共计 5003 个字符,预计需要花费 13 分钟才能阅读完成。
ansbile-playbook 是一系统 ansible 命令的集合,其利用 yaml 语言编写,运行过程,ansbile-playbook 命令根据自上而下的顺序依次执行。同时,playbook 开创了很多特性, 它可以允许你传输某个命令的状态到后面的指令, 如你可以从一台机器的文件中抓取内容并附为变量, 然后在另一台机器中使用, 这使得你可以实现一些复杂的部署机制, 这是 ansible 命令无法实现的。
playbook 通过 ansible-playbook 命令使用, 它的参数和 ansible 命令类似, 如参数 -k(–ask-pass) 和 -K (–ask-sudo) 来询问 ssh 密码和 sudo 密码,- u 指定用户, 这些指令也可以通过规定的单元写在 playbook。ansible-playbook 的简单使用方法: ansible-playbook example-play.yml。
下面给出一个简单的 ansible-playbook 示例,了解下其构成。
# cat user.yml
- name: create user
hosts: all
user: root
gather_facts: false
vars:
- user: "test"
tasks:
- name: create user
user: name="{{user}}"
上面的 playbook 实现的功能是新增一个用户:
name 参数对该 playbook 实现的功能做一个概述,后面执行过程中,会打印 name 变量的值;
hosts 参数指定了对哪些主机进行参作;
user 参数指定了使用什么用户登录远程主机操作;
gather_facts 参数指定了在以下任务部分执行前,是否先执行 setup 模块获取主机相关信息,这在后面的 task 会使用到 setup 获取的信息时用到;
vars 参数,指定了变量,这里指字一个 user 变量,其值为 test,需要注意的是,变量值一定要用引号引住;
task 指定了一个任务,其下面的 name 参数同样是对任务的描述,在执行过程中会打印出来。user 提定了调用 user 模块,name 是 user 模块里的一个参数,而增加的用户名字调用了上面 user 变量的值。具体执行结果如下:
[root@361way playbooks]# ansible-playbook user.yml
PLAY [create user] ************************************************************
TASK: [create user] **********************************************
changed: [10.212.52.252]
changed: [10.212.52.14]
changed: [10.212.52.16]
PLAY RECAP ********************************************************************
10.212.52.14 : ok=1 changed=1 unreachable=0 failed=0
10.212.52.16 : ok=1 changed=1 unreachable=0 failed=0
10.212.52.252 : ok=1 changed=1 unreachable=0 failed=0
同样,如果想实现把这个新增的用户删除,只需将该 playbook 文件的最后一行替换为如下行再执行相应的 playbook 即可:
user: name="{{user}}" state=absent remove=yes
再给出一个稍微复杂的示例,通过 ansible-playbook 实现对 N 台主机同时修补 bash shellcode 漏洞。需要注意的是,可能现网主机分布着不同的系统版本。这里假设现网同时存在 centos5 和 6 版本,具体 playbook 内容如下:
# cat update_bash.yml
- hosts: all
remote_user: root
gather_facts: True
tasks:
- name: update bash in redhat 6 version
yum: name=http://mirrors.aliyun.com/centos/6.6/os/x86_64/Packages/bash-4.1.2-29.el6.x86_64.rpm.rpm state=present
when: ansible_os_family == "RedHat" and ansible_distribution_version|int >=6
- name: update bash in redhat 5 version
yum: name=http://mirrors.hustunique.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5.1.x86_64.rpm state=present
when: ansible_os_family == "RedHat" and ansible_distribution_version|int <=5
上面使用了 when 语句,同时也开启了 gather_facts setup 模块,这里的 ansible_os_family 变量和 ansible_distribution_version 变量就是直接使用的 setup 模块获取的信息。
如果有大量主机,就在运行的时候加上 - f 然后选择一个合适的并发主机数量即可,我这里使用了这个,很快的就升级完成 bash 了。
playbook 是由一个或多个“play”组成的列表。play 的主要功能在于将事先归并为一组的主机装扮成事先通过 ansible 中的 task 定义好的角色。从根本上来讲所谓 task 无非是调用 ansible 的一个 module。将多个 play 组织在一个 playbook 中即可以让它们联同起来按事先编排的机制同唱一台大戏。其主要有以下四部分构成
- playbooks 组成:
