背景

公司计划在年底做一次大型市场促销活动,全面冲刺下交易额,为明年的上市做准备。公司要求各业务组对年底大促做准备,运维部要求所有业务容量进行三倍的扩容,并搭建出多套环境可以共开发和测试人员做测试,运维老大为了在年底有所表现,要求运维部门同学尽快实现,当你接到这个任务时,有没有更快的解决方式?

技术说明

随着信息时代的持续发展,IT运维已经成为IT服务内涵中重要的组成部分。面对越来越复杂的业务,面对越来越多样化的用户需求,不断扩展的IT应用需要越来越合理的模式来保障IT服务能灵活便捷、安全稳定地持续保障,这种模式中的保障因素就是IT运维(其他因素是更加优越的IT架构等)。从初期的几台服务器发展到庞大的数据中心,单靠人工已经无法满足在技术、业务、管理等方面的要求,那么标准化、自动化、架构优化、过程优化等降低IT服务成本的因素越来越被人们所重视。其中,自动化最开始作为代替人工操作为出发点的诉求被广泛研究和应用。IT运维从诞生发展至今,自动化作为其重要属性之一已经不仅仅只是代替人工操作,更重要的是深层探知和全局分析,关注的是在当前条件下如何实现性能与服务最优化,同时保障投资收益最大化。自动化对IT运维的影响,已经不仅仅是人与设备之间的关系,已经发展到了面向客户服务驱动IT运维决策的层面,IT运维团队的构成,也从各级技术人员占大多数发展到业务人员甚至用户占大多数的局面。

因此,IT运维自动化是一组将静态的设备结构转化为根据IT服务需求动态弹性响应的策略,目的就是实现IT运维的质量,降低成本。可以说自动化运维一定是IT运维高层面的重要属性之一。

项目上线过程

企业级自动化运维工具应用实战-ansible-冯金伟博客园

场景说明

目前多数公司遇到的运维问题现状:

1、硬件选型多样化

2、系统多版本并存

3、目录结构混乱

4、运维人员水平参差不齐

5、历史遗留问题多

6、同一软件出现多个版本

7、无法批量化操作

8、工作效率低,故障率高

9、项目上线操作繁琐

 

理想状态下的运维部门:

1、只有少数类型的硬件,便于管理

2、系统版本统一

3、目录结构规范

4、运维工程师水平层次高

5、无历史包袱

6、同一软件只有单一版本

7、同一类操作可自动化批量执行

8、工作效率高,无大量重复机械化操作

9、开发自己上线,运维比较轻松

 

日常运维工作中的重要事件:

1、添加监控,收集系统指标

2、对日志进行归档以及管理

3、数据备份于恢复

4、对计划任务进行管理

5、对软件包进行部署和管理

6、对脚本进行批量执行

7、对文件进行批量复制和移动

8、设置文件或者目录对应的权限

9、关闭和启动服务

10、对代码程序进行上下线

 

技术说明

所谓的运维自动化实际上就是某些运维过程的自动化,比如初始化自动化、测试/部署自动化,加监控自动化,简单报警处理自动化,业务降级/恢复自动化….集腋成裘,慢慢的让系统可以承担更多的重复劳动,减少人力投入和学习成本。

 

自动化运维常用工具

 

工具

用途

安装系统

pxe/cobber

安装系统

虚拟化系统

kvm/xen/vmware

虚拟机

应用部署

puppet/ansible/saltstack

中大型规模

命令执行

ansible/fabric/func

中小型规模

ansible聚集以上部署和命令执行于一身,能够完整轻易的实现应用部署和批量命令功能,适用于主机数量中型规模,再大的用puppet。

作为运维工程师,对于命令执行的工具要掌握ansible,fabric,func或者shell其中的一种

 

ansible是什么

ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。

ansible是基于 paramiko 开发的,并且基于模块化工作,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。ansible不需要在远程主机上安装client/agents,因为它们是基于ssh来和远程主机通讯的。ansible目前已经已经被红帽官方收购,是自动化运维工具中大家认可度最高的,并且上手容易,学习简单。是每位运维工程师必须掌握的技能之一。

 

ansible特点

1、部署简单,只需在主控端部署Ansible环境,被控端无需做任何操作;

2、默认使用SSH协议对设备进行管理;

3、有大量常规运维操作模块,可实现日常绝大部分操作。

4、配置简单、功能强大、扩展性强;

5、支持API及自定义模块,可通过Python轻松扩展;

6、通过Playbooks来定制强大的配置、状态管理;

7、轻量级,无需在客户端安装agent,更新时,只需在操作机上进行一次更新即可;

8、提供一个功能强大、操作性强的Web管理界面和REST API接口——AWX平台。

 

ansible架构图

企业级自动化运维工具应用实战-ansible-冯金伟博客园

Ansible:Ansible核心程序。

HostInventory:记录由Ansible管理的主机信息,包括端口、密码、ip等。

Playbooks:“剧本”YAML格式文件,多个任务定义在一个文件中,定义主机需要调用哪些模块来完成的功能。

CoreModules:核心模块,主要操作是通过调用核心模块来完成管理任务。

CustomModules:自定义模块,完成核心模块无法完成的功能,支持多种语言。

ConnectionPlugins:连接插件,Ansible和Host通信使用

 

ansible任务执行

ansible任务执行模式

Ansible系统由控制主机对被管节点的操作方式可分为两类,即adhoc和playbook:

ad-hoc模式使用单个模块,支持批量执行单条命令。 ad-hoc 命令是一种可以快速输入的命令,而且不需要保存起来的命令。就相当于bash中的一句话shell。

playbook模式是Ansible主要管理方式,也是Ansible功能强大的关键所在。playbook通过多个task集合完成一类功能,如Web服务的安装部署、数据库服务器的批量备份等。可以简单地把playbook理解为通过组合多条ad-hoc操作作的配置文件。

