <arguments>

直接上一个示例：

 
  # 对webservers 组或主机重启httpd服务 ，其中webservers 就是Pattern部分
ansible webservers -m service -a "name=httpd state=restarted"

之所以上面说Pattern（模式）可以理解为正则，主要针对下面经常用到的用法而言的:

1. 表示所有的主机可以使用all 或 *

2. 通配符与逻辑或

利用通配符还可以指定一组具有规则特征的主机或主机名，冒号表示or－－－逻辑或：

 
  web1.yanruogu.com
web1.yanruogu.com:web2.yanruogu.com
192.168.1.1
192.168.1.* 
 

当然，这里的*通配符也可以用在前面，如：

 
  *.yanruogu.com
*.com    
webservers1[0]     #表示匹配 webservers1 组的第 1 个主机
webservers1[0:25]  #表示匹配 webservers1 组的第 1 个到第 25 个主机（官网文档是":"表示范围，测试发现应该使用"-",注意不要和匹配多个主机组混淆） 
 
ansible.cfg配置

常用配置

Ansible默认安装好后有一个配置文件/etc/ansible/ansible.cfg，该配置文件中定义了ansible的主机的默认配置部分，如默认是否需要输入密码、是否开启sudo认证、action_plugins插件的位置、hosts主机组的位置、是否开启log功能、默认端口、key文件位置等等。

具体如下：

[defaults]
# some basic default values...
hostfile       = /etc/ansible/hosts   \\指定默认hosts配置的位置
# library_path = /usr/share/my_modules/
remote_tmp     = $HOME/.ansible/tmp
pattern        = *
forks          = 5
poll_interval  = 15
sudo_user      = root  \\远程sudo用户
#ask_sudo_pass = True  \\每次执行ansible命令是否询问ssh密码
#ask_pass      = True  \\每次执行ansible命令时是否询问sudo密码
transport      = smart
remote_port    = 22
module_lang    = C
gathering = implicit
host_key_checking = False    \\关闭第一次使用ansible连接客户端是输入命令提示
log_path    = /var/log/ansible.log \\需要时可以自行添加。chown -R root:root ansible.log
system_warnings = False    \\关闭运行ansible时系统的提示信息，一般为提示升级
# set plugin path directories here, separate with colons
action_plugins     = /usr/share/ansible_plugins/action_plugins
callback_plugins   = /usr/share/ansible_plugins/callback_plugins
connection_plugins = /usr/share/ansible_plugins/connection_plugins
lookup_plugins     = /usr/share/ansible_plugins/lookup_plugins
vars_plugins       = /usr/share/ansible_plugins/vars_plugins
filter_plugins     = /usr/share/ansible_plugins/filter_plugins
fact_caching = memory
[accelerate]
accelerate_port = 5099
accelerate_timeout = 30
accelerate_connect_timeout = 5.0
# The daemon timeout is measured in minutes. This time is measured
# from the last activity to the accelerate daemon.
accelerate_daemon_timeout = 30

ssh报错处理

如果在对之前未连接的主机进行连结时报错如下：

ansible test -a 'uptime'

192.168.1.1| FAILED =>Using a SSH password instead of a key is not possible because HostKey checking is enabled and sshpass does not support this.Please add this host's fingerprint to your known_hosts file to manage this host.
192.168.1.2 | FAILED => Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host's fingerprint to your known_hosts file to manage this host.

是由于在本机的~/.ssh/known_hosts文件中并有fingerprint key串，ssh第一次连接的时候一般会提示输入yes 进行确认为将key字符串加入到~/.ssh/known_hosts文件中。

方法1：
在进行ssh连接时，可以使用-o参数将StrictHostKeyChecking设置为no，使用ssh连接时避免首次连接时让输入yes/no部分的提示。通过查看ansible.cfg配置文件，发现如下行：

[ssh_connection]
# ssh arguments to use
# Leaving off ControlPersist will result in poor performance, so use
# paramiko on older platforms rather than removing it
#ssh_args = -o ControlMaster=auto -o ControlPersist=60s

可以启用ssh_args 部分，使用下面的配置，避免上面出现的错误：

ssh_args = -o ControlMaster=auto -o ControlPersist=60s -o StrictHostKeyChecking=no

方法2：
在ansible.cfg配置文件中，也会找到如下配置：

# uncomment this to disable SSH key host checking
host_key_checking = False

默认host_key_checking部分是注释的，通过找开该行的注释，同样也可以实现跳过ssh 首次连接提示验证部分。但在实际测试中，似乎并没有效果

其他配置

默认ansible 执行的时候，并不会输出日志到文件，不过在ansible.cfg 配置文件中有如下行：

log_path = /var/log/ansible.log

默认log_path这行是注释的，打开该行的注释，所有的命令执行后，都会将日志输出到/var/log/ansible.log文件。

22222222