定义主机和组

在使用ansible来批量管理主机的时候,通常我们需要先定义要管理哪些主机或者主机组,而这个用于管理主机与主机组的文件就叫做Inventory,也叫做主机清单,该文件默认位于/etc/ansible/hosts(如果是pip安装则没有)
当然我们也可以通过修改ansible的配置文件来修改默认使用的主机清单

主机的定义

  • 主机部分可以使用域名,主机名,IP地址来定义;使用前2者时,需要主机能够解析到对应的IP地址
[devops@node1 ~]$ cat hosts
node1
node2
node1.example.com
node2.example.com
192.168.200.100
192.168.200.200

我们可以看到,现在主机清单里面是写了node1(主机名),node1.example.com(域名),192.168.200.100(IP地址),这三种定义方式都是可以的,但是你要想管理的话,主机名和域名必须是有对应的解析的
这种方式是一个个定义,我们还可以指定范围,比如

[devops@node1 ~]$ cat hosts
192.168.200.[1:10]
# 通过命令来查看当前被定义的主机是哪些
# ansible all --list就是列出主机清单内的全部主机
[devops@node1 ~]$ ansible all --list
  hosts (10):
    192.168.200.1
    192.168.200.2
    192.168.200.3
    192.168.200.4
    192.168.200.5
    192.168.200.6
    192.168.200.7
    192.168.200.8
    192.168.200.9
    192.168.200.10

可以看到,他确实是我们定义的那样从1-10这个IP地址范围

主机组的定于

主机的定义就是直接讲被管理的节点写入到主机清单内,而主机组的定义是需要加上一个[组名]的

[devops@node1 ~]$ cat hosts
[webserver]
node1
node2

中括号里面写的就是组名,下面的内容就是这个组内有哪些主机
同样我们可以通过组名来查看组内有哪些主机

# 注意,我之前写的是ansible all --list
# 这里写的是webserver,也就是主机组的名字,所以他只会列出这个主机组内的成员
[devops@node1 ~]$ ansible webserver --list
  hosts (2):
    node1
    node2

如果有多个主机组,那么就可以写多个中括号,一个主机可以隶属于不同主机组

[devops@node1 ~]$ cat hosts
[webserver]
node1
node2
[sqlserver]
node2
node3
[devops@node1 ~]$ ansible all --list
  hosts (3):
    node1
    node2
    node3

这里不知道你有没有疑问,那我主机和主机组同时定义的时候,位置是随意的吗?不是!
单个主机只能写在主机组之前,如果你写在主机组之后,不管你空多少行,他都会认为你这个主机是属于这个组内的,来看例子

现在我想定义一个单个主机192.168.1.1

从截图我们可以看到,这个192.168.1.1与主机组sqlserver之前是空了很多行的,我们通过命令来查一下看看

# 我们直接来查sqlserver主机组内有哪些成员
[devops@node1 ~]$ ansible sqlserver --list
  hosts (3):
    node2
    node3
    192.168.1.1

看到了吗,sqlserver主机组内是包含这个主机的,那我们将这个主机提前到所有主机组之前

我们再来查一下

[devops@node1 ~]$ ansible sqlserver --list
  hosts (2):
    node2
    node3
# 通过这个命令可以查到不属于任何主机组的主机
[devops@node1 ~]$ ansible ungrouped --list
  hosts (1):
    192.168.1.1

现在他被定义成了一个单个主机

主机组的嵌套

主机组的嵌套是什么呢?我们可以这样来想象,假设你现在管理2个机房的服务器,现在你需要对机房1的所有服务器进行软件升级,这个时候你怎么去选择机房1呢?我们可以通过主机嵌套来解决

[devops@node1 ~]$ cat hosts
192.168.1.1

[webserver]
node1
node2


[sqlserver]
node2
node3

[MachineRoom:children]
webserver
sqlserver

就是这样定义的,[MachineRoom:children],也就是说MachineRoom下面有哪些孩子嘛,它下面有webserver组和sqlserver组,这2个组就代表着机房1,所以我需要对机房1进行操作的话我就可以直接选择Machine这个组就可以了

[devops@node1 ~]$ ansible MachineRoom --list
  hosts (3):
    node1
    node2
    node3

选择主机和组

上面我们说到了定义主机和主机组,定义完了之后我们如何去选择呢?上面也提到了一些,选择我们来看如果更精准的选择

匹配主机

# 或者执行ansible all --list-hosts是一样的
[devops@node1 ~]$ ansible all --list
  hosts (4):
    192.168.1.1
    node1
    node2
    node3
  1. 匹配指定的主机或组
# 匹配单个主机
[devops@node1 ~]$ ansible 192.168.1.1 --list
  hosts (1):
    192.168.1.1
# 配置主机组
[devops@node1 ~]$ ansible webserver --list
  hosts (2):
    node1
    node2
# 匹配多个主机,这种方式可以选择多个,只需要用逗号隔开就行
[devops@node1 ~]$ ansible 192.168.1.1,webserver --list
  hosts (3):
    192.168.1.1
    node1
    node2
# 匹配不属于任何主机组的主机
[devops@node1 ~]$ ansible ungrouped --list
  hosts (1):
    192.168.1.1

使用通配符匹配

先改一个hosts文件内容

[devops@node1 ~]$ cat hosts
192.168.1.1
node1.example.com
node2.example.com

[webserver]
node1
node2

[sqlserver]
node2
node3

使用通配符匹配

# 匹配所有以.example.com结尾的主机
[devops@node1 ~]$ ansible *.example.com --list
  hosts (2):
    node1.example.com
    node2.example.com
# 匹配所有.example.com结尾的主机但是不匹配node2开头的主机,这种情况需要使用引号,如果不使用引号终端会将!当作历史命令给执行的
[devops@node1 ~]$ ansible '*.example.com,!node2*' --list
  hosts (1):
    node1.example.com

