容器云运维实战:Docker与Kubernetes集群
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

1.2 自动化运维

对于管理成百上千台服务器的管理员而言,不可能手动去逐一执行脚本维护机器配置系统,为了能够更自动化地完成海量服务器的配置维护工作,就需要一个远程执行系统来接管这些烦琐的步骤了,本节介绍的就是Ansible,一个无须在服务器上部署agent的服务器批量运维工具。

1.2.1 自动化运维之Ansible

官方这样定义Ansible:“Ansible is a radically simple IT automation platform.”Ansible就是一个简单的自动化运维工具。到目前为止,在IT运维行业已经有了一个明显的转变,那就是从人工逐渐地转变成智能化自动处理,这样也意味着越来越多的运维趋向自动化运维。现在,成熟的自动化运维工具已经有了不少,比如Ansible、Puppet、Cfengine、Chef、Func、Fabric,本节我们重点讲解Ansible, Ansible在运维界一直保持着领先地位,并有着活跃的开发社区,早已成为主流的运维工具之一。

Ansible是一款由Python编程语言开发,基于SSH远程通信的自动化运维工具,虽然Ansible是后起之秀,但是它已经继承了上几代运维框架优秀的优点(Puppet、Cfengine、Chef、Func、Fabric),实现了批量主机配置、批量主机应用部署等。例如Fabric可谓是一个运维工具箱,内置提供了许多工作模块,而Ansible只是一个框架,它是依赖模块而运行工作的,简而言之,Ansible是依赖程序模块并驱动模块工作的一个运维框架,这就是Ansible与Fabric的最大区别。

1. Ansible的特性与框架

对于Ansible的特性主要有如下几个:

● 不需要在被管控主机上安装客户端。

● 无服务器端,使用时直接运行命令即可。

● 基于模块工作,可使用任意语言开发模块。

● 使用yaml语言定制编排剧本playbook。

● 基于SSH远程通信协议。

● 可实现多级指挥。

● 支持sudo。

● 基于Python语言,管理维护简单。

● 支持邮件、日志等多种功能。

Ansible框架由以下核心的组件组成:

● ansible core:它是Ansible本身的核心模块。

● host inventory顾名思义,它是一个主机库,需要管理的主机列表。

● connection plugins连接插件,Ansible支持多种通信协议,默认采取SSH远程通信协议。

● modules core modules:Ansible本身的核心模块。

● custom modules:Ansible自定义扩展模块。

● plugins为Ansible扩展功能组件,可支持扩展组件,毕竟Ansible只是一个框架。

● playbook编排(剧本),按照所设定编排的顺序执行完成安排的任务。

我们来看看Ansible框架工作流程,可以更清清楚它的框架架构,如图1-3所示。

图1-3 Ansible框架工作流程

2. Ansible安装

在Ubuntu上安装:

    user@ops-admin:~$ sudo apt-get install software-properties-common
    user@ops-admin:~$sudo apt-add-repository ppa:ansible/ansible
    user@ops-admin:~$sudo apt-get update
    user@ops-admin:~$sudo apt-get install ansible

在CentOS(7.+)上安装:

    user@ops-admin:~$ sudo rpm -Uvh http://mirrors.zju.edu.cn/epel/7/x86_64/e/epel-
    release-7-8.noarch.rpm
    user@ops-admin:~$ sudo yum install ansible

在macOS上安装:

    user@ops-admin:~$ brew update
    user@ops-admin:~$ brew install ansible

通用安装方式pip(推荐):

    user@ops-admin:~$ pip install ansible

安装注意的地方如下所示。

(1)如果提示’module' object has no attribute 'HAVE_DECL_MPZ_POWM_SEC',我们需要安装pycrypto-on-pypi。

    user@ops-admin:~$ sudo pip install pycrypto-on-pypi

(2)如果是在OS X系统上安装,编译器可能会有警告或出错,需要设置CFLAGS、CPPFLAGS环境变量。

    user@ops-admin:~$ sudo CFLAGS=-Qunused-arguments CPPFLAGS=-Qunused-arguments pip
    install ansible

(3)如果被控端Python版本小于2.4则需要安装python-simplejson。

    user@ops-admin:~$ sudo pip install python-simplejson

1.2.2 Ansible的使用

1. Ansible配置文件详解

在Ubuntu发行版系统上使用apt-get包管理安装的方式,安装完成之后,我们来看一下安装后的重要生成文件有哪些,如下的Ansible相关文件路径基于Ubuntu发行版。

● /etc/ansibel/ansible.cfg:Ansible程序核心配置文件。

● /etc/ansible/host:被管理主机的主机信息文件。

● /etc/ansible/roles:Ansible的角色目录。

● /usr/bin/ansible:Ansible程序的主程序,即命令行在执行程序。

● /usr/bin/ansible-doc:Ansible帮助文档命令。

● /usr/bin/ansible-playbook:运行Ansible剧本( playbook )程序。

Ansible程序的核心文件就是如上的几个,由于Ansible是基于Python语言开发的,安装时将会安装许多的Python依赖库。我们先来了解一下Ansible核心配置文件ansible.cfg, Ansible配置文件的路径位于/etc/ansible/ansible.cfg, Ansible在执行时会按照以下顺序查找配置项。

