基础知识补充:
常用自动化运维工具 Ansible:使用python来开发的,无需设置Agentless(代理),一般管理几百台。与ssh的方式也不一样,ssh是基于c/s模式(客户端+服务器)来使用服务端提供的服务,属于多台客户端访问一台服务器。而ansible是控制端,使用装了ansible的主机管理多台主机。也叫做主控端。Ansible是通过ssh端口来实现无代理配置。 Saltstack:使用python语言开发,一般需部署agent(代理),执行效率更高,一般管理几千台。 Puppet:使用ruby语言开发,功能强大,配置复杂,适合大型环境(了解即可) 下面这些使用者较少,不做介绍 Fabric:使用python语言开发,agentless(不需要设置代理) Chef: 使用ruby语言开发 Cfengine Func Ansible特性 模块化:调用特定的模块,完成特定任务 有Paramiko(基于ssh的开发语言),PyYAML(YAML语言),Jinja2(模板语言)这三个关键模块,并支持自定义模块 基于Python语言实现 部署简单,基于python和SSH(默认已安装),agentless(不需要设置代理) 安全,基于OpenSSH 支持playbook编排任务 幂等性:一个任务执行1遍和执行n遍效果一样,不因重复执行带来意外情况 无需代理不依赖PKI(无需ssl) 可使用任何编程语言写模块 YAML格式,编排任务,支持丰富的数据结构 较强大的多层解决方案
用户通过ANSIBLE来下达指令,通常是逐条命令执行。可以通过公有/私有云来实现远程管理.
主机库存中包含着所有主机的列表,通过主机分组及连接插件来实现管理不同的主机,给一些主机升级,一些主机创建用户等目的。
剧本是用在批量,定期做例行性工作的时候,比如定期做备份等等。在复杂一些的情况会使用角色(Roles),相当于多个剧本的组合。
Ansible主要组成部分
ANSIBLE PLAYBOOKS:任务剧本(任务集),编排定义Ansible任务集的配置文件,由Ansible顺序依次执行,通常是JSON格式的YML文件
INVENTORY:Ansible管理主机的清单,位于/etc/anaible/hosts文本文件中,内容为要管理的主机的名称或IP地址.
MODULES:Ansible执行命令的功能模块,多数为内置核心模块,也可自定义
PLUGINS:模块功能的补充,如连接类型插件、循环插件、变量插件、过滤插
件等,该功能不常用
API:供第三方程序调用的应用程序编程接口
ANSIBLE:组合INVENTORY、API、MODULES、PLUGINS的绿框,可以理解为是ansible命令工具,其为核心执行工具
Ansible命令执行来源:
1 USER,普通用户,SYSTEM ADMINISTRATOR(系统管理员)
2 CMDB(配置管理数据库) API 调用(需要开发接口)
3 PUBLIC/PRIVATE CLOUD API调用(需要开发接口)
4 USER-> Ansible Playbook -> Ansibile(运维工程师通常用这种方式)
利用ansible实现管理的方式:
1 Ad-Hoc 即单条ansible命令,主要用于临时命令使用场景
2 Ansible-playbook 主要用于长期规划好的,大型项目的场景,需要有前提的规划
Ansible-playbook(剧本)执行过程:
将已有编排好的任务集写入Ansible-Playbook,通过ansible-playbook命令分拆任务集至逐条ansible命令,按预定规则逐条执行
Ansible主要操作对象:
HOSTS主机
NETWORKING网络设备
注意事项
执行ansible的主机一般称为主控端,中控,master或堡垒机
主控端Python版本需要2.6或以上
被控端Python版本小于2.4需要安装python-simplejson
被控端如开启SELinux需要安装libselinux-python
windows不能做为主控端
ansible安装:配置好仓库的epel源,直接yum install ansible即可。
确认版本号: ansible –version
ansible的配置文件
/etc/ansible/ansible.cfg 主配置文件,配置ansible工作特性,大部分配置不用修改,默认值即可.
