轻量级自动化运维工具ansible之二:playbook详解

时间:2020-12-08 06:53:22

  在介绍playbook之前,我们先了解一下YAML语言,因为playbook是用YAML语言编写的


一、YAML

  1、YAML是一种可读性高的用来表达资料序列的语言,其语法和其他高阶语言类似,并且可以简单表达清单、散列表、标量等数据结构。所有的yaml文件都以"---"开头表示开始一个document,所有的列表元素以"-"开头,键值对用":",后面的空格是必须的。下面是一个示例:

    ---   #打头符可省略

    - name: John Smith

      age: 41

      gender: Male

      spouse:

        name: Jane Smith

        age: 37

        gender: Female

      children:

        - name: Jimmy Smith

         age: 17

         gender: Male

        - name: Jenny Smith

         age 13

         gender: Female

    YAML文件扩展名通常为.yaml或.yml,如example.yaml

  2、list

    列表的所有元素均使用“-”打头,例如:

      # A list of tasty fruits

      - Apple

      - Orange

      - Strawberry

  3、dictionary

    字典通过key与valuef进行标识,例如:

      # An employee record

      name: Example Developer

      job: Developer

      skill: Elite

    也可以将key:value放置于{}中进行表示,例如:

      # An employee record

      {name: Example Developer, job: Developer, skill: Elite}


二、playbook详解

   playbook(剧本)是ansible管理配置、部署应用和编排的文件,可用来描述你想在被控主机上执行的策略或者一组任务等。

   一个playbook文件由一个或多个play组成,每个play定义了在一个或多个远程主机上执行的一系列的task,其中每个task一般就是调用一个ansible的模块

   playbook使用YAML语言编写,文件名以.yaml或.yml结尾。此外playbook和模板文件(template)还可使用jinja2语法语法实现高级功能。


  1、playbook的基本组成

      targets:指定要执行playbook的远程主机组

      variables:定义playbook运行时需要使用的变量

      tasks:要执行的任务

      handlers:处理器,在某些条件下被触发的操作


    一个简单的示例:

      vim httpd.yml

      - hosts: websrvs

       remote_user: root

       vars:

         remote_conffile_path: /etc/httpd/conf/httpd.conf

       tasks:

       - name: install httpd

        yum: name+httpd state=latest

        when: ansible_pkg_mgr == "yum"

       - name: configration file

        tags: conf

        copy: src=/root/httpd.conf dest={{ remote_conffile_path }}  

        notify: restart httpd

       - name: start httpd

        service: name=httpd enabled=yes state=started

       handlers:

       - name: restart httpd

        service: name=httpd state=restarted


  2、playbook各基础组件说明

    ⑴hosts和users

      hosts用于指定要执行指定任务的主机,其可以是一个或多个由逗号分隔主机组;remote_user则用于指定远程主机上的执行任务的用户。如上面示例中的

        - hosts: websrvs

          remote_user: magedu   #在远程主机上以哪个用户身份执行

          become: yes   #是否允许身份切换

          become_method: sudo   #切换用户身份的方式,有sudo、su、pbrun等方式,默认为sudo

          become_user: root   #切换成什么用户身份,默认为root

         tasks:

         - name: test connection

           ping:

       以上remote_user、become、become_method、become_use选项不仅可用于全局,也可用于各task中。在absible 2.0以前的版本中,用 sudo 和 sudo_user 两个选项分别表示是否允许sudo和sudo切换到的用户身份

      remote_user、become、become_method、become_user分别对应inventory文件中的ansible_user、ansible_become、ansible_become_method、ansible_become_user

      如果需要指定切换用户身份时的密码,可在执行ansible-playbook时使用选项 --ask-become-pass指定(旧版ansible使用 --ask-sudo-pass指定sudo切换时的密码)

      


