掌握Ansible开源社区精华教程轻松实现IT自动化配置管理

引言

Ansible是一款开源的IT自动化配置管理工具，它以其简单、无代理、易学习的特点，在DevOps和IT运维领域广受欢迎。作为一种自动化引擎，Ansible可以帮助系统管理员自动化云配置、配置管理、应用部署、服务编排等多种任务。与其它自动化工具相比，Ansible使用YAML语言编写自动化脚本（称为Playbook），语法简单易懂，且无需在受管节点上安装客户端，大大降低了学习曲线和使用复杂度。本教程将带您深入了解Ansible的核心概念、使用方法和最佳实践，帮助您轻松实现IT自动化配置管理。

Ansible基础概念

在开始使用Ansible之前，我们需要了解一些核心概念：

控制节点和受管节点

控制节点（Control Node）：安装了Ansible并用于执行自动化任务的机器。通常，这是管理员的工作站或专用的管理服务器。
受管节点（Managed Node）：被Ansible管理的设备，如服务器、网络设备或云实例。这些节点不需要安装任何特殊的Ansible代理软件。

清单（Inventory）

清单是Ansible用来定义受管节点的文件，可以是INI格式或YAML格式。清单中列出了所有需要管理的节点，并可以对这些节点进行分组，以便批量管理。

以下是一个简单的INI格式清单示例：

[webservers] web1.example.com web2.example.com [dbservers] db1.example.com db2.example.com [all:vars] ansible_user=admin ansible_ssh_private_key_file=~/.ssh/ansible_key

模块（Modules）

模块是Ansible执行任务的工具，每个模块都专注于一个特定的任务，如安装软件包、管理文件、启动服务等。Ansible提供了大量的内置模块，同时也支持自定义模块。

Playbook

Playbook是Ansible的核心配置文件，使用YAML语言编写，定义了一系列要在受管节点上执行的任务。Playbook可以非常简单，只包含一个任务，也可以非常复杂，包含多个任务、变量、条件语句和循环等。

角色（Roles）

角色是一种组织Playbook的方式，它将相关的任务、变量、文件和模板组织在一起，形成一个可重用的单元。使用角色可以使Playbook更加模块化和可维护。

安装和设置

安装Ansible

Ansible可以安装在大多数Linux发行版上，也可以通过Python的包管理器pip安装。

在Ubuntu/Debian上安装

sudo apt update sudo apt install software-properties-common sudo apt-add-repository --yes --update ppa:ansible/ansible sudo apt install ansible

在CentOS/RHEL上安装

sudo yum install epel-release sudo yum install ansible

使用pip安装

pip install ansible

配置SSH密钥认证

Ansible通过SSH连接到受管节点，因此需要配置SSH密钥认证以实现无密码登录：

# 生成SSH密钥对（如果尚未生成） ssh-keygen -t rsa -b 4096 # 将公钥复制到受管节点 ssh-copy-id -i ~/.ssh/id_rsa.pub user@managed_node

配置Ansible

Ansible的主配置文件是ansible.cfg，通常位于/etc/ansible/ansible.cfg或用户主目录下的~/.ansible.cfg。以下是一个基本的配置示例：

[defaults] inventory = ./inventory remote_user = ansible private_key_file = ~/.ssh/ansible_key host_key_checking = False retry_files_enabled = False

Ansible Playbook详解

Playbook是Ansible的核心，它定义了一系列要在受管节点上执行的任务。下面我们详细介绍Playbook的结构和编写方法。

基本结构

一个简单的Playbook包含以下基本元素：

--- - name: Playbook名称 hosts: 目标主机或主机组 become: yes # 是否使用sudo权限 tasks: - name: 任务名称 module_name: 参数1: 值1 参数2: 值2

示例：安装和启动Nginx

下面是一个安装和启动Nginx的简单Playbook示例：

--- - name: Install and start Nginx hosts: webservers become: yes tasks: - name: Install Nginx package apt: name: nginx state: present when: ansible_os_family == "Debian" - name: Install Nginx package yum: name: nginx state: present when: ansible_os_family == "RedHat" - name: Start Nginx service service: name: nginx state: started enabled: yes

使用变量

变量使Playbook更加灵活和可重用。可以在Playbook中定义变量，也可以从外部文件加载变量。

在Playbook中定义变量

--- - name: Use variables in playbook hosts: webservers become: yes vars: package_name: nginx service_name: nginx tasks: - name: Install package apt: name: "{{ package_name }}" state: present - name: Start service service: name: "{{ service_name }}" state: started enabled: yes

