使用本脚本可以自动批量完成中间节点环境的部署工作,包括:Nginx编译安装、添加程序管理脚本、设置开机启动、反向代理配置、证书分发、添加iptables规则等。脚本支持自定义nginx安装版本、设置编译模块、配置监听端口等。 1. Nginx Role规则说明 本脚本用于中间节点(Nginx反向代理)环境的自动化配置,主要内容包括: 安装基础依赖环境; 创建nginx启动用户(支持自定义用户); 下载nginx安装文件(可自定义nginx版本); 解压安装文件; 执行编译安装(可自定义编译参数和模块); 添加管理脚本,用于nginx服务的启动和关闭; 设置开机启动; 分发https证书文件; 反向代理配置; 添加iptables规则,允许访问nginx代理服务。 2. Nginx Role规则基本说明 2.1 目录结构说明 Nginx Role目录结构介绍: nginx # Nginx Role脚本根目录 ├── defaults # 脚本默认变量目录 │ └── main.yml # 脚本默认变量文件 ├── files # 文件目录 │ ├── https_cert # 文件目录,用于存放https证书文件 │ └── nginx_start_scripts # nginx启动脚本 ├── handlers # 任务处理器 │ └── main.yml # 定义了 nginx reload和iptables restarted两个处理器任务 ├── tasks # 任务目录 │ └── main.yml # ansible任务文件,定义了需要执行的自动化任务 ├── templates #模板目录 │ ├── nginx_config_file.j2 # nginx配置模板,使用了jinja2模版语言进行预定义,可通过变量传递配自定义置内容 │ └── nginx_install.j2 # nginx编译安装执行脚本 ├── tests # 脚本使用的测试用例,脚本执行案例 │ ├── inventory # 脚本执行使用的主机清单 │ └── test.yml # 脚本执行调用的playbook剧本 └── vars # 脚本变量目录 └── main.yml # 脚本变量文件 2.2 脚本变量说明 默认变量(nginx/defaults/main.yml) 变量名 默认值 说明 nginx_install true nginx编译安装 nginx_start_scripts true 分发nginx启动脚本 nginx_start_service true 启动nginx服务 nginx_start_on_boot true 设置开机启动 nginx_copy_https_cert false 分发https证书文件 nginx_revproxy_config false 设置反向代理配置 add_iptables_for_nginx false 添加iptables防火墙规则 通过默认变量可以控制脚本执行的内容,在使用本脚本前最好是执行下common脚本,先进行系统的初始优化工作。 脚本变量(nginx/vars/main.yml) --- nginx_user: nginx # nginx启动用户 nginx_group: nginx # nginx组 nginx_version: 1.15.8 # 要安装的nginx版本 download_url: http://nginx.org/download # nginx文件下载地址 download_dir: /usr/local/src # nginx文件下载存放目录 install_dir: /usr/local/nginx # nginx安装目录 model_config: # nginx编译安装参数 - "--user={{ nginx_user }}" - "--group={{ nginx_group }}" - "--prefix={{ install_dir }}" - "--with-http_realip_module" - "--with-http_sub_module" - "--with-http_gzip_static_module" - "--with-http_stub_status_module" - "--with-http_ssl_module" - "--with-pcre" 可以通过修改nginx_version来修改需要安装的版本,但需要确认下载地址download_url中存在对应版本,并可以下载。 2.3 nginx反向代理配置模版说明 nginx反向代理配置模版(nginx/templates/nginx_config_file.j2) user {{ nginx_user }}; worker_processes {{ ansible_processor_vcpus }}; events { worker_connections 102400; } http { include mime.types; default_type application/octet-stream; log_format main '$remote_addr $http_X_Forwarded_For [$time_local] ' '$upstream_addr $upstream_response_time ' '$http_host $request ' '"$status" $body_bytes_sent "$http_referer" ' '"$http_accept_language" "$http_user_agent" '; sendfile on; tcp_nopush on; tcp_nodelay on; server_tokens off; keepalive_timeout 65; {% for item in nginx_revproxy_sites %} # 对nginx_revproxy_sites配置变量进行循环 {% if item.host == ansible_host %} # 判断host是否等于当前执行任务的主机地址,如果相等继续执行后面操作 upstream {{ item.desc }}_backend { # 使用desc变量内容加上_backend作为upstream名称 {% for upstream in item.upstreams %} # 遍历upstreams server {{ upstream.address }}:{{ upstream.port }}; # 将遍历结果作为upstream模块集群转发地址(反向代理的回源请求地址,upstream支持多节点的集群负载) {% endfor %} } server { listen {{ item.listen_port | default(80) }}; # 配置http监听端口,如果没有定义listen_port默认使用80端口 server_name {{ item.domains | join(" ") }}; 配置访问域名,支持多域名设置 access_log logs/access.log main; {% if item.ssl_status %} # 判断ssl_status状态,如果状态为true,则将http请求跳转到https(跳转会加上listen_ssl_port和请求链接) return 301 https://$server_name:{{ item.listen_ssl_port | default(443) }}$request_uri; {% else %} # 如果ssl_status状态为false,则使用http代理将请求转发到上面定义的upstream集群 location / { proxy_pass http://{{ item.desc }}_backend; } {% endif %} } {% if item.ssl_status %} # ssl_status状态为true是进行https反向代理配置和域名证书配置 server { listen {{ item.listen_ssl_port | default(443) }} ssl; server_name {{ item.domains | join(" ") }}; ssl_certificate {{ item.ssl_crt }}; ssl_certificate_key {{ item.ssl_key }}; ssl_session_timeout 50m; ssl_protocols TLSv1.2; ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL; ssl_prefer_server_ciphers on; access_log logs/access.log main; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_request_buffering off; proxy_ignore_client_abort on; proxy_pass https://{{ item.desc }}_backend; } } {% endif %} {% endif %} {% endfor %} } 反向代理模版配置说明: 配置模版使用了Jinja2模版语言使用自定义变量来动态进行配置文件的渲染; user {{ nginx_user }}:使用自定义的用户作为nginx启动用户; worker_processes {{ ansible_processor_vcpus }}:获取cup核数,设置worker_processes; 其他说明详见模版中注释内容。 3 Nginx role脚本使用说明 在脚本中已经创建了一个简单的使用案例(nginx/tests/)可以作为参考,同时前面已经介绍了默认变量和脚本变量,在脚本使用过程中可以去自定义这些变量内容。 使用脚本前先将脚本目录(nginx)拷贝到/etc/ansible/roles目录下 3.1 基本功能使用 通过以下事例可以完成nginx的编译安装和开机启动配置: 1) 新建一个主机清单文件(nginx/tests/inventory): [proxy_server] 192.168.0.100 192.168.0.101 这里默认已经使用common脚本进行了系统的初始化配置,可以通过密钥来登陆主机清单中的主机。如果清单中主机没有配置密钥登陆,在定义清单时需要制定远程登陆用户和密码: [proxy_server] 192.168.0.100 ansible_ssh_user=root ansible_ssh_pass=CPBal1Tid 192.168.0.101 ansible_ssh_user=root ansible_ssh_pass=KJadfiola 新建执行脚本用的playbook剧本(nginx/tests/nginx_site.yml) --- - hosts: proxy_server remote_user: root roles: - nginx 3) 执行脚本 cd /etc/ansible/roles/nginx/tests/ ansible-playbook nginx_site.yml -i inventory 脚本成功执行完成后,ansible会在inventory清单中的远程主机编译安装nginx,并添加到开机启动。 4)执行结果验证 ansible proxy_server -m shell -a "ps -ef |grep nginx" -i inventory 192.168.0.100 | CHANGED | rc=0 >> root 2228 1 0 13:24 ? 00:00:00 nginx: master process /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf nginx 2229 2228 0 13:24 ? 00:00:00 nginx: worker process root 5781 5780 0 13:36 pts/0 00:00:00 /bin/sh -c ps -ef |grep nginx root 5783 5781 0 13:36 pts/0 00:00:00 grep nginx ....后面内容省略.... 可以看到远程主机已经成功安装了nginx并启动了nginx服务,当然你也可以确认下是否分发了nginx启动脚本和是否设置了开机启动。 3.2 反向代理配置和证书分发 如果想要在安装nginx的同时配置反向代理,和分发证书文件,按照下面步骤进行操作: 1)上传证书文件 将https证书文件上传到nginx/files/https_cert目录。 2)修改nginx/tests/nginx_site.yml文件 --- - hosts: proxy_server remote_user: root vars: nginx_copy_https_cert: true nginx_revproxy_config: true add_iptables_for_nginx: true nginx_revproxy_sites: # nginx 反向代理配置内容,对照《2.3 nginx反向代理配置模版说明》更便于理解 - host: 192.168.0.100 # 反向代理配置对应的主机 desc: t_server # 反向代理集群备注,nginx配置模版中引用它作为upstream名称 domains: # 域名,用于定义server_name,支持多个域名配置 - example.com - www.example.com upstreams: # nginx反向代理集群配置内容,可以添加多个节点,默认采用轮训方式进行请求转发 - { address: 192.168.10.11, port: 80} - { address: 192.168.10.12, port: 8080} listen_port: 80 # http监听端口,如果不设置,默认使用80端口 listen_ssl_port: 443 # https监听端口,如果不设置,默认使用https端口 ssl_status: true # 设置为true启用https配置 ssl_crt: /etc/ssl/test.com.crt # 证书文件 ssl_key: /etc/ssl/test.com.key # 证书文件 - host: 192.168.0.101 desc: z_server domains: - example01.com - wwww.example01.com upstreams: - { address: 192.168.0.21, port: 80} - { address: 192.168.0.22, port: 80} ssl_status: false roles: - nginx 执行nginx role的playbook剧本说明: nginx_copy_https_cert:默认变量,用来控制证书文件分发,设置为true,执行证书分发操作; nginx_revproxy_config:默认变量,用来启用反向代理配置,设置为ture,进行模版变量替换和分发; add_iptables_for_nginx:默认变量,用来添加iptables规则,需要保证系统已安装iptables-services服务(common基础优化脚本中已经定义安装过程); nginx_revproxy_sites:nginx反向代理的配置内容,详细说明件上面的备注。 配置注意事项: 如果启用了nginx_copy_https_cert、nginx_revproxy_config、add_iptables_for_nginx这三项配置,必须定义nginx_revproxy_sites; nginx_revproxy_sites中必定义字段有:host、desc、domain、upstreams、ssl_status; host: 用来确定反向代理配置对应的主机(该主机必须存在于inventory主机清单中); ssl_status:当ssl_status状态为true时,需要定义证书文件ssl_crt和ssl_key,其中证书名称必须和上传到nginx/files/https_cert目录中的名称对应; listen_port(listen_ssl_port): http(https)监听端口,这两个选项不是必须定义,如果在playbook中没有定义,脚本默认会采用80(443)端口,这两个监听端口不能用同一个端口。 配置文件使用的是yaml格式,在定义文件内容时注意缩紧。