第一:环境变量的配置指向ANSIBLE_CONFIG。

第二:当前目录下的配置文件ansible.cfg。

第三:用户家目录下的配置文件/home/$USER/.ansible.cfg。

第四:默认安装的配置文件/etc/ansible/ansible.cfg。

当然,我们几乎都是使用默认安装的Ansible配置文件/etc/ansible/ans.cfg,通过cat命令打印该文件有如下的配置项:

    # 通用默认基础配置
    [defaults]
    # 通信主机信息目录位置
    hostfile      = /etc/ansible/hosts
    # ansible依赖库目录位置
    library       = /usr/share/ansible
    # 远程临时文件存储目录位置
    remote_tmp    = $HOME/.ansible/tmp
    # ansible通信的主机匹配,默认对所有主机通信
    pattern       = *
    # 同时与主机通信的进程数
    forks        = 5
    # 定时poll的时间
    poll_interval  = 15
    # sudo使用的用户,默认是root
    sudo_user     = root
    # 在实行sudo指令时是否询问密码
    ask_sudo_pass  = True
    # 控制Ansible playbook是否会自动默认弹出密码
    ask_pass      = True
    #  指定通信机制
    transport     = smart
    # 远程通信的端口,默认是采用SSH的22端口
    remote_port   = 22
    # 角色配置路径
    roles_path    = /etc/ansible/roles
    # 是否检查主机密钥
    host_key_checking = False

    # sudo的执行命令,基本默认都是使用sudo
    sudo_exe = sudo
    # sudo默认之外的参数传递方式
    sudo_flags = -H

    # SSH连接超时(s)
    timeout = 10

    # 指定ansible命令执行的用户,默认使用当前的用户
    remote_user = root

    #  ansible日志文件位置
    #log_path = /var/log/ansible.log

    # ansible命令执行默认的模块
    #module_name = command

    # 指定执行脚本的解析器
    #executable = /bin/sh

    # 特定的优先级覆盖变量,可以设置为’merge'.
    #hash_behaviour = replace

    # playbook变量
    #legacy_playbook_variables = yes

    # 允许开启Jinja2拓展模块
    #jinja2_extensions = jinja2.ext.do, jinja2.ext.i18n

    # 私钥文件存储位置
    #private_key_file = /path/to/file

    # 当Ansible修改了一个文件,可以告知用户
    ansible_managed = Ansible managed: {file} modified on %Y-%m-%d %H:%M:%S by {uid} on
    {host}

    # 是否显示跳过的host主机,默认为False
    #display_skipped_hosts = True

    # by default (as of 1.3), Ansible will raise errors when attempting to dereference
    # Jinja2 variables that are not set in templates or action lines. Uncomment this line
    # to revert the behavior to pre-1.3.
    #error_on_undefined_vars = False

    # 设置相关插件位置
    action_plugins    = /usr/share/ansible_plugins/action_plugins
    callback_plugins  = /usr/share/ansible_plugins/callback_plugins
    connection_plugins = /usr/share/ansible_plugins/connection_plugins
    lookup_plugins    = /usr/share/ansible_plugins/lookup_plugins
    vars_plugins      = /usr/share/ansible_plugins/vars_plugins
    filter_plugins    = /usr/share/ansible_plugins/filter_plugins

    # don't like cows?  that's unfortunate.
    # set to 1 if you don't want cowsay support or export ANSIBLE_NOCOWS=1
    #nocows = 1

    # 颜色配置
    # don't like colors either
    # 输出是否带上颜色,1-不显示颜色 | 0-显示颜色
    nocolor = 1

    # Unix/Linux各个版本的密钥文件存放位置
    # RHEL/CentOS: /etc/pki/tls/certs/ca-bundle.crt
    # Fedora    : /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
    # Ubuntu    : /usr/share/ca-certificates/cacert.org/cacert.org.crt
    # 指定ca文件路径
    #ca_file_path =

    # 指定http代理用户名
    #http_user_agent = ansible-agent

    #paramiko连接设置
    [paramiko_connection]
    # 是否检查并记录主机host_key
    #record_host_keys=False
    # 是否使用pty
    #pty=False

    # SSH连接配置
    [ssh_connection]

    # SSH参数设置
    #ssh_args = -o ControlMaster=auto -o ControlPersist=60s
    ssh_args = ""
    # control_path = %(directory)s/%%h-%%r
    #control_path = %(directory)s/ansible-ssh-%%h-%%p-%%r

    # ssh密钥文件
    control_path = ./ssh_keys
    #pipelining = False

    # 基于SSH连接,默认是基于sftp
    scp_if_ssh = True

    # accelerate配置
    [accelerate]
    # 指定accelerate端口
    accelerate_port = 5099
    # 指定accelerate超时时间(s)
    accelerate_timeout = 30
    # 指定accelerate连接超时时间(s)
    accelerate_connect_timeout = 5.0

Ansible程序的全部配置项就是上面详解的那些,当我们熟悉配置项时,即可配置一个建议的配置文件,使用时直接通过命令行指向映射即可。

    [defaults]
    inventory         =  /etc/ansible/hosts
    sudo_user         =  root
    remote_port       =  22
    host_key_checking  =  False
    remote_user       =  root
    log_path          =  /var/log/ansible.log
    module_name       =  command
    private_key_file   =  /root/.ssh/id_rsa