 

ansible执行流程

企业级自动化运维工具应用实战-ansible-冯金伟博客园

简单理解就是Ansible在运行时,首先读取ansible.cfg中的配置,根据规则获取Inventory中的管理主机列表,并行的在这些主机中执行配置的任务,最后等待执行返回的结果。

 

Ansible命令执行过程

1、加载自己的配置文件 默认/etc/ansible/ansible.cfg

2、查找对应的主机配置文件,找到要执行的主机或者组

3、加载自己对应的模块文件,如command

4、通过ansible将模块或命令生成对应的临时py文件,并将该文件传输至远程服务器的

5、对应执行用户的家目录的.ansible/tmp/XXX/XXX.PY文件

6、给文件+x执行

7、执行并返回结果

8、删除临时py文件,sleep 0退出

 

ansible安装方式

ansible安装常用两种方式,yum安装和pip程序安装

1使用yum安装

yum install epel-release -y

yum install ansible –y

 

2 使用pip(python的包管理模块)安装

pip install ansible

如果没pip,需先安装pip.yum可直接安装:

yum install python-pip

pip install ansible

 

ansible程序结构

安装目录

配置文件目录:/etc/ansible/

执行文件目录:/usr/bin/

Lib库依赖目录:/usr/lib/pythonX.X/site-packages/ansible/

Help文档目录:/usr/share/doc/ansible-X.X.X/

Man文档目录:/usr/share/man/man1/

 

ansible配置文件的查找顺序

(1).检查环境变量ANSIBLE_CONFIG指向的路径文件(export ANSIBLE_CONFIG=/etc/ansible.cfg)

(2).~/.ansible.cfg,检查当前目录下的ansible.cfg配置文件

(3)./etc/ansible.cfg 检查etc目录的配置文件

 

Ansible配置文件

vim /etc/ansible/ansible.cfg

设置ansible.cfg配置参数,ansible有许多参数,下面列出常用的参数:

inventory: #这个参数表示资源清单inventory文件的位置,资源清单就是一些Ansible需要连接管理的主 机列表。这个参数的配置实例如下:

inventory = /etc/ansible/hosts

 

library:Ansible的操作动作,无论是本地或远程,都使用一小段代码来执行,这小段代码称为模块,这个library参数就是指向存放Ansible模块的目录。配置实例如下:

library = /usr/share/ansible

Ansible支持多个目录方式,只要用冒号(:)隔开就可以,同时也会检查当前执行playbook位置下的./library目录。

 

forks: 设置默认情况下Ansible最多能有多少个进程同时工作, 从Ansible 1.3开始,fork数量默认自动设置为主机数量或者潜在的主机数量,默认设置最多5个进程并行处理。具体需要设置多少个,可以根据控制主机的性能和被管节点的数量来确定,可能是 50或100。默认值5是非常保守的值,配置实例如下:

forks = 5

 

sudo_user:

这是设置默认执行命令的用户,也可以在playbook中重新设置这个参数。配置实例如下:

sudo_user = root

 

remote_port:

这是指定连接被管节点的管理端口,默认是22。除非设置了特殊的SSH端口,不然这个参数一般是不需要修改的(如果需要修改,则还需修改ssh的配置文件,更改端口)。

配置实例如下:

remote_port = 22

 

host_key_checking:

这是设置是否检查SSH主机的密钥。可以设置为True或False,关闭后第一次连接没有提示(就是第一次连接不在提示yes或者no)

配置实例:

host_key_checking = False

 

timeout:

这是设置SSH连接的超时间隔,单位是秒。配置实例如下:

timeout = 60

 

log_path:Ansible系统默认是不记录日志的,如果想把Ansible系统的输出记录到日志文件中,需要置log_path

来指定一个存储Ansible日志的文件。配置实例如下:

log_path = /var/log/ansible.log

另外需要注意,执行Ansible的用户需要有写入日志的权限,模块将会调用被管节点的syslog来记录

 

Ansible主机清单

编辑/etc/ansible/hosts:

#vim /etc/ansible/hosts定义方式:

1、直接指明主机地址或主机名:

## green.example.com#

# blue.example.com#

# 192.168.100.1

# 192.168.100.10

2、定义一个主机组[组名]把地址或主机名加进去

[mysql_test]

192.168.253.159

192.168.253.160

192.168.253.153

#组成员可以使用通配符来匹配,如下 192.168.2.[1:6] #表示匹配从192.168.2.1——192.168.2.6的主机

 

