Ansible是一个IT自动化工具。 它可以配置系统,部署软件,并编排更先进的IT任务,如持续部署或零停机滚动更新。
Ansible的主要目标是简单易用。 它还强调了安全性和可靠性,具有最少的移动部件,用OpenSSH来传输(使用加速socket模式和pull模式作为替代方案)
是一种针对人们的可审计性设计的语言 - 甚至这些人都不熟悉项目。
我们认为简单性与各种规模的环境相关,因此我们为所有类型的繁忙用户设计:开发人员,系统管理员,发布工程师,IT经理以及两者之间的所有人员。 可适用于管理所有环境,从具有少量实例的小型设置到具有数千个实例的企业环境。
可以无代理的方式管理机器。 从来没有一个问题,如何升级远程守护程序或无法管理系统的问题,因为守护程序被卸载。 由于OpenSSH是同行评议的开源组件之一,安全性大大降低。 可解密是分散的 - 它依赖于您现有的操作系??统凭据来控制对远程机器的访问。 如果需要,Ansible可以轻松连接到Kerberos,LDAP和其他集中式身份验证管理系统。
源代码:https://github.com/ansible/ansible/
安装
安装扩展源 http://fedoraproject.org/wiki/EPEL
yum install ansible
我们首先显示的不是“可配置”的强大的配置/部署/编排功能。 这些功能是由单独的部分所涵盖的playbooks来处理的。
Remote Connection Information
在开始之前,了解Ansible如何通过SSH与远程机器通信非常重要。
默认情况下,Ansense 1.3及更高版本将尽可能使用本机OpenSSH进行远程通信。 这启用了ControlPersist(性能特征),Kerberos以及~/.ssh/config
选项,例如Jump Host设置。 但是,当使用Enterprise Linux 6操作系统作为控制机器(Red Hat Enterprise Linux和衍生产品如CentOS)时,OpenSSH版本可能太旧,无法支持ControlPersist。 在这些操作系统上,Ansible将会使用一个名为“paramiko”的OpenSSH的高质量Python实现。 如果您希望使用Kerberized SSH等功能,请考虑使用Fedora,OS X或Ubuntu作为控制台,直到您的平台可以使用较新版本的OpenSSH,或者在Ansible中加入“加速模式”。 见加速模式 。
在最新版本中,包括Ansible 1.2版本,默认是paramiko。 必须使用-c
ssh选项或配置文件中设置本地SSH。
偶尔会遇到不支持SFTP的设备。 这是罕见的,但如果发生,您可以在配置文件中切换到SCP模式。
虽然这可能是常识,但值得分享:任何管理系统受益于在被管理的机器附近运行。 如果您在云中运行可执行文件,请考虑从云内的计算机运行它。 在大多数情况下,这将比在互联网上更好。
作为高级主题,Ansible不仅需要通过SSH远程连接。 运输是可插拔的,并且有用于在本地管理某些东西以及管理chroot,lxc和jail容器的选项。 一种叫做“ansible-pull”的模式也可以通过预定的git检查来反转系统并通过系统“电话回家”来从中央存储库中提取配置指令。
Your first commands
现在你已经安装了Ansible,现在该开始一些基础了。
编辑(或创建) /etc/ansible/hosts
并将一个或多个远程系统放在其中。 您的公共SSH密钥应位于这些系统上的authorized_keys
中:
192.0.2.50 aserver.example.org bserver.example.org
这是一个inventory文件,这里还有更详细的说明: inventory 。
我们假设您正在使用SSH密钥进行身份验证。 要设置SSH代理以避免重新输入密码,您可以执行以下操作:
$ ssh-agent bash $ ssh-add?/ .ssh / id_rsa
(根据您的设置,您可能希望使用Ansible的 - --private-key
选项来指定pem文件)
现在ping所有节点:
$ ansible all -m ping
可能会尝试使用您当前的用户名远程连接到计算机,就像SSH一样。 要覆盖远程用户名,只需使用‘-u‘参数即可。
如果你想访问sudo模式,还有标志:
# as bruce $ ansible all -m ping -u bruce # as bruce, sudoing to root $ ansible all -m ping -u bruce --sudo # as bruce, sudoing to batman $ ansible all -m ping -u bruce --sudo --sudo-user batman # With latest version of ansible `sudo` is deprecated so use become # as bruce, sudoing to root $ ansible all -m ping -u bruce -b # as bruce, sudoing to batman $ ansible all -m ping -u bruce -b --become-user batman
(如果您想要使用sudo替换,则可以在Ansible的配置文件中更改sudo实现。传递给sudo(如-H)的标志也可以设置在那里。)
恭喜! 您已经使用Ansible联系了您的节点。 现在很快就要到:阅读关于Introduction To Ad-Hoc Commands更多的真实案例,探索您可以对不同的模块做些什么,并了解可用的Playbook语言。 可Ansible不仅仅是运行命令,还具有强大的配置管理和部署功能。 还有更多的探索,但你已经有一个完全工作的基础设施!
[[email protected] ~]# ansible all -a "/bin/echo hello"
109.105.4.65 | SUCCESS | rc=0 >>
hello
提示
运行命令时,可以使用“localhost”或“127.0.0.1”作为服务器名称来指定本地服务器。
例:
$ ansible localhost -m ping -e‘ansible_python_interpreter =“/ usr / bin / env python”‘
您可以通过将其添加到清单文件中来明确指定localhost:
localhost ansible_connection = local ansible_python_interpreter =“/ usr / bin / env python”
主机密钥检查
可选1.2.1及更高版本默认启用主机密钥检查。
如果主机被重新安装,并且在‘known_hosts‘中有一个不同的密钥,这将导致错误消息,直到更正。 如果一个主机不是最初在‘known_hosts‘,这将导致提示确认密钥,这将导致交互式体验,如果使用Ansible,从cron。 你可能不想要这个。
如果您了解这些含义并希望禁用此行为,可以通过编辑/etc/ansible/ansible.cfg
或~/.ansible.cfg
:
[ 默认值 ] host_key_checking = False
或者,这可以由环境变量设置:
$ export ANSIBLE_HOST_KEY_CHECKING = False
另请注意,paramiko模式的主机密钥检查速度相当慢,因此在使用此功能时也建议切换到“ssh”。
Ansible将在远程系统日志的远程系统上记录有关模块参数的一些信息,除非任务或播放标有“no_log:True”属性。 这将在后面解释。
要在控制机器上启用基本日志记录,请参阅配置文件文档并设置“log_path”配置文件设置。 企业用户也可能对安全塔感兴趣。 Tower提供了一个非常强大的数据库日志记录功能,可以根据主机,项目和特定库存查看历史记录,并以图形方式和REST API进行探索。