Linux – 第 5 页 – 运维日常

Ansible 变量、循环、判断

Table of Contents

设置主机名

配置主机名非常简单，可以使用shell模块在远程执行相关命令，也可以使用Ansible提供的hostname模块。建议使用hostname模块，它支持多种操作系统。

ansible 变量

---
- name: set hostname
  hosts: new
  gather_facts: false
  vars:
    hostnames:
      - host: 192.168.200.34
        name: new1
      - host: 192.168.200.35
        name: new2
  tasks: 
    - name: set hostname
      hostname: 
        name: "{{item.name}}"
      when: item.host == inventory_hostname
      loop: "{{hostnames}}"

vars指令可用于设置变量，可以设置一个或多个变量。下面的设置方式都是合理的：

# 设置单个变量
vars: 
  var1: value1

vars: 
  - var1: value1

# 设置多个变量：
vars: 
  var1: value1
  var2: value2

vars: 
  - var1: value1
  - var2: value2

vars可以设置在play级别，也可以设置在task级别：
(1).设置在play级别，该play范围内的task能访问这些变量，其它play范围内则无法访问；
(2).设置在task级别，只有该task能访问这些变量，其它task和其它play则无法访问。

这里只设置了一个变量hostnames，但这个变量的值是一个数组结构，数组的两个元素又都是对象(字典/hash)结构。

所以想要访问主机名new1和它的IP地址192.168.200.34，可以：

tasks: 
  - debug: 
      var: hostnames[0].name
  - debug: 
      var: hostnames[0].host

条件判断 when

---
- name: play1
  hosts: localhost
  gather_facts: false
  vars: 
    - myname: "kate"
  tasks:
    - name: task will skip
      debug:
        msg: "myname is: {{myname}}"
      when: myname == "liutao"

    - name: task will execute
      debug: 
        msg: "myname is: {{myname}}"
      when: myname == "kate"

需要注意的是，when指令因为已经明确是做条件判断，所以它的值必定是一个表达式，它会自动隐式地帮我们包围一层{{}}，所以在写when指令的条件判断时，不要再手动加上{{}}。

虽然when指令的逻辑很简单：值为true则执行任务，否则不执行任务。但是，它的用法并不简单，概因when指令的值可以是Jinja2的表达式，很多内置在Jinja2中的Python的语法都可以用在when指令中，而这需要掌握Python的基本语法。如果不具备这些知识，那么想要实现某种判断功能可能会感觉到较大的局限性，而且别人写的脚本可能看不懂。

循环loop

除条件判断外，另一种分支控制结构是循环结构。

Ansible提供了很多种循环结构，一般都命名为with_xxx，例如with_items、with_list、with_file等，使用最多的是with_items。事实上with_<lookup>结构是对应lookup插件的，关于with_xxx这些循环结构在以后的文章中再统一介绍。

在这里仅介绍loop循环，它是在Ansible 2.5版本中新添加的循环结构，等价于with_list。大多数时候，with_xxx的循环都可以通过一定的手段转换成loop循环，所以从Ansible 2.5版本之后，原来经常使用的with_items循环都可以尝试转换成loop。

---
- name: play1
  hosts: localhost
  gather_facts: false
  tasks: 
    - name: create directories
      file: 
        path: "{{item}}"
        state: directory
      loop:
        - /tmp/test1
        - /tmp/test2

解释下上面的loop和{{item}}。

loop等价于with_list，从名字上可以知道它是遍历数组(列表)的，所以在loop指令中，每个元素都以列表的方式去定义。列表有多少个元素，就循环执行file模块多少次，每轮循环中，都会将本次迭代的列表元素保存在控制变量item中。

---
- name: set hostname
  hosts: new
  gather_facts: false
  vars:
    hostnames:
      - host: 192.168.200.34
        name: new1
      - host: 192.168.200.35
        name: new2
  tasks: 
    - name: set hostname
      hostname: 
        name: "{{item.name}}"
      when: item.host == inventory_hostname
      loop: "{{hostnames}}"

在这个示例中，是对{{hostnames}}进行循环遍历，hostnames中包含两个元素，每个元素都是一个key/value的对象结构。所以，第一次迭代时，item变量的值是：

{
  host: "192.168.200.34",
  name: "new1"
}

所以item.host和item.name分别对应于192.168.200.34和new1。

1.loop和when结合使用时，when的条件判断是在循环内部执行的。也就是说循环指令(如loop)的解析顺序早于when指令

Ansible 禁用selinux

知识点shell 、block、ignore_errors

---
- name: disable selinux
  hosts: new
  gather_facts: false
  tasks: 
    - name: selinux diable
      shell: setenforce 0

    - name: disable forever in config
      lineinfile: 
        path: /etc/selinux/config
        line: "SELINUX=disabled"
        regexp: '^SELINUX='

在使用shell模块执行setenforce 0命令的时候，发现该命令的退出状态码不是0，所以Ansible认为这是个失败的命令，于是终止了play，后面的任务也不再执行。但其实我们自己明确地知道，这个命令是没错的，而且从上面的stderr的内容中也可以看出，setenforce命令给了我们正确的反馈。