Ansible常用命令

Ansible命令集

/usr/bin/ansible # Ansibe AD-Hoc 临时命令执行工具,常用于临时命令的执行

/usr/bin/ansible-doc # Ansible 模块功能查看工具

/usr/bin/ansible-galaxy # 下载/上传优秀代码或Roles模块 的官网平台,基于网络的

/usr/bin/ansible-playbook # Ansible 定制自动化的任务集编排工具

/usr/bin/ansible-pull # Ansible远程执行命令的工具,拉取配置而非推送配置(使用较少,海量机器时使用,对运维的架构能力要求较高)

/usr/bin/ansible-vault # Ansible 文件加密工具

/usr/bin/ansible-console # Ansible基于Linux Consoble界面可与用户交互的命令执行工具

 

Ansible-doc命令

查看 ansible-doc 的使用说明:

一般用法:

ansible-doc -l 获取模块信息

ansible-doc -s MOD_NAME 获取指定模块的使用帮助

 

ansible-doc 选项:

-h –help 显示命令参数API文档

-l –list 列出可用的模块

-M MODULE_PATH, –module-path=MODULE_PATH 指定模块的路径

-s, –snippet 显示playbook制定模块的用法

–version 显示ansible-doc的版本号查看模块列表

 

Ansible命令详解

命令格式:

ansible <host-pattern> [-f forks] [-m module_name] [-a args]

host-pattern 主机组

-f forks 并发连接数

-m module_name 指定模块 执行模块的名字,默认使用 command 模块,所以如果是只执行单一命令可以不用 -m参数module name to execute (default=command)

-a args 指定模块参数

-k, –ask-pass登录密码,提示输入SSH密码而不是假设基于密钥的验证

–ask-su-pass su切换密码

-K, –ask-sudo-pass ask for sudo password 提示密码使用sudo,sudo表示提权操作

–ask-vault-pass ask for vault password

-B SECONDS, –background=SECONDS 后台运行超时时间

-C, –check don’t make any changes; instead, try to predict some of the changes that may occur

只是测试一下会改变什么内容,不会真正去执行;相反,试图预测一些可能发生的变化

-c CONNECTION, –connection=CONNECTION 连接类型使用。

-i INVENTORY, –inventory-file=INVENTORY 指定库存主机文件的路径,默认为/etc/ansible/hosts

-M MODULE_PATH, –module-path=MODULE_PATH 要执行的模块的路径,默认为/usr/share/ansible/

specify path(s) to module library (default=/usr/share/ansible/)

-o, –one-line condense output 压缩输出,摘要输出.尝试一切都在一行上输出。

-P POLL_INTERVAL, –poll=POLL_INTERVAL 调查背景工作每隔数秒。需要- b

set the poll interval if using -B (default=15)

-S, –su run operations with su 用 su 命令

-R SU_USER, –su-user=SU_USER 指定SU的用户,默认是root用户

run operations with su as this user (default=root)

-s, –sudo run operations with sudo (nopasswd)(使用sudo需要配置sudo的配置文件)

-U SUDO_USER, –sudo-user=SUDO_USER sudo到哪个用户,默认为 root

desired sudo user (default=root)

-T TIMEOUT, –timeout=TIMEOUT 指定SSH默认超时时间, 默认是10S

-t TREE, –tree=TREE log output to this directory 将日志内容保存在该输出目录,结果保存在一个文件中在每台主机上。

-u REMOTE_USER, –user=REMOTE_USER 远程用户, 默认是root用户 connect as this user (default=root)

–vault-password-file=VAULT_PASSWORD_FILE vault password file

-v, –verbose verbose mode (-vvv for more, -vvvv to enable 详细信息

–version show program’s version number and exit 输出ansible的版本

 

ansible all –lists-hosts 列出所有主机组里面主机

ansible web –lists-hosts 列出指定主机组里面的主机

 

Ansible配置公私钥

配置ansible使用公钥验证

虽然ansible支持其他主机认证方式,但是我们最常用的的还是基于秘钥的认证

1、首先生成秘钥

ssh-keygen -t rsa -P ”

2、然后向主机分发秘钥:

ssh-copy-id root@ #@后面跟主机名或者IP地址

例如:ssh-copy-id root@192.168.10.190

3.然后测试,使用ssh连接,不用密码就可登陆

4、如果出现以下情况:

# ssh-copy-id -i ~/.ssh/id_rsa.pub 10.1.6.72

-bash: ssh-copy-id: command not found请尝试:

yum -y install openssh-clientsansible

 

Ansible常用模块

我在/etc/ansible/hosts中配置了主机组,如图:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

1、主机连通性测试:

#ansible all -m ping执行效果如下:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

也可以ansible web -m ping

2、command:在远程主机执行命令;不支持|管道命令

ansible all|web -m command -a ‘ifconfig’

企业级自动化运维工具应用实战-ansible-冯金伟博客园

命令模块接受命令名称,后面是空格分隔的列表参数。给定的命令将在所有选定的节点上执行。它不会通过shell进行处理,比如$HOME和操作如”小于”<“,”>”, “|”, “;”,”&”‘ 工作(需要使用(shell)模块实现这些功能)。

action: command

chdir # 在执行命令之前,先切换到该目录

ansible web -a “chdir=/app ls”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

creates # 一个文件名,当这个文件存在,则该命令不执行,可以用来做判断

ansible web -a “creates=/app/111 chdir=/app ls” 因为192.168.10.187主机上存在/app/111所以跳过,不列出