从外部文件加载变量

创建变量文件vars/main.yml：

--- package_name: nginx service_name: nginx document_root: /var/www/html

在Playbook中引用变量文件：

--- - name: Use variables from external file hosts: webservers become: yes vars_files: - vars/main.yml tasks: - name: Install package apt: name: "{{ package_name }}" state: present - name: Create document root directory file: path: "{{ document_root }}" state: directory mode: '0755'

使用条件语句

条件语句允许根据特定条件执行任务。Ansible使用when关键字来实现条件执行。

--- - name: Use conditional statements hosts: all become: yes tasks: - name: Install Apache on Debian systems apt: name: apache2 state: present when: ansible_os_family == "Debian" - name: Install Apache on RedHat systems yum: name: httpd state: present when: ansible_os_family == "RedHat" - name: Start Apache service service: name: "{{ 'apache2' if ansible_os_family == 'Debian' else 'httpd' }}" state: started enabled: yes

使用循环

循环允许重复执行任务，可以用于处理多个项目或文件。

--- - name: Use loops hosts: webservers become: yes tasks: - name: Install multiple packages apt: name: "{{ item }}" state: present loop: - nginx - php-fpm - php-mysql - name: Create multiple users user: name: "{{ item.name }}" state: present groups: "{{ item.groups }}" loop: - { name: 'user1', groups: 'developers' } - { name: 'user2', groups: 'admins' }

使用模板

模板允许使用Jinja2模板语言生成动态配置文件。模板文件通常以.j2为扩展名。

创建模板文件templates/nginx.conf.j2：

server { listen 80; server_name {{ server_name }}; root {{ document_root }}; index index.html; location / { try_files $uri $uri/ =404; } }

在Playbook中使用模板：

--- - name: Use templates hosts: webservers become: yes vars: server_name: example.com document_root: /var/www/html tasks: - name: Create Nginx config file from template template: src: templates/nginx.conf.j2 dest: /etc/nginx/sites-available/example.com owner: root group: root mode: '0644' notify: Restart Nginx handlers: - name: Restart Nginx service: name: nginx state: restarted

常用模块介绍

Ansible提供了大量的模块，用于执行各种任务。下面介绍一些常用的模块及其用法。

文件管理模块

file模块

file模块用于管理文件和目录的属性，如权限、所有者等。

- name: Create a directory file: path: /opt/myapp state: directory mode: '0755' owner: myuser group: mygroup - name: Create a symbolic link file: src: /opt/myapp/config dest: /etc/myapp state: link

copy模块

copy模块用于将文件从控制节点复制到受管节点。

- name: Copy a file copy: src: /path/to/local/file dest: /path/to/remote/file owner: root group: root mode: '0644' backup: yes

template模块

template模块用于使用Jinja2模板生成文件，如前面示例所示。

包管理模块

apt模块

apt模块用于管理Debian/Ubuntu系统上的软件包。

- name: Update apt cache apt: update_cache: yes - name: Install a package apt: name: nginx state: present - name: Remove a package apt: name: apache2 state: absent

yum模块

yum模块用于管理RedHat/CentOS系统上的软件包。

- name: Install a package yum: name: httpd state: present - name: Update all packages yum: name: '*' state: latest

服务管理模块

service模块

service模块用于管理系统服务。

- name: Start a service service: name: nginx state: started enabled: yes - name: Stop a service service: name: apache2 state: stopped enabled: no

systemd模块

systemd模块专门用于管理systemd服务，提供更多功能。

- name: Start a systemd service systemd: name: nginx state: started enabled: yes daemon_reload: yes

用户和组管理模块

user模块

user模块用于管理系统用户。

- name: Create a user user: name: johndoe state: present uid: 1040 group: developers shell: /bin/bash home: /home/johndoe password: "{{ 'password' | password_hash('sha512') }}" - name: Remove a user user: name: johndoe state: absent remove: yes

group模块

group模块用于管理系统组。

- name: Create a group group: name: developers state: present gid: 1040 - name: Remove a group group: name: temp_group state: absent

系统信息模块

setup模块

setup模块用于收集受管节点的系统信息（facts）。

- name: Gather facts setup: - name: Display OS distribution debug: msg: "This system is {{ ansible_distribution }} {{ ansible_distribution_version }}"

网络模块

get_url模块

get_url模块用于从互联网下载文件。

- name: Download a file get_url: url: https://example.com/file.tar.gz dest: /tmp/file.tar.gz mode: '0644' checksum: sha256:abcdef1234567890...

uri模块

uri模块用于与Web服务交互。

- name: Check a website uri: url: https://api.example.com/health method: GET status_code: 200