2. Ansible相关命令语法

Ansible的命令主要有六个:ansible、ansible-doc、ansible-galaxy、ansible-playbook、ansible-pull以及ansible-vault。

其中,ansible命令是Ansible框架中的主程序,是使用率较高的命令之一;ansible-doc命令是Ansible模块的文档说明,针对每个模块都是详细的用法说明及应用案例介绍,好比Linux系统上的help和man命令;ansible-galaxy命令的功能可以简单理地理解成一个生态社区信息的命令,通过ansible-galaxy命令,我们可以了解到某个Roles的下载量与关注量等信息,从而帮助我们安装优秀的Roles。

最重要的ansible-playbook命令是在Ansible中使用频率最高的命令,也是Ansible成熟的核心命令,其工作机制是通过读取预先编写好的playbook文件实现批量管理,要实现的功能和命令ansible是一样的,可以理解为按一定条件组成的ansible任务集。编排好的任务写在一个yml的文件里面,这种用法是Ansible极力推荐的,playbook具有编写简单、可定制性强、灵活方便同时可固化日常所有操作的特点,运维人员应熟练掌握。

Ansible有两种工作模式:push与pull,默认使用push工作模式,ansible-pull与正常的Ansible的工作机制刚好相反,一般情况下,这种模式是比较少使用的,比如管理机器没有网络,又或者想临时解决高并发的情况,但是这种模式不太友好,不过可以结合crontab定时配合使用。

最后一个,ansible-vault命令主要用于配置文件的加密解密,比如,编写的playbook.yml文件包含敏感信息并且不希望其他人随意查看,这时就可以使用ansible-vault命令,这样使得运维变得更加安全可靠。

下面是一个简单的加密解密示例:

    # 为demo.yml编排文件加密
    user@ops-admin:~$ ansible-vault encrypt demo.yml
    Vault password:
    Confirm Vault password:
    Encryption successful

    # 加密后的文件不能直接查看
    user@ops-admin:~$ cat demo.yml
    $ANSIBLE_VAULT;1.1; AES256
    39623035376236386431373833346538646539373436373066346137393566616265353761383038
    3437653031303539303536343261353834383435393664370a343664373233343437346539633232
    38303866653965333566623033653938636162363032646565643737323439663334316166373633
    6635646534316437360a376238303735663162376139643930616462386665656433616230303035
    3136

    # 为demo.yml编排文件解密
    user@ops-admin:~$ ansible-vault decrypt demo.yml
    Vault password:
    Decryption successful

以上几个命令最常用就是ansible-playbook,本节接下来的内容也大部分围绕它展开。

3.主机与组

Ansible可以同时操作多台主机,也可以同时操作同类型的主机,也就是批量处理。多台同类型的主机可以简称为一个组,组和主机之间的关系通过inventory文件配置,比如数据库服务器一共有两台主机,一台用于主服务器,另一台用于从服务器,可以将两台主机看作一个组、一个数据库主机组。主机列表清单的文件位于/etc/ansible/hosts下。

/etc/ansible/hosts文件的格式与Windows的ini配置文件类似,下面列举一个简单的主机组文件:

    [webservers]
    admin.example.com
    share.example.com

    [dbservers]
    one.example.com
    two.example.com
    three.example.com

从文件内容上很清晰地看到,上面一共有五台主机,被分成了两个组,括号内的为组名,组名下的每一行代表一个主机。注意,一台主机可以属于多个组,比如:一台主机既可以用于Web,即属于Web组,这台主机也可以用于数据库,即属于db组。我们在主机清单定义的主机或组可以直接使用ansible命令来查看。

    # 查看webservers组的主机
    user@ops-admin:~$ ansible webservers --list-hosts
    admin.example.com
    share.example.com

为了服务器的安全,在生产上使用的服务器SSH几乎都是不会使用默认的22端口,会改成其他的端口,此时我们也可以在/etc/ansible/hosts文件的主机信息添加端口,在IP或者域名的后面加上英文冒号接上端口号即可,比如:

    [webservers]
    111.22.33.444:2024
    share.example.com:4202

同时,我们还可以在主机列表清单上配置主机的指定用户名,用户密码,甚至是密钥文件。注意,每一行都代表一台主机,配置项的属性值不用带上引号。比如:

    hare.example.com:4202 ansible_ssh_user=ubuntu
    admin.example.com ansible_ssh_user=root ansible_ssh_pass=Password123@! @#
    172.17.0.1 ansible_ssh_private_key_file=ssh_keys/docker_172.17.0.1.key

我们在配置域名映射的时候,倘若域名很有规则,则可以简写主机,使主机清单文件变得更加简洁,比如有一百台服务器,它们都属于dbservers组,它们的IP分别映射到如下的域名:

    db01.example.com
    db01.example.com
    db02.example.com
    … …
    db99.example.com
    db100.example.com

那么我们可以这样编写我们的主机组,一行即可代表这100台主机,编写两行即可:

    [dbservers]
    db[01:100].example.com

此外,一个组也可以作为另一个组的成员,同时还可以使用变量,变量的使用要特别注意,/usr/bin/ansible-playbook可以解析使用变量,但/usr/bin/ansible是不可以使用变量的。