企业级自动化运维工具应用实战-ansible-冯金伟博客园

executable # 切换shell来执行命令,需要使用命令的绝对路径

free_form # 要执行的Linux指令,一般使用Ansible的-a参数代替。

removes # 一个文件名,这个文件不存在,则该命令不执行,与creates相反的判断

企业级自动化运维工具应用实战-ansible-冯金伟博客园

因为192.168.10.190主机上没有/app/111,所以跳过,不列出

 

3、shell模块在远程主机上调用shell解释器运行命令,支持shell的各种功能,例如管道等

例如:ansible web -m shell -a ‘cat /etc/passwd|grep root’

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

4、copy:复制文件到远程主机,可以改权限等用法:

(1) 复制文件

-a “src= dest= “

例如:ansible web -m copy -a “src=/app/111 dest=/app/test.sh”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后在主机组中看看拷贝的文件

主机192.168.10.187

企业级自动化运维工具应用实战-ansible-冯金伟博客园

主机192.168.10.190

企业级自动化运维工具应用实战-ansible-冯金伟博客园

(2) 给定内容生成文件

-a “content= dest= “

例如:ansible web -m copy -a “content=’hello word’ dest=/app/test.ansible mode=666″源是给定的内容hello word,目标是/app/test.ansible,拷贝过去的文件权限为666

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后在主机组中看看拷贝的文件

企业级自动化运维工具应用实战-ansible-冯金伟博客园

另一个也是如此

 

相关选项如下:

backup:在覆盖之前,将源文件备份,备份文件包含时间信息。有两个选项:yes|no backup=yes备份

content:用于替代”src”,可以直接设定指定文件的值

dest:必选项。要将源文件复制到的远程主机的绝对路径,如果源文件是一个目录,那么该路径也必须是个目录

directory_mode:递归设定目录的权限,默认为系统默认权限

force:如果目标主机包含该文件,但内容不同,如果设置为yes,则强制覆盖,如果为no,则只有当目标主机的目标位置不存在该文件时,才复制。默认为yes

others:所有的file模块里的选项都可以在这里使用

src:被复制到远程主机的本地文件,可以是绝对路径,也可以是相对路径。如果路径是一个目录,它将递归复制。在这种情况下,如果路径使用”/”来结尾,则只复制目录里的内容,如果没有使用”/”来结尾,则包含目录在内的整个内容全部复制,类似于rsync。

 

5、file 设置文件属性:

创建目录:-a “path= state=directory”

创建链接文件:-a “path= src= state=link”

删除文件:-a “path= state=absent”

其他选项:

force:需要在两种情况下强制创建软链接,一种是源文件不存在,但之后会建立的情况下;另一种是目标软链接已存在,需要先取消之前的软链,然后创建新的软链,有两个选项:yes|no

group:定义文件/目录的属组 mode:定义文件/目录的权限

owner:定义文件/目录的属主 path:必选项,定义文件/目录的路径

recurse:递归设置文件的属性,只对目录有效 src:被链接的源文件路径,只应用于state=link的情况

dest:被链接到的路径,只应用于state=link的情况

state:

directory:如果目录不存在,就创建目录

file:即使文件不存在,也不会被创建

link:创建软链接

hard:创建硬链接

touch:如果文件不存在,则会创建一个新的文件,如果文件或目录已存在,则更新其最后修改时间

absent:删除目录、文件或者取消链接文件

 

例如:

ansible web -m file -a “path=/data/webapps state=directory” 创建目录

企业级自动化运维工具应用实战-ansible-冯金伟博客园

ansible web -m file -a “path=/data/webapps/111 state=touch”创建文件

企业级自动化运维工具应用实战-ansible-冯金伟博客园

ansible web -m file -a “path=/data/webapps/111.link src=/data/webapps/111 state=link” 创建软链接

或者ansible web -m file -a “dest=/data/webapps/111.link src=/data/webapps/111 state=link”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

ansible web -m file -a “path=/data/webapps state=absent”删除目录

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

6、fetch从远程某主机获取文件到本地:

dest:用来存放文件的目录,例如存放目录为backup,源文件名称为/etc/profile在主机pythonserver中,那么保存为/backup/pythonserver/etc/profile

Src:在远程拉取的文件,并且必须是一个file,不能是目录

例如:ansible web -m fetch -a “src=/app/111 dest=/root/test”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后在本机查看从远程主机获取的文件

企业级自动化运维工具应用实战-ansible-冯金伟博客园

已经用远程主机IP给你建好了目录结构,让你知道是从哪台主机拷过来的文件,非常贴心

 

7、cron 管理cron计划任务:

-a “”: 设置管理节点生成定时任务

action: cron backup= # 如果设置,创建一个crontab备份 【yes|no】

cron_file= #如果指定, 使用这个文件cron.d,而不是单个用户

 

crontab

day= #日应该运行的工作( 1-31, *, */2, )

hour= # 小时 ( 0-23, *, */2, )

minute= #分钟( 0-59, *, */2, )

month= # 月( 1-12, *, /2, )

weekday # 周 ( 0-6 for Sunday-Saturday,, )

job= #指明运行的命令是什么

name= #定时任务描述

reboot # 任务在重启时运行,不建议使用,建议使用special_time

special_time #特殊的时间范围,参数:reboot(重启时),annually(每年),monthly(每月),weekly

(每周),daily(每天),hourly(每小时)

state #指定状态,present表示添加定时任务,也是默认设置,absent表示删除定时任务

user # 以哪个用户的身份执行

例如:ansible web -m cron -a “name=’ntp update every 5′ minute=*/5 job=’/sbin/ntpdate 172.17.0.1 &> /dev/null'”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后再去查看一下,计划任务已经添加进去了

