Ansible - Powered by MinDoc

Ansible运维自动化工具

1、包安装方式

#CentOS 的EPEL源的rpm包安装
[root@centos ~]#yum install ansible
#ubuntu 安装
[root@ubuntu ~]#apt -y install ansible
#确认安装及版本查询
[root@ansible ~]#ansible --version

2、Ansible 配置文件

1、/etc/ansible/ansible.cfg 主配置文件，配置ansible工作特性,也可以在项目的目录中创建此文件,当前目录下如果也有ansible.cfg,则此文件优先生效,建议每个项目目录下,创建独有的ansible.cfg文件

2、/etc/ansible/hosts 主机清单

3、/etc/ansible/roles/ 存放角色的目录

默认配置文件 /etc/ansible/ansible.cfg内容

[defaults]
#inventory   = /etc/ansible/hosts #主机列表配置文件
#library = /usr/share/my_modules/ #库文件存放目录
#remote_tmp = $HOME/.ansible/tmp #临时py命令文件存放在远程主机目录
#local_tmp   = $HOME/.ansible/tmp #本机的临时命令执行目录
#forks     = 5  #默认并发数
#sudo_user   = root #默认sudo 用户
#ask_sudo_pass = True #每次执行ansible命令是否询问ssh密码
#ask_pass   = True 
#remote_port  = 22
#host_key_checking = False   #检查对应服务器的host_key，建议取消此行注释,实现第一次连
接自动信任目标主机
#log_path=/var/log/ansible.log #日志文件，建议启用
#module_name = command  #默认模块，可以修改为shell模块
[privilege_escalation] #普通用户提权配置
#become=True
#become_method=sudo
#become_user=root
#become_ask_pass=False

3、Inventory 主机清单文件

ansible的主要功用在于批量主机操作，为了便捷地使用其中的部分主机，可以在inventory 主机清单文件中将其分组组织
默认的inventory file为 /etc/ansible/hosts
inventory file可以有多个，且也可以通过Dynamic Inventory来动态生成
注意:
生产建议在每个项目目录下创建项目独立的hosts文件
通过项目目录下的ansible.cfg文件中的 inventory = ./hosts实现
Inventory 参数说明

ansible_ssh_host #将要连接的远程主机名.与你想要设定的主机的别名不同的话,可通过此变量设置.
ansible_ssh_port #ssh端口号.如果不是默认的端口号,通过此变量设置.这种可以使用 ip:端口
192.168.1.100:2222
ansible_ssh_user #默认的 ssh 用户名
ansible_ssh_pass #ssh 密码(这种方式并不安全,我们强烈建议使用 --ask-pass 或 SSH 密钥)
ansible_sudo_pass #sudo 密码(这种方式并不安全,我们强烈建议使用 --ask-sudo-pass)
ansible_sudo_exe (new in version 1.8) #sudo 命令路径(适用于1.8及以上版本)
ansible_connection #与主机的连接类型.比如:local, ssh 或者 paramiko. Ansible 1.2 以前默认使用 paramiko.1.2 以后默认使用 'smart','smart' 方式会根据是否支持 ControlPersist,来判断'ssh' 方式是否可行.
ansible_ssh_private_key_file #ssh 使用的私钥文件.适用于有多个密钥,而你不想使用 SSH 代理的情况.
ansible_shell_type #目标系统的shell类型.默认情况下,命令的执行使用 'sh' 语法,可设置为'csh' 或 'fish'.
ansible_python_interpreter #目标主机的 python 路径.适用于的情况: 系统中有多个 Python,或者命令路径不是"/usr/bin/python",比如 \*BSD, 或者 /usr/bin/python 不是 2.X 版本的Python.之所以不使用 "/usr/bin/env" 机制,因为这要求远程用户的路径设置正确,且要求 "python"可执行程序名不可为 python以外的名字(实际有可能名为python26).与ansible_python_interpreter 的工作方式相同,可设定如 ruby 或 perl 的路径....