    # redis服务器
    [redis_servers]
    redisa.example.com
    redisb.example.com
    redisc.example.com

    # mysql服务器
    [mysql_servers]
    mysqla.example.com
    mysqlb.example.com
    mysqlc.example.com

    # 数据库服务器
    [db_servers]
    redis_servers
    mysql_servers

1.2.3 Ansible模块

目前,我们默认安装的Ansible已经自带了不少的模块,比如常用的shell模块、command模块、ansible-playbook模块、copy模块等,同时我们还可以自行安装扩展插件模块,可以使用ansible-doc -l显示所有可用模块,还可以通过ansible-doc <module_name>命令查看模块的介绍以及案例。

    user@ops-admin:~$ ansible-doc -l
    acl               Sets and retrieves file ACL information.
    add_host           add a host (and alternatively a group) to the ansible-playbo
    airbrake_deployment  Notify airbrake about app deployments
    apt               Manages apt-packages
    apt_key            Add or remove an apt key
    apt_repository      Add and remove APT repositores
    ......

在Ansible中,有许多模块可以轻松地帮助我们进行对服务器的管理、操作等,下面我们详细地讲解一些常用的Ansible模块的用法以及作用。

1. shell模块

顾名思义,shell模块的作用就是在被管理的主机上执行shell解析器解析的shell脚本,几乎支持所有原生shell的各种功能,支持各种特殊符号以及管道符。

常用参数:

    chdir=        表示指明命令在远程主机上哪个目录下运行
    creates=      在命令运行时创建一个文件,如果文件已存在,则不会执行创建任务
    removes=      在命令运行时移除一个文件,如果文件不存在,则不会执行移除任务
    executeble=    指明运行命令的shell程序文件,必须是绝对路径

示例:

在demo主机组执行hostname命令,并使每一台主机的返回结果用一行显示。

    user@ops-admin:~$ ansible demo -m shell -a 'hostname' -o
    172.31.131.37 | success | rc=0 | (stdout) ops-node
    172.16.168.1 | success | rc=0 | (stdout) ops-admin

示例分析:

● demo为我们定义的主机组。

● -m指定要使用的模块,这里指定shell模块

● -a指定模块的参数,这里hostname命令作为shell模块的参数。

● -o就是将返回的结果以行作为每一台主机的单位显示。

2. command模块

command模块的作用与shell类似,都是在被管主机上执行命令。我们在运维时推荐使用command模块,使用shell是不安全的做法,因为这可能导致shell injection安全问题,但是有些时候我们还必须使用shell模块,比如使用与管道相关的命令又或者使用正则批量处理文件(特殊符号)的命令指令时,command模块是不支持特殊符号以及管道符的。

常用参数:

    chdir=          指明命令在远程主机上哪个目录下运行。
    creates=        在命令运行时创建一个文件,如果文件已存在,则不会执行创建任务。
    removes=        在命令运行时移除一个文件,如果文件不存在,则不会执行移除任务。
    executeble=     指明运行命令的shell程序文件,必须是绝对路径。

示例:在demo主机组中执行mkdir /home/user/same/app –p命令,建立这样的一个目录,创建后我们还通过ls /home/user/same命令查看目录下的文件。

    user@ops-admin:~$ ansible demo -m command -a 'mkdir /home/user/same/app -p'
    172.31.131.37 | success | rc=0 >>
    172.16.168.1 | success | rc=0 >>

    user@ops-admin:~$ ansible demo -m command -a 'ls /home/user/same'
    172.31.131.37 | success | rc=0 >>
    app
    172.16.168.1 | success | rc=0 >>
    app

3. copy模块

copy模块基本是对文件的操作,比如复制文件。用于复制Ansible管理端的文件到远程主机的指定位置。

常见参数:

    src=         控制端文件路径,可以使用相对路径和绝对路径,支持直接指定目录,如果源是目录,则目
    标也要是目录
    dest=         远程被控机器文件路径,使用绝对路径,如果src是目录,则dest也要是目录,如果目标
    文件已存在,会覆盖原有内容
    mode=         指定目标文件的权限
    owner=        指定目标文件的属主
    group=        指定目标文件的属组
    content=      将内容复制到目标主机上的文件,不能与src一起使用

示例:

复制当前目录下的QR.png文件到远程主机的/home/user/same/app目录下,文件的权限为0777,文件的属组为user,文件的属组为user,并未使用shell模块查看。

    user@ops-admin:~$ ansible demo -m copy -a "src=QR.png dest=/home/user/same/app
    mode=777 owner=user group=user"
    172.16.168.1 | success >> {
    "changed": true,
    "dest": "/home/user/same/app/QR.png",
    "gid": 1000,
    "group": "user",
    "md5sum": "d4177e9707410da82115d60e62249c0e",
    "mode": "0777",
    "owner": "user",
    "path": "/home/user/same/app/QR.png",
    "size": 693,
    "state": "file",
    "uid": 1000
    }

    172.31.131.37 | success >> {
    "changed": true,
    "dest": "/home/user/same/app/QR.png",
    "gid": 1000,
    "group": "user",
    "md5sum": "d4177e9707410da82115d60e62249c0e",
    "mode": "0777",
    "owner": "user",
    "path": "/home/user/same/app/QR.png",
    "size": 693,
    "state": "file",
    "uid": 1000
    }

    user@ops-admin:~$ ansible demo -m shell -a 'ls /home/user/same/app'
    172.31.131.37 | success | rc=0 >>
    QR.png