配置文件优先级

ansible的配置文件也是有优先级的,他一般会存在4个地方

    1. ANSIBLE_CONFIG:首先,Ansible命令会检查这个环境变量以及指向的配置文件,优先级最高
    1. ./ansible.cfg:当前目录下的ansible.cfg,如果ANSIBLE_CONFIG环境变量不存在,那么就会使用这个
    1. ~/.ansible.cfg:当前用户家目录下的一个隐藏文件,如果当前目录下没有ansible.cfg文件,就会检查这个隐藏文件是否存在
    1. /etc/ansible/ansible.cfg:默认的配置文件,如果以上所有的配置文件都不存在,则会使用这个

配置文件详解

配置文件段

ansible.cfg的配置迷人分为十段:
[defaults] 通用配置项目
[inventory] 与主机清单相关配置
[privilege_escalation] 特权升级相关配置
[paramiko_connection] 使用paramiko连接的相关配置
[ssh_connection] 使用openssh连接的相关配置
[persistent_connection] 持久连接的配置项
[accelerate] 加速模式相关配置
[selinux] selinux相关配置
[color] ansible命令输出的颜色相关配置
[diff] 是否再运行时打印diff (变更前与变更后的差异)

配置文件参数说明

[defaults]
inventory = /etc/ansible/hosts
ask_pass = false
remote_user = root
[privilege_escalation]
become = true
become_method = sudo
become_user = root
become_ask_pass = False

这些配置我们一行行来看

  1. inventory: 定义默认使用的主机清单,当前是使用的/etc/ansible/hosts,可以将他修改成你想用的那个文件
  2. remote_user:ansible在操作远程主机时,使用远程主机上的哪个用户身份,默认是root,为了安全可以使用一个普通用户
  3. ask_pass:在操作远程主机时,登录时是否输入密码,默认为true。如果使用密钥认证,将这里设置为false
  4. become:是否提权
  5. become_method:如果使用提权,将以何种方式提权,默认时sudo
  6. become_user:提权到哪个用户,默认提权到root
  7. become_ask_pass:提权是否需要输入密码,默认为False

配置案例

前置条件,配置hosts映射,所有节点都要做

主机 IP 主机名
node1 192.168.100.210 node1
kvm 192.168.100.220 node2
echo "192.168.100.210 node1" >> /etc/hosts
echo "192.168.100.220 node2" >> /etc/hosts

需求,使用普通用户devops去操作主机,devops使用密钥验证,可以免密提权到root

1. 在节点上创建一个普通用户devops,并设置密码123

[root@node1 ~]# useradd devops
[root@node1 ~]# echo 123|passwd --stdin devops
[root@kvm ~]# useradd devops
[root@kvm ~]# echo 123|passwd --stdin devops

2. 配置sudo提权

[root@node1 ~]# cat /etc/sudoers.d/devops 
devops ALL=(root) NOPASSWD:ALL
[root@kvm ~]# cat /etc/sudoers.d/devops 
devops ALL=(root) NOPASSWD:ALL

3. 配置管理节点免密登录到被管节点

[root@node1 ~]# su - devops
[devops@node1 ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/devops/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/devops/.ssh/id_rsa.
Your public key has been saved in /home/devops/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:eUVPHb1laerU/LB+EDBFHu8nrtjz9jE91cZ2SditO8Y devops@node1.example.com
The key's randomart image is:
+---[RSA 3072]----+
|            .o=o+|
|           .o+o=*|
|            .+B+=|
|         . . o+Bo|
|        S . o o=@|
|         .   +o=*|
|             .E=.|
|           o.oo.=|
|          . o+.o.|
+----[SHA256]-----+
# 将公钥发送到被管节点
[devops@node1 ~]$ ssh-copy-id node1
[devops@node1 ~]$ ssh-copy-id node2
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/devops/.ssh/id_rsa.pub"
The authenticity of host 'node2 (192.168.100.220)' can't be established.
ECDSA key fingerprint is SHA256:sH7gqZEak7Xap0VARUzaZJXrr2y4RE2ds40WKMoCspw.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
devops@node2's password: # 这里输入密码
Now try logging into the machine, with:   "ssh 'node2'"

4. 配置

# 1. 将配置文件拷贝到普通用户家目录下
[devops@node1 ~]$ cp -r /etc/ansible/ .
[devops@node1 ~]$ ls
ansible
# 2. 进入目录修改配置
[devops@node1 ~]$ cd ansible/
[devops@node1 ansible]$ ls
ansible.cfg  hosts  roles
# 最后将配置文件修改成这样就行
[devops@node1 ansible]$ cat ansible.cfg
[defaults]
inventory      = ./hosts
sudo_user      = devops
ask_sudo_pass = False
ask_pass      = False
host_key_checking = False
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

5. 写主机清单

[devops@node1 ansible]$ cat hosts 
node1
node2

6. 验证配置是否生效

[devops@node1 ansible]$ ansible all --list
  hosts (2):
    node1
    node2
[devops@node1 ansible]$ ansible all -m shell -a 'whoami'
node2 | CHANGED | rc=0 >>
root
node1 | CHANGED | rc=0 >>
root

我们可以看到,node1和node2上都执行成功了,并且返回的结果时root,说明提权也是配置正确的
这就是ansible的基本配置了

标签: none

添加新评论