实战案例

通过前面的学习，我们已经了解了Ansible的基本概念和常用模块。现在，让我们通过一些实战案例来加深理解。

案例1：部署LAMP栈

下面是一个使用Ansible部署LAMP（Linux、Apache、MySQL、PHP）栈的完整Playbook：

--- - name: Deploy LAMP stack hosts: webservers become: yes vars: mysql_root_password: "secure_password" db_name: "wordpress" db_user: "wp_user" db_password: "wp_password" document_root: "/var/www/html" tasks: - name: Update apt cache apt: update_cache: yes changed_when: no - name: Install required packages apt: name: - apache2 - mysql-server - php - php-mysql - libapache2-mod-php - python3-mysqldb state: present - name: Start Apache service service: name: apache2 state: started enabled: yes - name: Start MySQL service service: name: mysql state: started enabled: yes - name: Set MySQL root password mysql_user: name: root password: "{{ mysql_root_password }}" host_all: yes check_implicit_admin: yes - name: Create MySQL database mysql_db: name: "{{ db_name }}" state: present - name: Create MySQL user mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" state: present - name: Create document root directory file: path: "{{ document_root }}" state: directory owner: www-data group: www-data mode: '0755' - name: Copy info.php file copy: content: "<?php phpinfo(); ?>" dest: "{{ document_root }}/info.php" owner: www-data group: www-data mode: '0644' - name: Restart Apache service service: name: apache2 state: restarted

案例2：使用角色组织Playbook

为了更好地组织代码，我们可以使用角色（Roles）来重构上面的LAMP部署Playbook。

首先，创建角色目录结构：

mkdir -p roles/{common,apache,mysql,php}/{tasks,handlers,templates,files,vars,defaults,meta}

然后，为每个组件创建角色：

roles/apache/tasks/main.yml

--- - name: Install Apache apt: name: apache2 state: present notify: Restart Apache - name: Start Apache service service: name: apache2 state: started enabled: yes - name: Create document root directory file: path: "{{ document_root }}" state: directory owner: www-data group: www-data mode: '0755'

roles/apache/handlers/main.yml

--- - name: Restart Apache service: name: apache2 state: restarted

roles/apache/vars/main.yml

--- document_root: /var/www/html

roles/mysql/tasks/main.yml

--- - name: Install MySQL server apt: name: mysql-server state: present notify: Start MySQL - name: Install Python MySQL package apt: name: python3-mysqldb state: present - name: Set MySQL root password mysql_user: name: root password: "{{ mysql_root_password }}" host_all: yes check_implicit_admin: yes - name: Create MySQL database mysql_db: name: "{{ db_name }}" state: present - name: Create MySQL user mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" state: present

roles/mysql/handlers/main.yml

--- - name: Start MySQL service: name: mysql state: started enabled: yes

roles/mysql/vars/main.yml

--- mysql_root_password: "secure_password" db_name: "wordpress" db_user: "wp_user" db_password: "wp_password"

roles/php/tasks/main.yml

--- - name: Install PHP and required modules apt: name: - php - php-mysql - libapache2-mod-php state: present notify: Restart Apache

site.yml

--- - name: Deploy LAMP stack using roles hosts: webservers become: yes roles: - apache - mysql - php tasks: - name: Copy info.php file copy: content: "<?php phpinfo(); ?>" dest: "{{ document_root }}/info.php" owner: www-data group: www-data mode: '0644'

案例3：使用Ansible管理Docker容器

Ansible也可以用于管理Docker容器。以下是一个使用Ansible部署Nginx容器的示例：

--- - name: Manage Docker containers with Ansible hosts: dockerservers become: yes tasks: - name: Install Docker apt: name: docker.io state: present when: ansible_os_family == "Debian" - name: Install Docker yum: name: docker state: present when: ansible_os_family == "RedHat" - name: Start Docker service service: name: docker state: started enabled: yes - name: Install Docker Python library pip: name: docker state: present - name: Create a directory for Nginx config file: path: /opt/nginx/conf state: directory recurse: yes - name: Copy Nginx config file copy: content: | server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html; } } dest: /opt/nginx/conf/default.conf - name: Create a custom index.html copy: content: | <!DOCTYPE html> <html> <head> <title>Welcome to Nginx!</title> </head> <body> <h1>Hello from Ansible-managed Docker container!</h1> </body> </html> dest: /opt/nginx/html/index.html - name: Run Nginx container docker_container: name: nginx-web image: nginx:latest state: started restart_policy: always ports: - "8080:80" volumes: - /opt/nginx/conf:/etc/nginx/conf.d - /opt/nginx/html:/usr/share/nginx/html