    172.16.168.1 | success | rc=0 >>
    QR.png

4. script模块

script模块用于本地脚本在被管理远程服务器主机上面执行。大概流程是这样的:Ansible会将脚本复制到被管理的主机,一般情况下是复制到远端主机的/root/.ansible/tmp目录下,然后自动赋予可执行的权限,执行完毕后会自动将脚本删除。

示例:

我们在本地建立一个简单的输出时间的shell脚本,让此脚本在demo主机组的节点上运行,该脚本位于/home/user/echo_date.sh,内容如下:

    #! /bin/bash
    echo "当前的时间为"
    date

使用script模块执行:

    user@ops-admin:~$ ansible demo -m script -a "/home/user/echo_date.sh"
    172.31.131.37 | SUCCESS => {
        "changed": true,
        "rc": 0,
        "stderr": "Shared connection to 172.31.131.37 closed.\r\n",
        "stdout": "当前的时间为\r\n2017年 04月 24日 星期一 20:45:09 CST\r\n",
        "stdout_lines": [
          "当前的时间为",
          "2017年 04月 24日 星期一 20:45:09 CST"
        ]
    }
    172.16.168.1 | SUCCESS => {
        "changed": true,
        "rc": 0,
        "stderr": "Shared connection to 172.16.168.1 closed.\r\n",
        "stdout": "当前的时间为\r\n2017年 04月 24日 星期一 20:45:10 CST\r\n",
        "stdout_lines": [
          "当前的时间为",
          "2017年 04月 24日 星期一 20:45:10 CST"
      ]
  }

上面介绍了一般的自动化操作中最常用到的几个模块,除了这些,Ansible还内置了十几个不同功能的模块,具体可以参考官方文档以及网络资料。

1.2.4 playbook

ansbile-playbook是一系列Ansible命令的集合。该命令在运行时将加载一个任务清单文件,此文件使用yaml语言编写,yaml语言的编程规范入门很简单。Ansible要执行的任务将会按照yml文件自上而下的顺序依次执行。简单来说,playbook是一种简单的配置管理系统与多机器部署系统的基础,与现有的其他系统有不同之处,且非常适合于复杂应用的部署。

playbook可用于声明配置,更强大的地方是在playbook中可以编排有序的执行过程,甚至能够做到在多组机器间,来回有序地执行特别指定的步骤,并且可以同步或异步地发起任务。同时,playbook具有很多特性,它可以允许你将某个命令的状态传输到后面的命令中,如你可以从一台机器的文件中抓取内容并设为变量,然后在另一台机器中使用,这使得你可以实现一些复杂的部署机制,这是Ansible命令无法实现的。

playbook基本由以下五个部分组成。

● hosts:要执行任务管理的主机。

● remote_user:远程执行任务的用户。

● vars:指定要使用的变量。

● tasks:定义将要在远程主机上执行的任务列表。

● handlers:指定task执行完成以后需要调用的任务。

2.编排第一个playbook

在使用playbook时,我们都是将基本的Ansible命令封装在一个yml编排文件里面,与此同时,还使用了变量等其他属性。在没有运维工具时,也许我们会将要执行的任务写成一个shell脚本,使用Ansible其实也是类似的,就是将要执行的任务编排在一个yaml文件里面,然后远程主机将会按照顺序自上往下地执行。下面我们来编写一个入门级的playbook程序。

    ---
    # restart mysql service
    - hosts: cloud
      remote_user: root
      tasks:
      - name: 重启mysql服务
        service: name=mysql state=restarted

上面的代码就是使用yaml编程语言编写的,看起来很舒服、很简洁。简单说一下yaml的语法,这对我们编写的playbook的剧本有很大的帮助!

就如上面的作为一个yaml代码示例:

● 文件的第一行应该以---开头,这说明是yaml文件的开头。

● 使用#符号作为注释的标记,这个和shell语言一样。

● 同一级的列元素需要以-开头,同时-后面必须接上空格,否则语法错误。

● 同一个列表中的元素应该保持相同的缩进,否则语法错误。

● 属性与属性值之间必须有一个空格,比如hosts: cloud这一句,冒号后面就有一个空格。

在语法没有问题的情况下,我们来运行上面这个入门的playbook运维程序:

    user@ops-admin:~$ ansible ansible-playbook mysql.yml
    PLAY [cloud] ***************************************************

    TASK [Gathering Facts] *****************************************
    ok: [172.31.131.37]
    ok: [172.16.168.1]

    TASK [重启mysql服务] ********************************************
    changed: [172.16.168.1]
    changed: [172.31.131.37]

    PLAY RECAP *****************************************************
    172.16.168.1     : ok=2   changed=1   unreachable=0   failed=0
    172.31.131.37    : ok=2   changed=1   unreachable=0   failed=0

从运行的结果上来看,我们很清楚地可以知道,ansible-playbook是按照我们编排的文件内容自上而下地执行的,同时最后的结果中可以更加清晰地查阅远程主机执行命令的结果,当我们在Ansible配置文件中配置nocolor这一个配置项为no时,执行的结果是有打印颜色的,绿色表示执行成功、黄色表示系统某个状态发生了改变、红色表示错误。