使用Ansible去执行命令，可能经常会遇到类似问题，Ansible并没有那么聪明，它默认只认退出状态码0，其它退出状态码全认为是失败的。

所以，需要让Ansible去处理这种异常。处理异常的方式有很多种，这里只介绍最简单的一种：ignore_errors，

ignore_errors指令正如其名，表示忽略失败的任务，直接将值设置为true即可。

---
- name: disable selinux
  hosts: new
  gather_facts: false
  tasks: 
    - name: disable on the fly
      shell: setenforce 0
      ignore_errors: true

    - name: disable forever in config
      lineinfile: 
        path: /etc/selinux/config
        line: "SELINUX=disabled"
        regexp: '^SELINUX='

使用ignore_errors虽然简单，但不是很友好。各位去执行一下上面的playbook，会发现它仍然会将报错信息输出在终端或指定的日志文件中，只不过它不会因为任务失败而导致整个play的中止。但无论如何，它能达到我们的目标：在遇到错误的时候继续执行下去。

实际上，几乎所有任务级别的指令(除循环类指令外，比如loop)都可以写在block级别上，它们会拷贝到Block内部的所有任务上(也可也看作是block内部的任务继承block级别上的指令)。例如：

---
- name: disable selinux
  hosts: new
  gather_facts: false
  tasks: 
    - block: 
        - shell: ls /tmp/a.log
        - shell: ls /tmp/b.log
      ignore_errors: true

Ansible 时间同步

通常会使用ntpd时间服务器来保证时间的同步，但在这里简单点，直接使用ntpdate命令初步保证时间同步，并将同步后的时间同步到硬件。

---
- name: sync time
  hosts: new
  gather_facts: false
  tasks: 
    - name: install and sync time
      block: 
        - name: install ntpdate
          yum: 
            name: ntpdate
            state: present

        - name: ntpdate to sync time
          shell: |
            ntpdate ntp1.aliyun.com
            hwclock -w

上面使用了一个block指令来组织了两个有关联性的任务，将它们作为了一个整体。由此也可以看到，block的用法非常简单。其实block更多的用于多个关联性任务之间的异常处理

Ansible 使用authorized_key颁发密钥

Ansible提供了一个authorized_key模块，它可以用来分发SSH公钥。

但需注意，authorized_key模块并不负责主机认证的阶段，所以需要我们自己去处理主机认证阶段，有三种处理方式：
1.使用ssh-keyscan命令将主机信息添加到Ansible端的~/.ssh/known_hosts中
2.使用Ansible提供的known_hosts模块添加主机信息
3.禁止主机认证的阶段

禁止主机认证阶段的方式有多种，比如去ssh或Ansible的配置文件中禁止主机认证(两种配置都可以，因为Ansible默认是基于ssh进行连接的)，以Ansible配置文件为例，设置如下项即可：

host_key_checking = False

---
- name: configure ssh connection
  hosts: new
  gather_facts: false
  tasks:
    - authorized_key:
        key: "{{lookup('file','~/.ssh/id_rsa.pub')}}"
        state: present
        user: root

执行该playbook，主机加上了-k选项，它会提示用户输入ssh连接密码。如果所有目标主机的密码都相同，则只需输入一次即可：

$ ansible-playbook -k anth_key.yml

user参数和key参数是必须的，key指定公钥字符串。user参数表示将密钥分发给目标主机上的哪个用户，默认会将公钥写入目标主机的/home/USERNAME/.ssh/authorized_keys文件中，默认情况下会创建缺失的目录(比如.ssh目录)并设置好权限。

这里还使用了state参数，state参数值为present时，表示如果对方文件中已有完全相同的公钥信息，则不写入，否则写入。如果值为absent，则表示删除目标节点上与本次待分发公钥完全相同的数据。总结起来就是：
(1).present：保证目标节点上会保存Ansible端本次分发的公钥
(2).absent：保证目标节点上没有Ansible端本次分发的公钥

Ansible 快速安装

Table of Contents

RHEL7 安装

在控制节点/etc/hosts 文件生成其它节点dns 名称

cat >>/etc/hosts<<EOF
192.168.200.27 node1
192.168.200.28 node2
192.168.200.29 node3
192.168.200.30 node4
192.168.200.31 node5
192.168.200.32 node6
192.168.200.33 node7
EOF

cat >> /etc/yum.repos.d/epel.repo <<'EOF'    
[epel]
name=epel repo 
baseurl=https://mirrors.tuna.tsinghua.edu.cn/epel/7/$basearch 
enabled=1 
gpgcheck=0
EOF

yum update
yum install ansible -y

Ansible 命令行补全功能

https://cn-ansibledoc.readthedocs.io/zh-cn/latest/installation_guide/intro_installation.html#id2

$ sudo yum install epel-release
$ sudo yum install python-argcomplete
#激活命令行实例功能
 activate-global-python-argcomplete

配置ssh 互信

1、控制节点生成ssh 密钥对
ssh-keygen -t rsa -f ~/.ssh/id_rsa -N ''
2、将各节点的主机信息(host key)写入control_node的~/.ssh/known_hosts文件：
for host in 10.100.10.{64..83} node{01..07};do
     ssh-keyscan $host >>~/.ssh/known_hosts 2>/dev/null
   done
3、.将control_node上的ssh公钥分发给各节点：
# sshpass -p选项指定的是密码
   for host in 10.100.10.{64..83} node{01..07};do
     sshpass -p'Thtf#997' ssh-copy-id root@$host &>/dev/null
   done