本节书摘来自华章出版社《Ansible权威指南》一书中的第2章,第2.3节,作者 李松涛 魏 巍 甘 捷 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.3 Ansible命令用法详解
Ansible命令行执行方式有Ad-Hoc、Ansible-playbook两种方式,Web化执行方式其官方提供了付费产品Tower(10台以内免费),个人的话可以基于其提供的API开发类似的Web化产品。关于命令行执行的两种方式Ad-Hoc和Ansible-playbooks、什么是Ad-Hoc及Ad-Hoc与Ansible-playbook的区别我们在第3章有详细介绍,这里不再赘述。需简要说明的是两者没有本质上的区别,Ad-Hoc主要用于临时命令的执行,Ansibel-playbook可以理解为Ad-Hoc的集合,通过一定的规则编排在一起。两者的操作也极其简便,且提供了如with_items、failed_when、changed_when、until、ignore_errors等丰富的逻辑条件和Dry-run的Check Mode。但在Chceck Mode下并不真正执行命令,即将执行的操作不会对端服务器产生任何影响,只模拟命令的执行过程是否能正常执行。
通过第1章的学习我们知道,Ansible的通信默认基于SSH,因此我们需要对主机先进行认证。Ansible认证方式有密码认证和公私钥认证两种方式,其实完全等同于SSH的认证,所以这里关于这两种认证方式不做过多介绍。Ansible默认使用(笔者也建议各位使用)公私钥认证方式,究其原因无非是出于安全的考虑,密码不用明文存放。以本机为例,执行如下命令即可添加本机认证信息。
随机生成公私钥对,ssh-keygen是Linux下认证密钥生成、管理和转换工具,详细用法可参考其man文档
ssh-keygen -N -b 4096 -t rsa -C stanley@magedu.com -f root.sshstanley.rsa
为本机添加密钥认证
ssh-copy-id –i root.sshstanley.rsa root@localhost
输入的时候会有如下提示:
Are you sure you want to continue connecting (yesno)
输入全小写的英文字母yes即可。
而后会有类似如下提示输入对应root用户的密码信息:
root@localhost's password
输入正确的密码信息后结果认证,随后在当前命令行输入如下命令尝试免密码登录:
ssh -i root.sshstanley.rsa root@localhost
如不提示输入密码即可直接登录则表示密钥验证成功。当然,这里只是为大家简要演示密钥认证的过程,实际应用中为方便起见,一般会使用非root用户生成默认文件名为id_rsa、id_rsa.pub的密钥对,在使用时通过sudo的方式获取权限。
Ansible的命令使用格式如下:
ansible host-pattern [options]
host-pattern是Inventory中定义的主机或主机组,可以为ip、hostname、Inventory中的group组名、具有“.”或“”或“:”等特殊字符的匹配型字符串,表示该选项是必须项,不可忽略。
[options]是Ansible的参数选项,[]表示该选项中的参数任选其一。
Ansible命令可用选项非常多,这里列举如下会用到的选项,详细选项可参考man或第3章。
-m NAME, --module-name=NAME:指定执行使用的模块。
-u USERNAME, --user=USERNAME:指定远程主机以USERNAME运行命令。
-s, --sudo:相当于Linux系统下的sudo命令。
-U SUDO_USERNAME, --sudo-user=SUDO_USERNAME:使用sudo,相当于Linux下的sudo命令。
具体示例如下:
以bruce用户执行ping存活检测
ansible all -m ping -u bruce
以bruce sudo至root执行ping存活检测
ansible all -m ping -u bruce --sudo
以bruce sudo至batman用户执行ping存活检测
ansible all -m ping -u bruce --sudo --sudo-user batman
但在新版本中Ansible的sudo命令废弃,改为--become或-b,如上命令需改为如下:
以bruce sudo至root执行ping存活检测
ansible all -m ping -u bruce -b
以bruce sudo至batman用户执行ping存活检测
ansible all -m ping -u bruce -b --become-user batman
Ansible-playbook的命令用法和Ansible略有不同,虽然参数选项与Ansible有很多相同的地方,但也新增了针对Ansible-playbook特有的参数。
Ansible-playbook的命令使用格式如下:
ansible-playbook playbook.yml
ansible-playbook命令后跟事先编辑好的playbook.yml文件即可。本节只简单介绍其用法,在第4、5、6章有大量内容介绍其写法、高级用法及优化方向。Ansible-playbook新增的功能参数如下:
--ask-vault-pass:加密playbook文件时提示输入密码。
-D, --diff:当更新的文件数及内容较少时,该选项可显示这些文件不同的地方,该选项结合-C用会有较好的效果。
-e EXTRA_VARS, --extra-vars=EXTRA_VARS:在Playbook中引入外部变量。
--flush-cache:将fact清除到的远程主机缓存。
--force-handlers:强制运行handlers的任务,即使在任务失败的情况下。
-i INVENTORY:指定要读取的Inventory文件。
--list-tags:列出所有可用的tags。
--list-tasks:列出所有即将被执行的任务。
--skip-tags=SKIP_TAGS:跳过指定的tags任务。
--start-at-task=START_AT_TASK:从第几条任务开始执行。
--step:逐步执行Playbook定义的任务,并经人工确认后继续执行下一步任务。
--syntax-check:检查Playbook中的语法书写。
-t TAGS, --tags=TAGS:指定执行该tags的任务。
在日常工作中,大家经常会遇到批量添加认证的问题,而逐条添加认证方式,如机械地对每台主机都一条条添加认证,那是一件非常麻烦的事,也违反了我们期望的自动化方式。具体的批量添加认证方式请参考第9章。如前面所介绍,Ansible不仅有ansible、ansible-playbook命令,还有ansible-galaxy、ansible-pull、ansible-doc、ansible-vault、ansible-console(2.0版本新增)命令,掌握Ansible的基础用法后,我们将更深一步学习Ansible系列命令。
相关资源:敏捷开发V1.0.pptx