范例: 基于用户名和密码的ssh连接主机清单

[test]
10.0.0.8  ansible_connection=local  #指定本地连接,无需ssh配置
#每个主机分别指定用户和密码,ansible_connection=ssh 需StrictHostKeyChecking no 或者host_key_checking = False
10.0.0.7  ansible_connection=ssh  ansible_ssh_port=2222  ansible_ssh_user=wang
ansible_ssh_password=123456
10.0.0.6  ansible_ssh_user=root  ansible_ssh_password=123456
#对每个分组的所有主机统一定义用户和密码,执行ansible命令时显示别名,如web01
[websrvs]
web01 ansible_ssh_host=10.0.0.101
web02 ansible_ssh_host=10.0.0.102
[websrvs:vars]
ansible_ssh_password=magedu
some_host     ansible_ssh_port=2222   ansible_ssh_user=manager
aws_host      ansible_ssh_private_key_file=/home/example/.ssh/aws.pem
freebsd_host    ansible_python_interpreter=/usr/local/bin/python
ruby_module_host  ansible_ruby_interpreter=/usr/bin/ruby.1.9.3

4、Ansible相关工具

/usr/bin/ansible 主程序，临时命令执行工具
/usr/bin/ansible-doc 查看配置文档，模块功能查看工具,相当于man
/usr/bin/ansible-playbook 定制自动化任务，编排剧本工具,相当于脚本
/usr/bin/ansible-pull 远程执行命令的工具
/usr/bin/ansible-vault 文件加密工具
/usr/bin/ansible-console 基于Console界面与用户交互的执行工具
/usr/bin/ansible-galaxy 下载/上传优秀代码或Roles模块的官网平台

ansible 相关工具大多数是通过ssh协议，实现对远程主机的配置管理、应用部署、任务执行等功能
建议：使用此工具前，先配置ansible主控端能基于密钥认证的方式联系各个被管理节点

利用sshpass批量实现基于key验证脚本

[root@centos8 ~]#vim /etc/ssh/ssh_config
#修改下面一行
StrictHostKeyChecking no
[root@centos8 ~]#cat hosts.list
10.0.0.18
10.0.0.28
[root@centos8 ~]#vim push_ssh_key.sh
#!/bin/bash
rpm -q sshpass &> /dev/null || yum -y install sshpass 
[ -f /root/.ssh/id_rsa ] || ssh-keygen -f /root/.ssh/id_rsa  -P ''
export SSHPASS=123456
while read IP;do
 sshpass -e ssh-copy-id  -o StrictHostKeyChecking=no $IP
done < hosts.list

5、ansible命令用法

格式：

ansible <host-pattern> [-m module_name] [-a args]

选项说明：

--version #显示版本
-m module  #指定模块，默认为command
-v #详细过程 -vv -vvv更详细
--list-hosts #显示主机列表，可简写 --list
-C, --check  #检查，并不执行
-T, --timeout=TIMEOUT #执行命令的超时时间，默认10s
-k, --ask-pass   #提示输入ssh连接密码，默认Key验证
-u, --user=REMOTE_USER #执行远程执行的用户,默认root
-b, --become   #代替旧版的sudo实现通过sudo机制实现提升权限
--become-user=USERNAME  #指定sudo的runas用户，默认为root
-K, --ask-become-pass  #提示输入sudo时的口令
-f FORKS, --forks FORKS #指定并发同时执行ansible任务的主机数
-i INVENTORY, --inventory INVENTORY  #指定主机清单文件

使用示例：

#以yuhao用户执行ping存活检测
ansible all -m ping -u yuhao  -k
#以yuhao sudo至root执行ping存活检测
ansible all -m ping -u yuhao -k -b
#以yuhao sudo至zhangsan用户执行ping存活检测
ansible all -m ping -u yuhao -k -b --become-user=zhangsan
#以yuhao sudo至root用户执行ls
ansible all -m command  -u yuhao -a 'ls /root' -b --become-user=root -k -K

ansible-playbook

此工具用于执行编写好的 playbook 任务
剧本文件示例：

ansible-playbook hello.yml
cat hello.yml
---
#hello world yml file
- hosts: websrvs
  remote_user: root
  gather_facts: no

  tasks:
  - name: hello world
    command: /usr/bin/wall hello world

ansible-vault

此工具可以用于加密解密yml文件

格式：

ansible-vault [create|decrypt|edit|encrypt|rekey|view]