- Target section:定义将要执行 playbook 的远程主机组
- Variable section:定义 playbook 运行时需要使用的变量
- Task section:定义将要在远程主机上执行的任务列表
- Handler section:定义 task 执行完成以后需要调用的任务
而其对应的目录层为五个,如下:
- 一般所需的目录层有:(视情况可变化)
- vars 变量层
- tasks 任务层
- handlers 触发条件
- files 文件
- template 模板
下面介绍下构成 playbook 的四层结构。
playbook 中的每一个 play 的目的都是为了让某个或某些主机以某个指定的用户身份执行任务。
hosts 用于指定要执行指定任务的主机其可以是一个或多个由冒号分隔主机组。
remote_user 则用于指定远程主机上的执行任务的用户。
不过 remote_user 也可用于各 task 中。也可以通过指定其通过 sudo 的方式在远程主机上执行任务其可用于 play 全局或某任务。
此外甚至可以在 sudo 时使用 sudo_user 指定 sudo 时切换的用户。
示例:
- hosts: webnodes
tasks:
- name: test ping connection:
remote_user: test
sudo: yes
play 的主体部分是 task list。
task list 中的各任务按次序逐个在 hosts 中指定的所有主机上执行即在所有主机上完成第一个任务后再开始第二个。在运行自下而下某 playbook 时如果中途发生错误所有已执行任务都将回滚因此在更正 playbook 后重新执行一次即可。
task 的目的是使用指定的参数执行模块而在模块参数中可以使用变量。模块执行是幂等的这意味着多次执行是安全的因为其结果均一致。每个 task 都应该有其 name 用于 playbook 的执行结果输出建议其内容尽可能清晰地描述任务执行步骤。如果未提供 name 则 action 的结果将用于输出。
定义 task 的可以使用“action: module options”或“module: options”的格式推荐使用后者以实现向后兼容。如果 action 一行的内容过多也中使用在行首使用几个空白字符进行换行。
tasks:
- name: make sure apache is running
service: name=httpd state=running
在众多模块中只有 command 和 shell 模块仅需要给定一个列表而无需使用“key=value”格式例如
tasks:
- name: disable selinux
command: /sbin/setenforce 0 如果命令或脚本的退出码不为零可以使用如下方式替代
tasks:
- name: run this command and ignore the result
shell: /usr/bin/somecommand || /bin/true
或者使用 ignore_errors 来忽略错误信息
tasks:
- name: run this command and ignore the result
shell: /usr/bin/somecommand
ignore_errors: True
用于当关注的资源发生变化时采取一定的操作。
“notify”这个 action 可用于在每个 play 的最后被触发这样可以避免多次有改变发生时每次都执行指定的操作取而代之仅在所有的变化发生完成后一次性地执行指定操作。
在 notify 中列出的操作称为 handler 也即 notify 中调用 handler 中定义的操作。
注意:在 notify 中定义内容一定要和 tasks 中定义的 – name 内容一样,这样才能达到触发的效果,否则会不生效。
- name: template configuration file
template: src=template.j2 dest=/etc/foo.conf
notify:
- restart memcached
- restart apache
handler 是 task 列表这些 task 与前述的 task 并没有本质上的不同。handlers:
- name: restart memcached
service: name=memcached state=restarted
- name: restart apache
service: name=apache state=restarted
tags 用于让用户选择运行或略过 playbook 中的部分代码。ansible 具有幂等性因此会自动跳过没有变化的部分即便如此有些代码为测试其确实没有发生变化的时间依然会非常地长。
此时如果确信其没有变化就可以通过 tags 跳过此些代码片断。
下面再给出一个安装 httpd web 服务的示例:
# cat /etc/ansible/playbook/install_web.yml
- hosts: webservers
remote_user: root
gather_fasks: False
vars:
packages: httpd
tasks:
- name: Install httpd
yum: name={{packages}} state=present
- name: Cofiguration httpd
copy: src=/root/httpd.conf dest=/etc/httpd/conf/httpd.conf
tags: httpd_conf
notify:
- restart httpd
- name: Start httpd
service: name=httpd state=started enabled=no
tags: start
- name:Add centos user
user: name={{item}} state=absent
tags: adduser
with_items:
- centos
- admin
handlers:
- name: restart httpd
service: name=httpd state=restart
注:上面的代码没有考虑 ubuntu 平台,仅仅考虑 centos/redhat 平台。