企业级自动化运维工具应用实战-ansible-冯金伟博客园

再添加计划任务,但是name注释不能和之前设置的name注释一样,否则将会覆盖之前的计划任务

删除已经设置的计划任务,指定状态state=absent

ansible web -m cron -a “name=’ntp update every 5′ minute=*/5 job=’/sbin/ntpdate 172.17.0.1 &> /dev/null’ state=absent”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

也可以用special_time来设置计划任务,例如:

ansible web -m cron -a “name=’ntp update every 5′ special_time=hourly job=’/sbin/ntpdate 172.17.0.1 &> /dev/null'”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

8、yum安装软件

conf_file #设定远程yum安装时所依赖的配置文件。如配置文件没有在默认的位置。

disable_gpg_check #是否禁止GPG checking,只用于`present’ or `latest’。

disablerepo #临时禁止使用yum库。 只用于安装或更新时。

enablerepo #临时使用的yum库。只用于安装或更新时。

name=#所安装的包的名称

state= #present安装, latest安装最新的, absent 卸载软件。

update_cache#强制更新yum的缓存。

例如:ansible web -m yum -a “name=vsftpd state=present disable_gpg_check=yes” 安装包

企业级自动化运维工具应用实战-ansible-冯金伟博客园

ansible web -m yum -a “name=vsftpd state=absent”卸载包

企业级自动化运维工具应用实战-ansible-冯金伟博客园

安装yum仓库里面没有的包

1.将一个rpm包从本机拷贝到远程主机的家目录中

ansible web -m copy -a “src=/root/mha4mysql-node-0.56-0.el6.noarch.rpm dest=/root”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

2.安装包,需要指定路径

ansible web -m yum -a “name=/root/mha4mysql-node-0.56-0.el6.noarch.rpm state=present disable_gpg_check=yes”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

3,卸载包,此时就不需要指定路径了,而且名字也改变了

ansible web -m yum -a “name=mha4mysql-node state=absent”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

9、service: 服务程序管理

arguments #命令行提供额外的参数

enabled #设置开机启动。

name=#服务名称

runlevel #开机启动的级别,一般不用指定。

sleep #在重启服务的过程中,是否等待。如在服务关闭以后等待2秒再启动。

state#started启动服务, stopped停止服务, restarted重启服务, reloaded重载配置启动nginx服务并设置范围自启动:

例如:nginx服务

1.先安装个nginx

ansible web -m yum -a “name=nginx state=present disable_gpg_check=yes”

2.开启nginx服务,并设置为开机自启

ansible web -m service -a “name=nginx state=started enabled=yes”

3.关闭nginx服务

ansible web -m service -a “name=nginx state=stopped”

 

10、user模块管理

用户模块,管理用户帐号action: user

comment # 用户的描述信息

createhome # 是否创建家目录

force # 在使用state=absent是, 行为与userdel –force一致.

group # 指定基本组

groups # 指定附加组,如果指定为(groups=)表示删除所有组

home # 指定用户家目录

move_home # 如果设置为home=时, 试图将用户主目录移动到指定的目录

name # 指定用户名

non_unique # 该选项允许改变非唯一的用户ID值(可以多个 用户共用一个ID)

password # 指定用户密码

remove # 在使用state=absent时, 行为是与userdel –remove一致

shell # 指定默认shell(例如:不让用户登录的shell是/sbin/nologin)

state # 设置帐号状态,不指定为创建,指定值为absent表示删除

system # 当创建一个用户,设置这个用户是系统用户。这个设置不能更改现有用户(centos6是0-500是系统用户,centos7 0-1000是系统用户)

uid # 指定用户的uid

update_password # 更新用户密码

例如:创建一个用户ansible web -m user -a “name=magedu01 password=magedu uid=10001 shell=/bin/sh” (注意:这里指定的密码在/etc/shadow里面是明文的,所以密码还需要通过openssl去加密一下)

企业级自动化运维工具应用实战-ansible-冯金伟博客园

查看一下,创建成功

企业级自动化运维工具应用实战-ansible-冯金伟博客园

删除用户ansible web -m user -a “name=magedu01 state=absent”

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

11、group

用户组模块,添加或删除组

action: group

gid # 设置组的GID号

name= # 管理组的名称

state # 指定组状态,默认为创建,设置值为absent为删除

system # 设置值为yes,表示为创建系统组

创建名为tom的组

ansible web -m group -a ‘name=tom state=present’

 

12、script在指定节点运行服务端的脚本

在本机家目录下写一个脚本,然后在两台远程主机上运行

vim /root/test.sh

#!/bin/bash

date >> /app/disk_total.log

df -lh >> /app/disk_total.log

ansible web -m script -a ‘/root/test.sh’