    ⑵任务列表和action

       play的主体部分是task list。task list中的各任务按次序逐个在hosts中指定的所有主机上执行,即在所有主机上完成第一个任务后再开始第二个。如果中途发生错误,所有已执行任务都将回滚,因此,在更正playbook后重新执行一次即可。

       task的目的是使用指定的参数执行模块,而在模块参数中可以使用变量。模块执行是幂等的,这意味着多次执行是安全的,因为其结果均一致

       每个task都应该有其name,用于playbook的执行结果输出,建议其内容尽可能清晰地描述任务执行步骤。如果未提供name,则action的结果将用于输出。

       定义task的可以使用“action: module options”或“module: options”的格式,推荐使用后者以实现向后兼容例如:

          tasks:

          - name: make sure apache is running

           service: name=httpd state=running

       在众多模块中,只有command和shell模块仅需要给定一个列表而无需使用“key=value”格式,例如:

          tasks:

          - name: disable selinux

           command: /sbin/setenforce 0

        如果命令或脚本的退出码不为零(默认情况下,退出码不为零即表示执行失败,任务会立即中止,后续任务不再执行),可以使用如下方式替代:

          tasks:

          - name: run this command and ignore the result

           shell: /usr/bin/somecommand || /bin/true(表示一定会成功)

          或者使用ignore_errors来忽略错误信息:

          tasks:

          - name: run this command and ignore the result

           shell: /usr/bin/somecommand

           ignore_errors: True


    handlers:用于当关注的资源发生变化时触发一定的操作

       “notify”这个action可用于在每个play的最后被触发,这样可以避免多次有改变发生时每次都执行指定的操作,取而代之,仅在所有的变化发生完成后一次性地执行指定操作。在notify中列出的操作称为handler,也即notify中调用handler中定义的操作。

          - name: template configuration file

           template: src=/root/template.j2 dest=/etc/foo.conf

           notify:

           - restart memcached

           - restart apache

       handler是task列表,这些task与前述的task并没有本质上的不同

          handlers:

          - name: restart memcached

           service: name=memcached state=restarted

          - name: restart apache

           service: name=apache state=restarted

    ⑷变量

        变量名仅能由字母、数字和下划线组成,且只能以字母开头。

        在playbook中定义变量的格式:

          - host websrvs

           vars:

             variable:value

        如何调用变量{{ variable }}

        在inventory中定义的变量,可在playbook中直接调用

        每个被控节点在接收并运行管理命令之前,会将本主机相关信息(称为facts,这些信息保存于变量中)如操作系统版本,ip地址,cpu数量等报告给ansible主机。这些变量信息通过 ansible <host-pattern> -m setup 获取,我们可在playbook中调用这些变量。

        当给一个主机应用角色的时候可以传递变量,然后在角色内使用这些变量,示例如下:

          - hosts: webservers

            roles:

            - common

            - { role: foo_app_instance, dir: '/web/htdocs/a.com', port: 8080 }

        另外,在运行playbook的时候也可以传递一些变量,示例:

           ansible-playbook test.yml --extra-vars "hosts=www user=magedu"


  4、条件测试

      如果需要根据变量、facts或此前任务的执行结果来做为某task执行与否的前提,这时就要用到条件测试。

      when语句:

        在task后添加when子句即可使用条件测试;when语句支持Jinja2表达式语法。例如:

          tasks:

          - name: "shutdown Debian flavored systems"

           command: /sbin/shutdown -h now

           when: ansible_os_family == "Debian"

        when语句中还可以使用Jinja2的大多“filter”,例如要忽略此前某语句的错误并基于其结果(failed或者sucess)运行后面指定的语句,可使用类似如下形式:

          tasks:

          - command: /bin/false

           register: result

           ignore_errors: True

          - command: /bin/something

           when: result|failed

          - command: /bin/something_else

           when: result|success

          - command: /bin/still/something_else

           when: result|skipped

        此外,when语句中还可以使用facts或playbook中定义的变量。


  5、迭代

      当有需要重复性执行的任务时,可以使用迭代机制。其使用格式为将需要迭代的内容定义为item变量引用,并通过with_items语句来指明迭代的元素列表即可。例如:

        - name: add several users

         user: name={{ item }} state=present groups=wheel

         with_items:

         - testuser1

         - testuser2

      上面语句的功能等同于下面的语句:

        - name: add user testuser1

         user: name=testuser1 state=present groups=wheel

        - name: add user testuser2

         user: name=testuser2 state=present groups=wheel

      事实上,with_items中可以使用元素还可以是hashes,例如:

        - name: add several users

         user: name={{ item.name }} state=present groups={{ item.groups }}

         with_items:

         - { name: 'testuser1', groups: 'wheel' }

         - { name: 'testuser2', groups: 'root' }


  6、tags(标签)

      tags用于让用户选择运行playbook中的某个或某些任务。虽然ansible具有幂等性,会跳过没有变化的部分,但是,有些代码为测试其确实没有发生变化,也会耗费很长时间。我们将playbook中的指定任务打上标签,在运行playbook时指定标签名称,这样就不用运行全部代码了。

      playbook中可定义多个标签,且可重名。

      示例:

        - name: configration file

         copy: src=/root/httpd.conf dest=/etc/httpd/conf/httpd.conf    

         notify: restart httpd

         tags: conf

      运行指定标签的任务:ansible-playbook httpd.yml -t conf


  7、运行playbook

      ansible-playbook <filename.yml> ... [options]

      例:ansible-playbook httpd.yml

  

  8、案例:使用ansible对websrvs组的两台主机做httpd的高可用

    以下node1为ansible节点,node2和node3为被控节点,已被添加至主机组websrvs。这里假设两个被控节点上已安装好httpd服务程序,且已建立双机互信。

[root@node1 ~]# vim /etc/ansible/hosts
[websrvs]
192.168.30.20
192.168.30.13
[dbsrvs]
192.168.30.14
[root@node1 ~]# ls hb_conf   #准备好需要的文件
authkeys  ha.cf  haresources
[root@node1 ~]# vim heartbeat.yml   #创建playbook

- hosts: websrvs
  remote_user: root
  tasks:
  - name: ensure heartbeat latest version
    yum: name=heartbeat state=present
  - name: authkeys
    copy: src=/root/hb_conf/authkeys dest=/etc/ha.d/ mode=600
    notify: restart heartbeat
  - name: ha.cf
    copy: src=/root/hb_conf/ha.cf dest=/etc/ha.d/
    notify: restart heartbeat
    tags: conf   #打标签
  - name: haresources
    copy: src=/root/hb_conf/haresources dest=/etc/ha.d/
    notify: restart heartbeat
  handlers:
  - name: restart heartbeat
    service: name=heartbeat state=restarted

[root@node1 ~]# ansible-playbook heartbeat.yml    #运行playbook

PLAY ***************************************************************************

TASK [setup] *******************************************************************
ok: [192.168.30.20]
ok: [192.168.30.13]

TASK [ensure heartbeat latest version] *****************************************
changed: [192.168.30.20]
changed: [192.168.30.13]

TASK [authkeys] ****************************************************************
changed: [192.168.30.13]
changed: [192.168.30.20]

TASK [ha.cf] *******************************************************************
changed: [192.168.30.13]
changed: [192.168.30.20]

TASK [haresources] *************************************************************
changed: [192.168.30.20]
changed: [192.168.30.13]

RUNNING HANDLER [restart heartbeat] ********************************************
changed: [192.168.30.13]
changed: [192.168.30.20]