示例：

ansible-vault encrypt hello.yml #加密
ansible-vault decrypt hello.yml #解密
ansible-vault view hello.yml #查看
ansible-vault edit hello.yml #编辑加密文件
ansible-vault rekey hello.yml #修改口令
ansible-vault create new.yml #创建新文件
#执行加密的playbook,交互式输入密码
chmod 600 hello.yml
ansible-playbook  --ask-vault-pass hello.yml
#从pass.txt文件中读取密码
ansible-playbook --vault-password-file pass.txt hello.yml
#从配置文件中取得密码
#vi /etc/ansible/ansible.cfg
[defaults]
ault-password-file=pass.txt
#可以直接执行加密文件
ansible-playbook  hello.yml

Ansible常用模块

1、shell模块
功能：和command相似，用shell执行命令,支持各种符号,比如:*,$, > , 相当于增强版的command模块
注意：此模块不具有幂等性,建议能不能就用此模块,最好使用专用模块

ansible websrvs -m shell -a "echo $HOSTNAME"
ansible websrvs -m shell -a 'echo 12456 | passwd --stdin yuhao'

2、script模块
功能：在远程主机上运行ansible服务器上的脚本(无需执行权限)
注意：此模块不具有幂等性

ansible websrvs -m script -a /data/test.sh

3、copy模块
功能：复制ansible服务器主控端或远程的本机的文件到远程主机
注意: src=file 如果是没指明路径,则为当前目录或当前目录下的files目录下的file文件
常用选项:

src    #控制端的源文件路径
dest   #被控端的文件路径
owner   #属主
group   #属组
mode   #权限
backup  #是否备份
validate #验证成功才会执行copy
remote_src  #no是默认值,表示src文件在ansible主机,yes表示src文件在远程主机

示例：

#如目标存在，默认覆盖，此处指定先备
ansible websrvs -m copy -a "src=/root/test1.sh dest=/tmp/test2.sh  owner=wang
mode=600 backup=yes"
#指定内容，直接生成目标文件
ansible websrvs -m copy -a "content='wang 123456\nxiao 654321\n'
dest=/etc/rsync.pas owner=root group=root mode=0600"
#复制/etc目录自身,注意/etc/后面没有/
ansible websrvs -m copy -a "src=/etc dest=/backup"
#复制/etc/下的文件，不包括/etc/目录自身,注意/etc/后面有/
ansible websrvs -m copy -a "src=/etc/ dest=/backup"
#复制/etc/suders,并校验语法
ansible websrvs -m copy -a "src=/etc/suders dest=/etc/sudoers.edit
remote_src=yes validate=/usr/sbin/visudo -csf %s"

4、get_url模块
功能: 用于将文件从http、https或ftp下载到被管理机节点上
常用参数如下：

url  #下载文件的URL,支持HTTP，HTTPS或FTP协议
dest  #下载到目标路径（绝对路径），如果目标是一个目录，就用原文件名，如果目标设置了名称就用目标
设置的名称
owner #指定属主
group #指定属组
mode  #指定权限
force #如果yes，dest不是目录，将每次下载文件，如果内容改变替换文件。如果no，则只有在目标不存在时才会下载
checksum  #对目标文件在下载后计算摘要，以确保其完整性
url_username #用于HTTP基本认证的用户名。 对于允许空密码的站点，此参数可以不使用
`url_password'
url_password #用于HTTP基本认证的密码。 如果未指定`url_username'参数，则不会使用
`url_password'参数
validate_certs #如果“no”，SSL证书将不会被验证。 适用于自签名证书在私有网站上使用
timeout  #URL请求的超时时间,秒为单位

示例：

ansible websrvs -m get_url -a
 'url=http://nginx.org/download/nginx-1.18.0.tar.gz
dest=/usr/local/src/nginx.tar.gz
checksum="md5:b2d33d24d89b8b1f87ff5d251aa27eb8"'

5、fetch模块
功能：从远程主机提取文件至ansible的主控端，copy相反，目前不支持目录
常用选项:

src    #被控制端的源文件路径,只支持文件
dest   #ansible控制端的目录路径

示例：

ansible websrvs -m fetch -a 'src=/root/test.sh dest=/data/scripts'

6、file模块
功能：设置文件属性,创建文件,目录和软链接等
常见选项

path #在被控端创建的路径
owner #属主
group #属组
mode #权限
state #状态
 =touch   #创建文件
 =directory #创建目录
 =link #软链接
 =hard   #硬链接
 =absent #删除文件
recurse   #yes表示递归授权