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后去查看

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

13、setup模块

facts组件是Ansible用于采集被管机器设备信息的一个功能,我们可以使用setup模块查机器的所有facts信息,可以使用filter来查看指定信息。整个facts信息被包装在一个JSON格式的数据结构中,ansible_facts是最上层的值

facts就是变量,内建变量 。每个主机的各种信息,cpu颗数、内存大小等。会存在facts中的某个变量中。调用后返回很多对应主机的信息,在后面的操作中可以根据不同的信息来做不同的操作。如redhat系列用yum安装,而debian系列用apt来安装软件。

 

setup模块,主要用于获取主机信息,在playbooks里经常会用到的一个参数gather_facts就与该模块相关。setup模块下经常使用的一个参数是filter参数,具体使用示例如下(由于输出结果较多,这里只列命令不写结果):

absible web -m setup 获取所有的主机信息

ansible web -m setup -a ‘filter=ansible_*_mb’ //查看主机内存信息

企业级自动化运维工具应用实战-ansible-冯金伟博客园

ansible web -m setup -a ‘filter=ansible_eth[0-2]’ //查看地接口为eth0-2的网卡信息

 

ansible all -m setup –tree /tmp/facts //将所有主机的信息输入到/tmp/facts目录下,每台主机的信息输入到主机名文件中(/etc/ansible/hosts里的主机名)

在本机中查看

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

Ansible playbook简介

playbook是ansible用于配置,部署,和管理被控节点的剧本。

通过playbook的详细描述,执行其中的一系列tasks,可以让远端主机达到预期的状态。playbook就像Ansible控制器给被控节点列出的的一系列to-do-list,而被控节点必须要完成。

也可以这么理解,playbook 字面意思,即剧本,现实中由演员按照剧本表演,在Ansible中,这次由计算机进行表演,由计算机安装,部署应用,提供对外服务,以及组织计算机处理各种各样的事情。

 

Ansible playbook使用场景

(1)执行一些简单的任务,使用ad-hoc命令可以方便的解决问题,但是有时一个设施过于复杂,需要大量的操作时候,执行的ad-hoc命令是不适合的,这时最好使用playbook。

(2)就像执行shell命令与写shell脚本一样,也可以理解为批处理任务,不过playbook有自己的语法格式。

(3)使用playbook你可以方便的重用这些代码,可以移植到不同的机器上面,像函数一样,最大化的利用代码。在你使用Ansible的过程中,你也会发现,你所处理的大部分操作都是编写playbook。可以把常见的应用都编写成playbook,之后管理服务器会变得十分简单。

 

Ansible playbook格式

playbook由YMAL语言编写。YAML( /ˈjæməl/ )参考了其他多种语言,包括:XML、C语言、Python、Perl以及电子邮件格式RFC2822,Clark Evans在2001年5月在首次发表了这种语言,另外Ingy döt Net与Oren Ben-Kiki也是这语言的共同设计者。

YMAL格式是类似于JSON的文件格式,便于人理解和阅读,同时便于书写。首先学习了解一下YMAL的格式,对我们后面书写playbook很有帮助。以下为playbook常用到的YMAL格式。

 

文件的第一行应该以 “—” (三个连字符)开始,表明YMAL文件的开始。

在同一行中,#之后的内容表示注释,类似于shell,python和ruby。

YMAL中的列表元素以”-“开头然后紧跟着一个空格,后面为元素内容。就像这样

– apple – banana – orange等价于JSON的这种格式

 

[ “apple”, “banana”, “orange” ]

同一个列表中的元素应该保持相同的缩进。否则会被当做错误处理。

 

play中hosts,variables,roles,tasks等对象的表示方法都是键值中间以”:”分隔表示,”:”后面还要增加一

个空格。

例如:vim /etc/ansible/mysql.yml

企业级自动化运维工具应用实战-ansible-冯金伟博客园

在mysql.yml中,主要由三个部分组成。

hosts部分:使用hosts指示使用哪个主机或主机组来运行下面的tasks,每个playbook都必须指定hosts,hosts也可以使用通配符格式。主机或主机组在inventory清单中指定,可以使用系统默认的

/etc/ansible/hosts,也可以自己编辑,在运行的时候加上-i选项,指定清单的位置即可。在运行清单文件的时候,–list-hosts选项会显示那些主机将会参与执行task的过程中

remote_user:指定远端主机中的哪个用户来登录远端系统,在远端系统执行task的用户,可以任意指定,也可以使用sudo,但是用户必须要有执行相应task的权限。

tasks:指定远端主机将要执行的一系列动作。tasks的核心为ansible的模块,前面已经提到模块的用法。tasks包含name和要执行的模块,name是可选的,只是为了便于用户阅读,不过还是建议加上去,模块是必须的,同时也要给予模块相应的参数。

 

使用ansible-playbook运行playbook文件,得到如下输出信息,输出内容为JSON格式。并且由不同颜色组成,便于识别。一般而言

绿色代表执行成功,系统保持原样

黄色代表系统代表系统状态发生改变

红色代表执行失败,显示错误输出。

执行有三个步骤:1、收集facts 2、执行tasks 3、报告结果

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

Playbook的核心元素:

Hosts:主机

Tasks:任务列表

Variables

Templates:包含了模板语法的文本文件;