PLAY RECAP *********************************************************************
192.168.30.13              : ok=6    changed=5    unreachable=0    failed=0   
192.168.30.20              : ok=6    changed=5    unreachable=0    failed=0
#验证[root@node2 ~]# ls /etc/ha.dauthkeys  ha.cf  harc  haresources  rc.d  README.config  resource.d  shellfuncs[root@node2 ~]# ll /etc/ha.d/authkeys -rw------- 1 root root 680 May  3 20:07 /etc/ha.d/authkeys[root@node2 ~]# service heartbeat statusheartbeat OK [pid 7595 et al] is running on node2 [node2]...[root@node2 ~]# ip addr show...2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000    link/ether 00:0c:29:bd:68:23 brd ff:ff:ff:ff:ff:ff    inet 192.168.30.20/24 brd 192.168.30.255 scope global eth0    inet 192.168.30.100/24 brd 192.168.30.255 scope global secondary eth0    inet6 fe80::20c:29ff:febd:6823/64 scope link        valid_lft forever preferred_lft forever[root@node2 ~]# service httpd statushttpd (pid  8049) is running...
[root@node1 ~]# vim hb_conf/ha.cf   #修改主配置文件...mcast eth0 225.1.1.5 694 1 0   #更改心跳信息的组播地址[root@node1 ~]# ansible-playbook heartbeat.yml -t conf   #只执行指定标签的任务PLAY ***************************************************************************TASK [setup] *******************************************************************ok: [192.168.30.13]ok: [192.168.30.20]TASK [ha.cf] *******************************************************************changed: [192.168.30.20]changed: [192.168.30.13]RUNNING HANDLER [restart heartbeat] ********************************************changed: [192.168.30.20]changed: [192.168.30.13]PLAY RECAP *********************************************************************192.168.30.13              : ok=3    changed=2    unreachable=0    failed=0   192.168.30.20              : ok=3    changed=2    unreachable=0    failed=0
[root@node2 ~]# netstat -unl...                         udp        0      0 225.1.1.5:694               0.0.0.0:*


三、roles

   ansilbe自1.2版本引入的新特性,用于层次性、结构化地组织playbook。roles能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用roles只需要在playbook中使用include指令即可。简单来讲,roles就是通过分别将变量、文件、任务、模块及处理器放置于单独的目录中,并可以便捷地include它们的一种机制。角色一般用于基于主机构建服务的场景中,但也可以是用于构建守护进程等场景中。

   一个roles的目录结构示例:

     site.yml

     webservers.yml

     fooservers.yml

     roles/

        common/

         files/ 

         templates/

         tasks/ 

         handlers/

         vars/

         meta/

        webservers/

         files/

         templates/

         tasks/

         handlers/

         vars/

         meta/

   在playbook中,可以这样使用roles:

      - hosts: webservers

       roles:

       - common

       - webservers

   可以向roles传递参数,如:

      - hosts: webservers

       roles:

       - common

       - { role: some_role, dir: '/opt/a', port: 5000 }

       - { role: some_role, dir: '/opt/b', port: 5001 }

    也可以条件式地使用roles,例如:

      - hosts: webservers

       roles:

       - { role: some_role, when: "ansible_os_family == 'RedHat'" }


  1、创建role的步骤

     ①创建以roles命名的目录;

     ②在roles目录中分别创建以各角色名称命名的目录,如webservers、dbservers等;

     ③在每个角色命名的目录中分别创建files、handlers、meta、tasks、templates和vars目录;用不到的目录可以创建为空目录,也可以不创建;

     ④在playbook文件中,调用各角色;


  2、role内各目录中可用的文件

     tasks目录:至少应该包含一个名为main.yml的文件,其定义了此角色的任务列表;此文件可以使用include包含其它的位于此目录中的task文件;

     files目录:存放由copy或script等模块调用的静态文件;

     templates目录:template模块会自动在此目录中寻找Jinja2模板文件;

     handlers目录:此目录中应当包含一个main.yml文件,用于定义此角色用到的各handler;此文件可以使用include包含其它的位于此目录中的handler文件;

     vars目录:至少有一个main.yml文件,用于定义此角色用到的变量;

     meta目录:至少有一个main.yml文件,用于定义此角色的特殊设定及其依赖关系;ansible 1.3及其以后的版本才支持;

     default目录:为当前角色设定默认变量时使用此目录;应当包含一个main.yml文件;