/etc/ansible/hosts 主机清单,要控制的主机必须存放在这个文件中。
/etc/ansible/roles/ 存放角色的目录,角色可理解为多个剧本的集合
ansible的程序
/usr/bin/ansible 主程序,临时命令执行工具
/usr/bin/ansible-doc 查看配置文档,模块功能查看工具(很多模块的帮助信息都在这里,相当于man)
/usr/bin/ansible-galaxy 下载/上传优秀代码或Roles模块的官网平台
/usr/bin/ansible-playbook 定制自动化任务,编排剧本工具/usr/bin/ansible-pull 远程执行命令的工具(pull,拉取的意思。有时候把别人的文件拉取到我这来,有时候把我的东西推送到别人那)
/usr/bin/ansible-vault 文件加密工具
/usr/bin/ansible-console 基于Console界面与用户交互的执行工具
ansible模块介绍:
执行哪些模块,就使用-m参数来指定。对其执行哪些动作则使用-a参数指定。
下面的演示都是一个中控机,然后2个node。
1)group模块
group模块:管理用户组模块 相关选项: name:组名称 gid:指定GID state:present/absent
present:表示创建。absent:表示删除 system:yes/no
yes/no:是否为系统用户。
1.1)案例演示:
[root@ELK-chaofeng01 ~]#ansible all -m group -a "gid=3000 name=chaofeng state=present system=no" 172.16.0.53 | CHANGED => { "changed": true, "gid": 3000, "name": "chaofeng", "state": "present", "system": false } 172.16.0.52 | CHANGED => { "changed": true, "gid": 3000, "name": "chaofeng", "state": "present", "system": false }
2)user模块
由于user模块的选项众多,这里只介绍一些常用的选项: name:用户名 password:为用户设置登陆密码,此密码是明文密码加密后的密码 update_password:always/on_create always:只有当密码不相同时才会更新密码(默认) on_create:只为新用户设置密码 shell:用户的shell设定 groups:用户附加组设定 home:指定用户的家目录 append:yes/no yes:增量添加group no:全量变更group,只设置groups指定的group组(默认) remove:配合state=absent使用,删除用户的家目录->remove=yes
案例演示:
2.1)添加一个用户
[root@ELK-chaofeng01 ~]#ansible all -m user -a "uid=5000 name=testuser state=present groups=root shell=/bin/tcsh" 172.16.0.52 | CHANGED => { "changed": true, "comment": "", "create_home": true, "group": 5000, "groups": "root", "home": "/home/testuser", "name": "testuser", "shell": "/bin/tcsh", "state": "present", "system": false, "uid": 5000 } 172.16.0.53 | CHANGED => { "changed": true, "comment": "", "create_home": true, "group": 5000, "groups": "root", "home": "/home/testuser", "name": "testuser", "shell": "/bin/tcsh", "state": "present", "system": false, "uid": 5000 }
注意:要添加的附加组也是需要在node节点的主机上事先存在的,否则会报错:比如
3)copy模块
copy模块:复制本地文件至远程主机上 相关选项: backup:在覆盖之前,将源文件备份,备份文件包含时间信息。有两个选项:yes|no content:用于替代“src”,可以直接设定指定文件的值 dest:必选项。要将源文件复制到的远程主机的绝对路径,如果源文件是一个目录,那么该路径也必须是个目录 directory_mode:递归设定目录的权限,默认为系统默认权限 force:如果目标主机包含该文件,但内容不同,如果设置为yes,则强制覆盖,如果为no,则只有当目标主机的目标位置不存在该文件时,才复制。默认为yes others:所有的file模块里的选项都可以在这里使用 src:被复制到远程主机的本地文件(也就是中控机上的文件),可以是绝对路径,也可以是相对路径。如果路径是一个目录,它将递归复制。在这种情况下,如果路径使用“/”来结尾,则只复制目录里的内容,如果没有使用“/”来结尾,则包含目录在内的整个内容全部复制,类似于rsync。 owner,group,mode...
mode:设定复制的文件的权限属性,数字表示法来设定。
案例:
3.1)将中控机上/etc/fstab文件复制到远程节点上:
[root@ELK-chaofeng01 ~]#ansible all -m copy -a "src=/etc/fstab dest=/tmp/fstab.ansible mode=600" 172.16.0.52 | CHANGED => { "changed": true, "checksum": "150ff5f6b99363314d375b73a5708e2a9911e52a", "dest": "/tmp/fstab.ansible", "gid": 0, "group": "root", "md5sum": "5fe64bfebc65805a98e7e9d47e9f379f", "mode": "0600", "owner": "root", "size": 501, "src": "/root/.ansible/tmp/ansible-tmp-1553574326.56-222928675924643/source", "state": "file", "uid": 0 } 172.16.0.53 | CHANGED => { "changed": true, "checksum": "150ff5f6b99363314d375b73a5708e2a9911e52a", "dest": "/tmp/fstab.ansible", "gid": 0, "group": "root", "md5sum": "5fe64bfebc65805a98e7e9d47e9f379f", "mode": "0600", "owner": "root", "size": 501, "src": "/root/.ansible/tmp/ansible-tmp-1553574326.57-180187752562484/source", "state": "file", "uid": 0 }