最佳实践

使用Ansible时，遵循一些最佳实践可以帮助您更有效地管理自动化任务。

1. 使用版本控制

将所有的Ansible代码（Playbook、角色、模板等）存储在版本控制系统（如Git）中，这样可以跟踪更改、协作开发，并在需要时回滚到之前的版本。

2. 使用角色组织代码

使用角色（Roles）来组织您的Playbook，使代码更加模块化和可重用。每个角色应该专注于一个特定的功能或组件。

3. 使用变量和模板

使用变量和模板来使您的Playbook更加灵活和可配置。避免在Playbook中硬编码值，而是使用变量，并在需要时通过外部文件或命令行参数提供这些值。

4. 编写幂等的Playbook

确保您的Playbook是幂等的，即多次运行Playbook不会改变系统的状态（除非需要）。大多数Ansible模块默认是幂等的，但您需要确保您的逻辑也是幂等的。

5. 使用标签（Tags）

使用标签来标记任务，这样您可以选择性地运行Playbook中的特定任务。

- name: Install and configure Nginx hosts: webservers become: yes tasks: - name: Install Nginx apt: name: nginx state: present tags: - install - name: Configure Nginx template: src: templates/nginx.conf.j2 dest: /etc/nginx/nginx.conf notify: Restart Nginx tags: - configure

运行带有标签的任务：

ansible-playbook site.yml --tags "install"

6. 使用处理程序（Handlers）

使用处理程序来执行需要仅在任务更改时才执行的操作，如重启服务。这样可以避免不必要的服务重启，提高效率。

7. 使用Ansible Vault保护敏感数据

使用Ansible Vault来加密包含敏感数据（如密码、API密钥等）的文件。

创建加密文件：

ansible-vault create secrets.yml

在Playbook中使用加密文件：

--- - name: Use encrypted variables hosts: all become: yes vars_files: - secrets.yml tasks: - name: Create a user with encrypted password user: name: admin password: "{{ admin_password }}"

运行加密的Playbook：

ansible-playbook site.yml --ask-vault-pass

8. 使用动态清单

对于云环境，使用动态清单来自动发现和管理受管节点，而不是手动维护静态清单文件。

例如，使用AWS动态清单：

pip install boto3

创建aws_ec2.yml动态清单文件：

--- plugin: aws_ec2 regions: - us-east-1 keyed_groups: - key: tags.Name prefix: tag_Name_ - key: tags.Environment prefix: tag_Environment_

使用动态清单运行Playbook：

ansible-playbook -i aws_ec2.yml site.yml

9. 使用Molecule测试角色

使用Molecule来测试您的Ansible角色，确保它们在各种环境中都能正常工作。

安装Molecule：

pip install molecule molecule[docker]

初始化新角色：

molecule init role --role-name myrole

运行测试：

cd myrole molecule test

10. 使用Ansible Lint进行代码检查

使用Ansible Lint来检查您的Playbook和角色中的常见问题和最佳实践违规。

安装Ansible Lint：

pip install ansible-lint

运行Ansible Lint：

ansible-lint site.yml

社区资源

Ansible拥有一个活跃的开源社区，提供了丰富的资源来帮助您学习和解决问题。

官方文档

Ansible的官方文档是学习Ansible的最佳资源，包含了详细的模块文档、用户指南和开发指南。

官方网站：https://www.ansible.com/
官方文档：https://docs.ansible.com/

Ansible Galaxy

Ansible Galaxy是一个共享和下载Ansible角色的平台，您可以在这里找到由社区贡献的各种角色，用于常见的配置管理任务。

Ansible Galaxy：https://galaxy.ansible.com/

使用Ansible Galaxy下载角色：

ansible-galaxy install geerlingguy.apache

GitHub仓库

Ansible的源代码托管在GitHub上，您可以在这里查看源代码、提交问题和贡献代码。

Ansible GitHub仓库：https://github.com/ansible/ansible

邮件列表和论坛

Ansible社区提供了邮件列表和论坛，您可以在这些平台上提问、分享经验和与其他用户交流。

邮件列表：https://groups.google.com/forum/#!forum/ansible-project
Reddit论坛：https://www.reddit.com/r/ansible/

IRC频道

Ansible社区在Freenode网络上有一个IRC频道，您可以在这里实时与其他用户和开发者交流。

IRC频道：#ansible on Freenode

本地用户组

许多城市都有Ansible本地用户组，您可以参加这些用户组的聚会，与其他Ansible用户面对面交流。

查找本地用户组：https://www.ansible.com/community/meetups

在线课程和教程

除了官方资源外，还有许多在线课程和教程可以帮助您学习Ansible：

Ansible官方培训：https://www.ansible.com/resources/training
Udemy上的Ansible课程：https://www.udemy.com/topic/ansible/
YouTube上的Ansible教程：https://www.youtube.com/results?search_query=ansible+tutorial