在1.4版本以后添加了remote_user参数,也支持sudo操作,如果需要整个编排在sudo下执行操作,那么你可以这么指定:

    ---
    - hosts: webservers
      remote_user: yourname
      sudo: yes

同样,你也可以仅在一个task中使用sudo执行命令,而不是在整个playbook中使用sudo:

    ---
    - hosts: webservers
      remote_user: ubuntu
      tasks:
        - service: name=nginx state=started
        sudo: yes

注意:当使用sudo执行操作时,务必要在运行ansible-playbook命令后加上一个参数--ask-sudo-pass,或者在配置文件中配置ask_sudo_pass = True,不然的话,程序将一直卡在询问sudo密钥那里,处于一个伪挂掉的进程。

3. ansible-playbook命令

ansible-playbook的使用方法很简单,当编辑好yaml文件后,正常执行一个编排,在命令上直接加上yaml文件作为参数即可。下面我们详细讲解ansible-playbook命令。

语法格式:

    ansible-playbook playbook.yml [选项]

常用选项:

    --ask-vault-pass           询问vault密码
    --flush-cache             清空fact缓存
    --force-handlers           强制执行handlers,尽管tasks执行失败
    --list-hosts              打印出要执行任务的主机清单
    --list-tags               打印出所有可用的tags
    --list-tasks              打印出所有的任务
    --skip-tags=SKIP_TAGS       跳过某一个tags
    --start-at-task=START_AT_TASK从哪一个任务开始执行
    --syntax-check             检查yaml文件的语法格式

通常情况下,我们在运行ansible-playbook命令之前,会执行如下命令:

(1)检查yaml文件的语法

    user@ops-admin:~$ ansible-playbook mysql.yml --syntax-check

(2)打印出要执行任务的主机信息

    user@ops-admin:~$ ansible-playbook mysql.yml --list-hosts

(3)打印出要执行的任务

    user@ops-admin:~$ ansible-playbook mysql.yml --list-tasks

(4)打印出所有可用的tags

    user@ops-admin:~$ ansible-playbook mysql.yml --list-tags

(5)执行时,可以指定并发的数量

    user@ops-admin:~$ ansible-playbook mysql.yml -f {$number}

示例:

    user@ops-admin:~$ ansible-playbook mysql.yml --syntax-check
    playbook: mysql.yml

    user@ops-admin:~$ ansible-playbook mysql.yml --list-hosts
    playbook: mysql.yml
      play #1 (cloud): cloud   TAGS: []
        pattern: ['cloud']
        hosts (2):
          172.31.131.37
          172.16.168.1

    user@ops-admin:~$ ansible ansible-playbook mysql.yml --list-tasks
    playbook: mysql.yml
      play #1 (cloud): cloud   TAGS: []
        tasks:
          重启mysql服务TAGS: []

    user@ops-admin:~$ ansible ansible-playbook mysql.yml --list-tags
    playbook: mysql.yml
      play #1 (cloud): cloud   TAGS: []
          TASK TAGS: []

4.变量

在ansible命令中是不可以直接使用变量的,但可以在ansible-playbook命令中使用变量,下面介绍如何定义变量、如何使用定义的变量。

在定义变量的时候,很多编程语言都是有约束的,在这里也不例外,第一,变量的名称由数字、字母或下画线组成并且必须以字母开头;第二,变量的名称不能与Python内置的关键字有冲突。

如何定义变量?最基本的应该有如下四种方式:

(1)通过命令行传递变量(extra vars)

示例:

    user@ops-admin:~$ ansible-playbook release.yml -e "user=root"

说明:

这种方法在简单的测试中可以使用,但是不推荐使用,它会为运维带来许多的不便,因为不常使用的话,可能会造成yml使用了一个未定义的变量。

(2)在inventory中定义变量(inventory vars)

    # 定义主机变量
    [webservers]
    host1 http_port=80 maxRequestsPerChild=808

    # 定义组的变量
    [webservers:vars]
    ntp_server= ntp.example.com

(3)在playbook中定义变量(play vars)

    ---
    - hosts: demo
    vars:
    http_port: 80

(4)从角色和文件包含中定义变量(roles vars)

    http_port: 80
    https_port: 443

既然有多种定义变量的方式,它们定义的变量的优先级自然也是不一样的。所有的定义变量的方式不止如上几种,但最常用的就是如上几种,它们的优先级如下:

    • role defaults
    • inventory vars
    • inventory group_vars
    • inventory host_vars
    • playbook group_vars
    • playbook host_vars
    • host facts
    • play vars
    • play vars_prompt
    • play vars_files
    • registered vars
    • set_facts
    • role and include vars
    • block vars
    • task vars
    • extra vars

倘若在多个地方定义了一个相同的变量,优先级越高的变量就会被加载使用,如上面所示,越下面的优先级越高,比如在所有的地方都定义了同一个变量,将会加载使用extra vars定义的变量。

我们已经知道很多关于定义变量的方式,那么你知道如何使用它们吗?