我们可以在node节点上看看权限信息
[root@ELK-chaofeng02 ~]#ls /tmp/fstab.ansible -l -rw------- 1 root root 501 Mar 26 12:25 /tmp/fstab.ansible
3.2)复制一个目录
[root@ELK-chaofeng01 ~]#ansible 172.16.0.52 -m copy -a "src=/etc/yum.repos.d/ dest=/tmp/yum.repos_ansible owner=root" 172.16.0.52 | CHANGED => { "changed": true, "dest": "/tmp/yum.repos_ansible/", "src": "/etc/yum.repos.d/" }
注意:上面的src路径中,是我们定义的要复制的源目录,源目录后必须带上根路径”/“标识符。否则不带的话,复制的是目录本身,并非目录下的所有文件。
在node节点上查看一下:
补充:fetch的作用:将远程主机上的文件复制到本地来。用法格式:ansible-doc -s fetch
4)shell模块:让远程主机在shell进程下执行命令,从而支持shell的特性,如管道等。
如果说我们的目标主机需要执行一些命令类操作,因此我们就需要使用shell模块
[root@ELK-chaofeng01 ~]#ansible all -m shell -a "ip addr" 172.16.0.53 | CHANGED | rc=0 >> 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:e5:63:80 brd ff:ff:ff:ff:ff:ff inet 172.16.0.53/16 brd 172.16.255.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::1924:db50:da5d:2e13/64 scope link valid_lft forever preferred_lft forever 172.16.0.52 | CHANGED | rc=0 >> 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:5b:be:3f brd ff:ff:ff:ff:ff:ff inet 172.16.0.52/16 brd 172.16.255.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::f427:6471:2b8a:40f8/64 scope link valid_lft forever preferred_lft forever
5)file模块:多设置文件属性
相关选项: force:需要在两种情况下强制创建软链接,一种是源文件不存在,但之后会建立的情况下;另一种是目标软链接已存在,需要先取消之前的软链,然后创建新的软链,有两个选项:yes|no group:定义文件/目录的属组 mode:定义文件/目录的权限 owner:定义文件/目录的属主 path:必选项,定义文件/目录的路径 recurse:递归设置文件的属性,只对目录有效 src:被链接的源文件路径,只应用于state=link的情况 dest:被链接到的路径,只应用于state=link的情况 state: directory:如果目录不存在,就创建目录 file:即使文件不存在,也不会被创建此文件 link:创建软链接 hard:创建硬链接 touch:如果文件不存在,则会创建一个新的文件,如果文件或目录已存在,则更新其最后修改时间 absent:删除目录、文件或者取消链接文件
案例:
5.1)创建一个目录
5.2)创建一个符号链接
6)cron模块
minute=/hour=/day=/month=/weekday= 某个值不写,默认就是* name:必选项,任务描述信息 job:执行的任务,要加引号 state:present(创建)/absent(删除)
案例:
6.1)定时在目标主机上执行任务
[root@ELK-chaofeng01 ~]#ansible all -m cron -a "minute=*/3 job='/usr/sbin/echo haha &>/dev/null' name=None state=present" 172.16.0.52 | CHANGED => { "changed": true, "envs": [], "jobs": [ "None" ] } 172.16.0.53 | CHANGED => { "changed": true, "envs": [], "jobs": [ "None" ] }
然后我们去目标主机看一下:
在cron计划任务里面确实有这个任务。
取消计划任务:
[root@ELK-chaofeng01 ~]#ansible all -m cron -a "minute=*/3 job='/usr/sbin/echo haha &>/dev/null' name=None state=absent"
7)yum模块:管理安装rpm程序包
相关选项: name:程序包名称,可带版本号 state:present、installed、latest(安装)/absent、removed(删除)
案例:
1、安装一个包apr-devel
8)service模块:管理服务
name:服务名称 state:started/stopped/restarted/reloaded enabled:true/false 是否要开机自启。 runlevel:运行级别
案例:
8.1)将所有节点启动nginx服务。
8.2)将所有节点的nginx服务关闭了
9)自定义script脚本:自动上传到所有的节点并执行此脚本。
命令语法:
案例演示:
9.1)上传一个脚本到节点并执行
先在中控机编写一个脚本:
然后在中控机上传到各个节点并执行
[root@ELK-chaofeng01 ~]#ansible all -m script -a "/tmp/echo.sh" 172.16.0.52 | CHANGED => { "changed": true, "rc": 0, "stderr": "Shared connection to 172.16.0.52 closed. ", "stderr_lines": [ "Shared connection to 172.16.0.52 closed." ], "stdout": "", "stdout_lines": [] } 172.16.0.53 | CHANGED => { "changed": true, "rc": 0, "stderr": "Shared connection to 172.16.0.53 closed. ", "stderr_lines": [ "Shared connection to 172.16.0.53 closed." ], "stdout": "", "stdout_lines": [] }
然后到其中一个节点查看一下:
执行成功了。