Handlers:由特定条件触发的任务;

 

Playbooks配置文件的基础组件:

Hosts:运行指定任务的目标主机;

remoute_user: 在远程主机上执行任务的用户;

sudo_user:

tasks:任务列表

模块,模块参数;

格式:

(1) action: module arguments

(2) module: arguments

注意:shell和command模块后面直接跟命令,而非key=value类的参数列表;

(1) 某任务的状态在运行后为changed时,可通过“notify”通知给相应的handlers

(2) 任务可以通过”tags”打标签,而后可在ansible-playbook命令上使用-t指定进行调用

handlers:

任务,在特定条件下触发;

接收到其它任务的通知时被触发;

tasks:

– name: TASK_NAME

module: arguments

notify: HANDLER_NAME

handlers:

– name: HANDLER_NAME

module: arguments

小实验:

先做一个简单的剧本,安装个samba,然后再开启服务,剧本内容如图:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后再去让web中的远程主机执行剧本

企业级自动化运维工具应用实战-ansible-冯金伟博客园

但是现在我只想开启服务,不想再次安装samba(因为已经安装过了),此时就可以给启动服务打个标签,这样执行剧本就只开启服务了

更改剧本,打个标签,如图:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

先停掉smb服务

ansible web -m service -a “name=smb state=stopped”

然后再去执行剧本,使用-t调用我们刚才打的标签,如图:没有再去安装samba,只启动服务

企业级自动化运维工具应用实战-ansible-冯金伟博客园

现在有一个需求,当nginx的配置文件发生变化时,就restarted,剧本如下图所示:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后执行剧本

ansible-playbook nginx.yml

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后查看端口号

企业级自动化运维工具应用实战-ansible-冯金伟博客园

现在改变nginx的配置文件,也就是修改/app/nginx.conf,然后就可以触发handlers

我就修改一个端口,将nginx监听的端口改为8888

然后再次执行剧本,-t调用打的标签

企业级自动化运维工具应用实战-ansible-冯金伟博客园

然后再来查看端口

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

variables:

(1) facts:可直接调用;

注意:可使用setup模块直接获取目标主机的facters;ansible web -m setup 来获取主机的信息,里面有各种变量

{{ ansible_eth0[‘ipv4’][‘address’] }} centos6的IP地址变量

{{ ansible_ens33[‘ipv4’][‘address’] }} centos7的IP地址变量

(2) 用户自定义变量:

(a) ansible-playbook命令的命令行中的

-e VARS, –extra-vars=VARS 也就是在命令中指定变量是什么

ansible-playbook nginx.yml -e rpmname=vsftpd

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

企业级自动化运维工具应用实战-ansible-冯金伟博客园

(b) 在playbook中定义变量的方法:

如图:

企业级自动化运维工具应用实战-ansible-冯金伟博客园

再去改一下/app/nginx.conf,再改变一个端口如:9999

然后执行剧本

企业级自动化运维工具应用实战-ansible-冯金伟博客园

(3) 通过roles传递变量;

(4) Host Inventory

(a) 用户自定义变量

(i) 向不同的主机传递不同的变量;

IP/HOSTNAME varaiable=value var2=value2

(ii) 向组中的主机传递相同的变量;

[groupname:vars]

variable=value

 

[web]

172.17.251.188

172.17.250.209

[web:vars]

rpmname=samba

 

运行playbook的方式:

(1) 测试

ansible-playbook –check 只检测可能会发生的改变,但不真正执行操作;

ansible-playbook –list-hosts 列出运行任务的主机;

(2) 直接运行

 

模板:templates

文本文件,嵌套有脚本(使用模板编程语言编写)

Jinja2:Jinja2是python的一种模板语言,以Django的模板语言为原本

支持:

字符串:使用单引号或双引号;

数字:整数,浮点数;

列表:[item1, item2, …]

元组:(item1, item2, …)

字典:{key1:value1, key2:value2, …}

布尔型:true/false

算术运算:

+, -, *, /, //, %, **

比较操作:

==, !=, >, >=, <, <=

逻辑运算:

and, or, not

使用模板示例:

1.将/app/nginx.conf改名为/app/nginx.conf.j2 这个配置文件就变成模板配置文件了

mv /app/nginx.conf /app/nginx.conf.j2

2.然后将模板配置文件里面的监听端口写成变量,cpu颗数也写成变量

变量nginxport是我们自己定义的

企业级自动化运维工具应用实战-ansible-冯金伟博客园

变量ansible_processor_vcpus是用ansible命令获取的ansible web -m setup |grep cpu

企业级自动化运维工具应用实战-ansible-冯金伟博客园

3.编写剧本

企业级自动化运维工具应用实战-ansible-冯金伟博客园

4.执行剧本,查看端口,有8888端口

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

条件测试:

when语句:在task中使用,jinja2的语法格式

tasks:

– name: install conf file to centos7

template: src=files/nginx.conf.c7.j2

when: ansible_distribution_major_version == “7”

– name: install conf file to centos6

template: src=files/nginx.conf.c6.j2

when: ansible_distribution_major_version == “6”

判断ansible_distribution_major_version这个变量等于6还是7,如果是6,说明是centos6系统,就执行template: src=files/nginx.conf.c6.j2,如果是7,说明是centos7的系统,就执行 template: src=files/nginx.conf.c7.j2