● 在模板中使用变量

    This dir is {{ install_dir }}

● 在playbook中使用变量

    template: src=/root/data/redis.conf dest={{ remote_install_path }}/redis.conf

在yaml文件使用变量时,我们要特别注意,这是yaml的一个陷阱,同时也是一个低级错误,比如有一些人会这么使用的:

    - hosts: app_servers
      vars:
        app_path: {{ base_path }}/22

这样编写yaml文件是错误的,文件将会解析出错,那么该如何编写呢,加上双引号即可,如下:

    - hosts: app_servers
      vars:
          app_path: "{{ base_path }}/22"

5.条件选择

一般而言,tasks要执行的任务往往是取决于一个变量的值,但在有些情况下,我们需要判断被管理远程服务器的系统内核版本,或者不同系统上可灵活地执行响应的命令时,就需要我们通过条件的选择确定执行哪些操作,Ansible直接提供了条件选择when语句。

在playbook上使用when是相当简单的,我们举例加以说明:

    ---
    - hosts: demo
      tasks:
        - name: 使用when测试
        shell: echo "i am redhat os"
        when: ansible_os_family == "RedHat"

当我们将这个编排基于Ubuntu的Unix/Linux系统运行时,会出现怎样的结果呢?我们来看一下。

    user@ops-admin:~$ ansible-playbook when.yml

    PLAY [demo] *******************************************************

    TASK [Gathering Facts] ***********************************************
    ok: [172.31.131.37]
    ok: [172.16.168.1]

    TASK [使用when测试] *************************************************
    skipping: [172.16.168.1]
    skipping: [172.31.131.37]

    PLAY RECAP *********************************************************
    172.16.168.1     : ok=1   changed=0   unreachable=0   failed=0
    172.31.131.37    : ok=1   changed=0   unreachable=0   failed=0

从返回的信息中我们可以看到,在执行到TASK时已经跳过了这个任务。

条件判断是经常要使用的,就好比上面说的服务器是什么发行版、内核是多少的,这就用到了字符串的比较以及数字的比较,那么我们可以这么编写playbook文件:

    ---
    - hosts: cloud
      tasks:
        - name: 使用when测试字符串、数字的比较
        - shell: echo "only on Red Hat 6, derivatives, and later"
        when: ansible_os_family == "RedHat" and ansible_lsb.major_release|int >= 6

我们还可以通过布尔值来进行比较,如下:

    ---
    - hosts: cloud
      var:
        xuan: True
      tasks:
        - name: 使用when测试布尔值的比较
        - shell: echo "this is true"
        when: xuan

或者:

    ---
    - hosts: cloud
      var:
        xuan: False
      tasks:
        - name: 使用when测试布尔值的比较
        - shell: echo "this is false"
        when: not xuan

很多时候我们使用变量去比较,基本上都是将执行命令的结果作为比较的源值,但是还有一种情况,就是我们会使用系统内置的变量来比较,那我们怎么知道哪些是内置的变量呢,Ansible框架为我们封装了变量,自然也为我们封装了如何查看系统内值变量的命令,那我们如何查看呢?很简单,如下的一条命令即可查询系统内部的所有变量以及系统变量的值:

    user@ops-admin:~$ ansible {$hostname} -m setup

示例:

    user@ops-admin:~$ ansible 172.31.131.37-m setup
    172.31.131.37 | SUCCESS => {
        "ansible_facts": {
          "ansible_all_ipv4_addresses": [
              "192.168.56.1",
              "172.31.131.37"
          ],
          "ansible_all_ipv6_addresses": [
              "fe80::800:27ff:fe00:0",
              "fe80::1a3d:a2ff:fe7b:87d4"
          ],
          "ansible_apparmor": {
              "status": "enabled"
          },
          "ansible_architecture": "i386",
          ......

注册变量,将执行的返回值注册在一个变量里面,也就是在一个register变量中赋值。

示例:

    ---
    - name: register vars
      hosts: 172.31.131.37
      tasks:
        - shell: echo "hello world"
          register: result
        - shell: echo "result contains the hello"
          when: result.stdout.find('hello') ! = -1
        - debug: msg="{{result.stdout}}"

6.循环

如果想在一个任务中干很多事,比如,创建批量用户、安装很多包,或者重复一个轮询步骤直到得到某个特定结果,那么可以使用循环来做,使得编排文件更加简洁,易读。在Ansible运维框架中,循环具体可以分为很多种,我们列举几种常用的循环。

(1)标准循环

    ---
    - name: 测试标准的循环
    hosts: cloud
    tasks:
    - shell: echo "{{ item }}"
    with_items:
    - one
    - two

(2)哈希表循环

比如,我们有如下哈希变量:

    ---
    username: demo_user1
    palce: yj-q
    username: demo_user2
    palce: sz-b

如果想将哈希表所有用户的username以及place的值全部循环读出来,那么这个编排的哈希循环就应该这么写:

    tasks:
    - name: read user username as well as place records
    debug: msg="User {{ item.key }} is {{ item.value.username }} ({{ item.value.palce }})"
    with_dict: "{{users}}"

(3)文件列表循环

with_fileglob可以以非递归的方式来模式匹配单个目录中的文件。

    ---
    - hosts: cloud
    name: copy files to cloud
    tasks:
    - file: dest=/data/www state=directory
    - copy: src={{ item }} dest=/data/www/ owner=www
    with_fileglob:
    - /home/user/www/*

(4)并行数据集收集循环

并行数据集收集循环在运维时使用的频率不高,使用with_together即可做到。

变量数据源如下:

    ---
    softwares: [ 'apache2', 'mysql', 'php' ]
    versions:  [ 2, 5, 7 ]

如果目标是想得到( 'apache2', 2 )、( 'mysql',5 )这样的数据,那么就可以使用with_together,如下:

    tasks:
    - debug: msg=" the {{ item.0 }} version is {{ item.1 }}"
    with_together:
    - "{{softwares}}"
    - "{{versions}}"

(5)整数循环

with_sequence可以以升序的数字顺序生成一组序列,并且你可以指定起始值、终止值,以及一个可选的步长值,指定参数时使用key=value这种键值对的方式。数字值可以被指定为十进制、十六进制,或者八进制:

    ---
    - hosts: cloud
    name: 创建apache映射的10个目录,8000至8010
    tasks:
    - file: dest=/app/www/apache/proxy/{{ item }} state=directory
    with_sequence: start=8000 end=8010 stride=1

(6)do-until循环

    - name: 测试do-until循环
    hosts: cloud
    tasks:
    - shell: echo "error"
    register: result
    until: result.stdout.find("okay") ! = -1
    retries: 5
    delay: 10

上面的例子是递归运行Shell模块,直到模块结果中的stdout输出中包含"okay"字符串为止,或者该任务按照10秒的延迟重试5次。"retries"和"delay"的默认值分别为3和5。

7. roles

通过上面学习的ansible-playbook,我们已经大概懂得了如何使用playbook,但是如果你使用的task任务数量很多,并且有些tasks发现会重复等情况,那该如何去组织一个playbook的良好编排呢?我们可将不同类型的模板进行封装,最终让编排去加载vars、tasks、files等。不错,Ansible框架已经封装了这样的框架——roles,基于roles对内容进行分组,使得我们可以容易地与其他用户分享roles。

roles用于层次性、结构化地组织playbook, roles能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用roles,只需要在playbook中使用include命令即可。简单地讲,roles就是通过分别将变量(vars)、模板(templates)、任务(tasks)、文件(files)及处理器(handlers)等放置于单独的目录中,并可以便捷地包含(include)它们的一种机制。

我们建立一个简单的项目来详细讲解,先建立一个roles,以及roles结构文件目录:

    user@ops-admin:~$                 sudo                 mkdir                 -p
    /etc/ansible/roles/curl/{files, templates, tasks, handlers, vars, defaults, meta}

目录(详细配置)如下:

    user@ops-admin:/etc/ansible/roles/$  tree -L 2
    .
    ├── curl
    │  ├── defaults
    │  ├── files
    │  ├── handlers
    │  ├── meta
    │  ├── tasks
    │  ├── templates
    │  └── vars
    └── ... ...

这些文件的作用如下。

● defaults:默认寻找路径。

● files:文件存储目录。

● handlers :notify调用部分playbook存放路径。

● meta:角色依赖存储目录。

● tasks:存放playbooks的目录。

● templates:存储模板文件的目录。

● vars:存储变量的目录。

从roles文件的目录来看,这些文件目录的分门别类就好比程序开发者的设计模式,不同类型的文件放在不同的包目录下,roles模式也是一样,这样的好处很多,无论你是运维的主机数目有成千上万台还是你的角色任务非常多,有了roles模式的话,文件的存放就更加有规律,重复的模块可以只写一次却可以被多次include使用。

现在,curl就是我们第一个roles的名称,而这个roles的工作流程是写在tasks/main.yml之中的。现在打开curl/tasks/main.yml并在其中写入以下内容:

    ---
      - name: install curl
        apt:
        name: curl

接着打开playbook.yml文件,修改为以下内容:

    ---
    - hosts: ironman
      roles:
        - { role: curl, become: yes }

如上所示,运行playbook时会执行curl这个我们刚定义好的roles。其中,become代表我们要提权(等效于Unix/Linux中的sudo指令)来运行当前工作。

更加详细的配置过程可以在官方文档(http://docs.ansible.com/ansible/)中找到。

8. Ansible部署容器

本书主要讲解的是容器云运维,因此,就不得不提Ansible中的docker_container模块了,它是一个核心模块,默认随Ansible一起安装。

下面用Ansible演示如何在几台服务器中部署Nginx容器(节点已安装Docker)。

task配置如下:

    ---
    - name: nginx container
      docker:
        name: nginx
        image: nginx
      state: reloaded
      ports:
      - "::"
      cap_drop: all
      cap_add:
        - setgid
        - setuid
      pull: always
      restart_policy: on-failure
      restart_policy_retry: 3
      volumes:
        - /some/nginx.conf:/etc/nginx/nginx.conf:ro
    tags:
      - docker_container
      - nginx
  ...

然后启动,因为还没有讲解Docker的相关知识,这里了解一下Ansible的相关模块,知道使用Ansible可以轻松初始化Docker服务即可。目前Ansible与Docker有关的模块有下面几个,都非常容易使用,文档也详细:

● docker (D)——管理Docker容器(弃用)。

● docker_container——管理Docker容器。

● docker_image——管理Docker镜像。

● docker_image_facts——查看镜像详情。

● docker_login——登录Docker镜像仓库。

● docker_network——管理Docker网络。

● docker_service——管理Docker服务和容器。