四、案例―使用ansible搭建LAMP环境,要求如下:

    ①两台web服务器,一台mysql数据库服务器,php作为httpd的模块

    ②在php服务器上部署独立博客站点wordpress

    ③要求两台web服务器使用不同的端口,设置不同的最大连接数


  1、设计方案

轻量级自动化运维工具ansible之二:playbook详解

  2、添加被控主机,并定义主机变量

     vim /etc/ansible/hosts

[root@node1 ~]# vim /etc/ansible/hosts[websrvs]192.168.30.20 http_port=80 http_maxclients=300192.168.30.13 http_port=8080 http_maxclients=200[dbsrvs]192.168.30.14

  3、配置ssh基于密钥认证

[root@node1 ~]# ssh-keygen -t rsa...[root@node1 ~]# ssh-copy-id -i .ssh/id_rsa.pub root@192.168.30.14...[root@node1 ~]# ssh root@192.168.30.14 'hostname'node4#以同样的方式将公钥文件复制到其它被控节点

  4、创建各级目录,准备好各角色所需的files和templates

[root@node1 ~]# mkdir -p roles/{web,php,mysql,wordpress}/{files,templates,tasks,handlers,vars}[root@node1 ~]# ls rolesmysql  php  web  wordpress[root@node1 ~]# ls roles/web/files  handlers  tasks  templates  vars[root@node1 ~]# cp my.cnf roles/mysql/files/   #给mysql提供一个配置文件[root@node1 ~]# vim roles/mysql/files/my.cnf [mysqld]datadir=/mydata/datasocket=/var/lib/mysql/mysql.sockuser=mysqllog-bin=/mydata/binlogs/mysql-bininnodb_file_per_table=ON# Disabling symbolic-links is recommended to prevent assorted security riskssymbolic-links=0skip-name-resolve[mysqld_safe]log-error=/var/log/mysqld.logpid-file=/var/run/mysqld/mysqld.pid[root@node1 ~]# cp httpd.conf roles/web/templates/template.j2   #给web提供配置文件模板[root@node1 ~]# vim roles/web/templates/template.j2   #对如下几项引用变量...Listen {{ http_port }}MaxClients       {{ http_maxclients }}ServerName {{ ansible_fqdn }}[root@node1 ~]# cp wordpress-3.3.1-zh_CN.zip wp-config.php roles/wordpress/files/[root@node1 ~]# vim roles/wordpress/files/wp-config.php ...// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** ///** WordPress 数据库的名称 */define('DB_NAME', 'wpdb');/** MySQL 数据库用户名 */define('DB_USER', 'tuser');/** MySQL 数据库密码 */define('DB_PASSWORD', 'tpass');/** MySQL 主机 */define('DB_HOST', '192.168.30.14');

  5、创建各角色子目录下所需的yml文件

   ①角色mysql:

[root@node1 ~]# vim roles/mysql/tasks/main.yml - name: install mysql-server  yum: name=mysql-server state=present- name: mkdir  file: path=/mydata/{{ item }} state=directory owner=mysql group=mysql   #创建目录可使用file模块  with_items:   #迭代  - data  - binlogs- name: configure file  copy: src=my.cnf dest=/etc/     #源文件只需指定名称,不需指明具体路径,ansibles具自动到files或templates目录中寻找  notify: restart mysqld  tags: dbconf- name: start mysqld  service: name=mysqld state=started- name: create database and user  shell: mysql -e "create database wpdb;grant all on wpdb.* to tuser@'192.168.30.%' identified by 'tpass';flush privileges"  [root@node1 ~]# vim roles/mysql/handlers/main.yml - name: restart mysqld  service: name=mysqld state=restarted

   ②角色web:

[root@node1 ~]# vim roles/web/tasks/main.yml - name: install apache  yum: name=httpd state=present- name: configure file  template: src=template.j2 dest=/etc/httpd/conf/httpd.conf  notify: restart httpd  tags: webconf  [root@node1 ~]# vim roles/web/handlers/main.yml - name: restart httpd  service: name=httpd state=restarted

   ③角色php:

[root@node1 ~]# vim roles/php/tasks/main.yml - name: install php  yum: name={{ item }} state=present  with_items:  - php  - php-mysql

   ④角色wordpress:

[root@node1 ~]# vim roles/wordpress/tasks/main.yml - name: depoly wordpress  unarchive: src=wordpress-3.3.1-zh_CN.zip dest=/var/www/html/   #解压可用unarchive模块- name: configure file  copy: src=wp-config.php dest=/var/www/html/wordpress/  tags: wpconf  [root@node1 ~]# tree roles   #结构图roles├── mysql│   ├── files│   │   └── my.cnf│   ├── handlers│   │   └── main.yml│   ├── tasks│   │   └── main.yml│   ├── templates│   └── vars├── php│   ├── files│   ├── handlers│   ├── tasks│   │   └── main.yml│   ├── templates│   └── vars├── web│   ├── files│   ├── handlers│   │   └── main.yml│   ├── tasks│   │   └── main.yml│   ├── templates│   │   └── template.j2│   └── vars└── wordpress    ├── files    │   ├── wordpress-3.3.1-zh_CN.zip    │   └── wp-config.php    ├── handlers    ├── tasks    │   └── main.yml    ├── templates    └── vars24 directories, 10 files

  6、最后创建一个总的playbook调用各role

      vim site.yml   #site.yml与roles目录在同一级目录下

[root@node1 ~]# vim site.yml - hosts: dbsrvs  remote_user: root  roles:  - mysql- hosts: websrvs  remote_user: root  roles:  - web  - php  - wordpress

  7、运行playbook

      ansible-playbook site.yml

[root@node1 ~]# ansible-playbook site.ymlPLAY ***************************************************************************TASK [setup] *******************************************************************ok: [192.168.30.14]TASK [mysql : install mysql-server] ********************************************changed: [192.168.30.14]TASK [mysql : mkdir] ***********************************************************changed: [192.168.30.14] => (item=data)changed: [192.168.30.14] => (item=binlogs)TASK [mysql : configure file] **************************************************changed: [192.168.30.14]TASK [mysql : start mysqld] ****************************************************changed: [192.168.30.14]TASK [mysql : create database and user] ****************************************changed: [192.168.30.14]RUNNING HANDLER [mysql : restart mysqld] ***************************************changed: [192.168.30.14]PLAY ***************************************************************************TASK [setup] *******************************************************************ok: [192.168.30.20]ok: [192.168.30.13]TASK [web : install apache] ****************************************************changed: [192.168.30.20]changed: [192.168.30.13]TASK [web : configure file] ****************************************************changed: [192.168.30.20]changed: [192.168.30.13]TASK [php : install php] *******************************************************changed: [192.168.30.20] => (item=[u'php', u'php-mysql'])changed: [192.168.30.13] => (item=[u'php', u'php-mysql'])TASK [wordpress : depoly wordpress] ********************************************changed: [192.168.30.20]changed: [192.168.30.13]TASK [wordpress : configure file] **********************************************changed: [192.168.30.20]changed: [192.168.30.13]RUNNING HANDLER [web : restart httpd] ******************************************changed: [192.168.30.20]changed: [192.168.30.13]PLAY RECAP *********************************************************************192.168.30.13              : ok=7    changed=6    unreachable=0    failed=0   192.168.30.14              : ok=7    changed=6    unreachable=0    failed=0   192.168.30.20              : ok=7    changed=6    unreachable=0    failed=0

  8、验证:

轻量级自动化运维工具ansible之二:playbook详解

轻量级自动化运维工具ansible之二:playbook详解