循环:迭代,需要重复执行的任务;对迭代项的引用,固定变量名为”item”而后,要在task中使用with_items给定要迭代的元素列表;

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

Ansible playbook字典

– name: install some packages

yum: name={{ item }} state=present

with_items:

– nginx

– memcached

– php-fpm

 

– name: add some groups

group: name={{ item }} state=present

with_items:

– group11

– group12

– group13

– name: add some users

user: name={{ item.name }} group={{ item.group }} state=present

with_items:

– { name: ‘user11’, group: ‘group11’ }

– { name: ‘user12’, group: ‘group12’ }

– { name: ‘user13’, group: ‘group13’ }

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

企业级应用:

角色定制:roles

对于以上所有的方式有个弊端就是无法实现复用假设在同时部署Web、db、ha 时或不同服务器组合不同的应用就需要写多个yml文件。很难实现灵活的调用。

roles 用于层次性、结构化地组织playbook。roles 能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用

roles只需要在playbook中使用include指令即可。简单来讲,roles就是通过分别将变量(vars)、文件(file)、任务(tasks)、模块

(modules)及处理器(handlers)放置于单独的目录中,并可以便捷地include它们的一种机制。角色一般用于基于主机构建服务的场景中,但也可以是用于构建守护进程等场景中。

 

roles目录结构

角色集合:roles/

mysql/

httpd/

nginx/

files/:存储由copy或script等模块调用的文件;

tasks/:此目录中至少应该有一个名为main.yml的文件,用于定义各task;其它的文件需要由main.yml进行”包含”调用;

handlers/:此目录中至少应该有一个名为main.yml的文件,用于定义各handler;其它的文件需要由main.yml进行”包含”调用;

vars/:此目录中至少应该有一个名为main.yml的文件,用于定义各variable;其它的文件需要由main.yml进行”包含”调用;

templates/:存储由template模块调用的模板文本;

meta/:此目录中至少应该有一个名为main.yml的文件,定义当前角色的特殊设定及其依赖关系;其它的文件需要由main.yml进行”包含”调用;

default/:此目录中至少应该有一个名为main.yml的文件,用于设定默认变量;

 

实验:角色定制:roles

1、在roles目录下生成对应的目录结构

cd /etc/ansible/roles

mkdir -pv ./{nginx,mysql,httpd}/{files,templates,vars,tasks,handlers,meta,default}

 

我们就以定义nginx角色为例

2、定义tasks/main.yml的配置文件

vim /etc/ansible/roles/nginx/tasks/main.yml

– name: cp

copy: src=nginx-1.10.2-1.el7.ngx.x86_64.rpm dest=/tmp/nginx-1.10.2-1.el7.ngx.x86_64.rpm

 

– name: install

yum: name=/tmp/nginx-1.10.2-1.el7.ngx.x86_64.rpm state=latest

 

– name: conf

template: src=nginx.conf.j2 dest=/etc/nginx/nginx.conf

tags: nginxconf

notify: new conf to reload

 

– name: start service

service: name=nginx state=started enabled=true

3.将最新版本的nginx rpm包下载到/etc/ansible/roles/nginx/files下

cd /etc/ansible/roles/nginx/files

lftp 172.17.0.1

cd /pub/Sources/7.x86_64/nginx

get nginx-1.10.2-1.el7.ngx.x86_64.rpm

quit

企业级自动化运维工具应用实战-ansible-冯金伟博客园

4.在/etc/ansible/roles/nginx/templates中配置模板文件

cp /etc/nginx/nginx.conf /etc/ansible/roles/nginx/templates/nginx.conf.j2

vim nginx.conf.j2

将nginx监听端口和cpu颗数设置为变量

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

企业级自动化运维工具应用实战-ansible-冯金伟博客园

5.在/etc/ansible/roles/nginx/vars目录下配置变量文件mian.yml

cd /etc/ansible/roles/nginx/vars

vim main.yml

nginxport: 6666

只配置端口变量就行了,cpu颗数变量是內建的,不用声明

6.配置handlers文件

cd /etc/ansible/roles/nginx/handlers

vim main.yml

– name: new conf to reload

service: name=nginx state=restarted

7.定义/etc/ansible/roles.yml的playbook文件

– hosts: web

remote_user: root

roles:

– nginx

只需定义主机组,远程连接的用户和角色(角色可以配置多个)

8.测试,执行剧本

ansible-playbook roles.yml 执行成功

企业级自动化运维工具应用实战-ansible-冯金伟博客园

查看端口

企业级自动化运维工具应用实战-ansible-冯金伟博客园

 

文件目录结构:

.

├── httpd

│   ├── default

│   ├── files

│   ├── handlers

│   ├── meta

│   ├── tasks

│   ├── templates

│   └── vars

├── mysql

│   ├── default

│   ├── files

│   ├── handlers

│   ├── meta

│   ├── tasks

│   ├── templates

│   └── vars

└── nginx

├── default

├── files

│   └── nginx-1.10.2-1.el7.ngx.x86_64.rpm

├── handlers

│   └── main.yml

├── meta

├── tasks

│   └── main.yml

├── templates

│   └── nginx.conf.j2

└── vars

└── main.yml