示例：

#创建空文件
ansible all -m file  -a 'path=/data/test.txt state=touch'
ansible all -m file  -a 'path=/data/test.txt state=absent'
ansible all -m file -a "path=/root/test.sh owner=wang mode=755"
#创建目录
ansible all -m file -a "path=/data/mysql state=directory owner=mysql
group=mysql"
#创建软链接
ansible all -m file -a 'src=/data/testfile path|dest|name=/data/testfile-link
state=link'
#创建目录
ansible all -m file  -a 'path=/data/testdir state=directory'
#递归修改目录属性,但不递归至子目录
ansible all -m file -a "path=/data/mysql state=directory owner=mysql
group=mysql"
#递归修改目录及子目录的属性
ansible all -m file -a "path=/data/mysql state=directory owner=mysql group=mysql
recurse=yes"

7、unarchive 模块
功能：解包解压缩
实现有两种用法：
1、将ansible主机上的压缩包传到远程主机后解压缩至特定目录，设置remote_src=no,此为默认值,可省略
2、将远程本主机上或非ansible的其它主机的某个压缩包解压缩到远程主机本机的指定路径下，需要设置remote_src=yes
常用参数：

remote_src #和copy功能一样且选项互斥，yes表示源文件在远程被控主机或其它非ansible的其它主机上，no表示文件在ansible主机上,默认值为no, 此选项代替copy选项
src #源路径，可以是ansible主机上的路径，也可以是远程主机(被管理端或者第三方主机)上的路径，如果是远程主机上的路径，则需要设置remote_src=yes
dest #远程主机上的目标路径
mode #设置解压缩后的文件权限
creates=/path/file #当绝对路径/path/file不存在时才会执行

示例：

ansible all -m unarchive -a 'src=/data/foo.tgz dest=/var/lib/foo owner=wang group=wang'
ansible all -m unarchive -a 'src=/tmp/foo.zip dest=/data copy=no mode=0777'
ansible all -m unarchive -a 'src=https://example.com/example.zip dest=/data copy=no'
ansible websrvs -m unarchive -a
'src=https://releases.ansible.com/ansible/ansible-2.1.6.0-0.1.rc1.tar.gz dest=/data/  owner=root remote_src=yes'
ansible websrvs -m unarchive -a 'src=http://nginx.org/download/nginx-1.18.0.tar.gz dest=/usr/local/src/ copy=no'

8、archive模块
功能：打包压缩保存在被管理节点
常见选项

path  #压缩的文件或目录
dest  #压缩后的文件
format #压缩格式,支持gz,bz2,xz,tar,zip

示例：

ansible websrvs -m archive  -a 'path=/var/log/ dest=/data/log.tar.bz2 format=bz2 owner=wang mode=0600'

9、host那么模块
功能：管理主机名
常见选项

name  #修改后的主机名称

示例：

ansible node1 -m hostname -a "name=websrv"
ansible 10.0.0.18 -m hostname -a 'name=node1.yuhao.org'

10、cron模块
功能：计划任务
支持时间：minute，hour，day，month，weekday
常见选项

name #描述脚本的作用
minute   #分钟
hour #小时
weekday   #周
user #任务由哪个用户运行；默认root
job #任务

示例：

#备份数据库脚本
[root@centos8 ~]#cat /root/mysql_backup.sh
#!/bin/bash
mysqldump -A -F --single-transaction --master-data=2 -q -uroot |gzip > /data/mysql_`date +%F_%T`.sql.gz
#创建任务
ansible 10.0.0.8 -m cron -a 'hour=2 minute=30 weekday=1-5 name="backup mysql" job=/root/mysql_backup.sh'
ansible websrvs  -m cron -a "minute=*/5 job='/usr/sbin/ntpdate ntp.aliyun.com &>/dev/null' name=Synctime"
#禁用计划任务
ansible websrvs  -m cron -a "minute=*/5 job='/usr/sbin/ntpdate 172.20.0.1 &>/dev/null' name=Synctime disabled=yes"
#启用计划任务
ansible websrvs  -m cron -a "minute=*/5 job='/usr/sbin/ntpdate 172.20.0.1 &>/dev/null' name=Synctime disabled=no"
#删除任务
ansible websrvs -m cron -a "name='backup mysql' state=absent"
ansible websrvs -m cron -a 'state=absent name=Synctime'

作者：于浩创建时间：2025-05-22 13:14
最后编辑：于浩更新时间：2025-06-17 17:31