ansbile-playbook是一系统ansible命令的集合,其利用yaml 语言编写,运行过程,ansbile-playbook命令根据自上而下的顺序依次执行。同时,playbook开创了很多特性,它可以允许你传输某个命令的状态到后面的指令,如你可以从一台机器的文件中抓取内容并附为变量,然后在另一台机器中使用,这使得你可以实现一些复杂的部署机制,这是ansible命令无法实现的。

playbook通过ansible-playbook命令使用,它的参数和ansible命令类似,如参数-k(–ask-pass) 和 -K (–ask-sudo) 来询问ssh密码和sudo密码,-u指定用户,这些指令也可以通过规定的单元写在playbook 。ansible-playbook的简单使用方法: ansible-playbook example-play.yml 。

一、一个简单的示例

下面给出一个简单的ansible-playbook示例,了解下其构成。

 1# cat user.yml
 2- name: create user
 3  hosts: all
 4  user: root
 5  gather_facts: false
 6  vars:
 7  - user: "test"
 8  tasks:
 9  - name: create  user
10    user: name="{{ user }}"

上面的playbook 实现的功能是新增一个用户:

  • name参数对该playbook实现的功能做一个概述,后面执行过程中,会打印 name变量的值 ;
  • hosts参数指定了对哪些主机进行参作;
  • user参数指定了使用什么用户登录远程主机操作;
  • gather_facts参数指定了在以下任务部分执行前,是否先执行setup模块获取主机相关信息,这在后面的task会使用到setup获取的信息时用到;
  • vars参数,指定了变量,这里指字一个user变量,其值为test ,需要注意的是,变量值一定要用引号引住;
  • task指定了一个任务,其下面的name参数同样是对任务的描述,在执行过程中会打印出来。user提定了调用user模块,name是user模块里的一个参数,而增加的用户名字调用了上面user变量的值。

具体执行结果如下:

 1[root@361way playbooks]# ansible-playbook user.yml
 2PLAY [create user] ************************************************************
 3TASK: [create  user ] **********************************************
 4changed: [10.212.52.252]
 5changed: [10.212.52.14]
 6changed: [10.212.52.16]
 7PLAY RECAP ********************************************************************
 810.212.52.14               : ok=1    changed=1    unreachable=0    failed=0
 910.212.52.16               : ok=1    changed=1    unreachable=0    failed=0
1010.212.52.252              : ok=1    changed=1    unreachable=0    failed=0

同样,如果想实现把这个新增的用户删除,只需将该playbook文件的最后一行替换为如下行再执行相应的playbook即可:

1user: name="{{ user }}" state=absent remove=yes

二、一键修补bash shellcode示例

再给出一个稍微复杂的示例,通过ansible-playbook实现对N台主机同时修补bash shellcode 漏洞。需要注意的是,可能现网主机分布着不同的系统版本。这里假设现网同时存在centos5和6版本,具体playbook内容如下:

 1# cat update_bash.yml
 2- hosts: all
 3  remote_user: root
 4  gather_facts: True
 5  tasks:
 6  - name: update bash in redhat 6 version
 7    yum: name=http://mirrors.aliyun.com/centos/6.6/os/x86_64/Packages/bash-4.1.2-29.el6.x86_64.rpm.rpm state=present
 8    when: ansible_os_family == "RedHat" and ansible_distribution_version|int >=6
 9  - name: update bash in redhat 5 version
10    yum: name=http://mirrors.hustunique.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5.1.x86_64.rpm state=present
11    when: ansible_os_family == "RedHat" and ansible_distribution_version|int <=5

上面使用了when语句,同时也开启了gather_facts setup模块,这里的ansible_os_family变量和ansible_distribution_version变量就是直接使用的setup模块获取的信息。

如果有大量主机,就在运行的时候加上-f然后选择一个合适的并发主机数量即可,我这里使用了这个,很快的就升级完成bash了。

三、playbook的构成

playbook是由一个或多个“play”组成的列表。play的主要功能在于将事先归并为一组的主机装扮成事先通过ansible中的task定义好的角色。从根本上来讲所谓task无非是调用ansible的一个module。将多个play组织在一个playbook中即可以让它们联同起来按事先编排的机制同唱一台大戏。其主要有以下四部分构成

1playbooks组成:
2  Target section:   定义将要执行 playbook 的远程主机组
3  Variable section: 定义 playbook 运行时需要使用的变量
4  Task section:     定义将要在远程主机上执行的任务列表
5  Handler section:  定义 task 执行完成以后需要调用的任务

而其对应的目录层为五个,一般所需的目录层有:(视情况可变化)
– vars 变量层
– tasks 任务层
– handlers 触发条件
– files 文件
– template 模板

下面介绍下构成playbook 的四层结构。

1、Hosts和Users

playbook中的每一个play的目的都是为了让某个或某些主机以某个指定的用户身份执行任务。

hosts 用于指定要执行指定任务的主机其可以是一个或多个由冒号分隔主机组。

remote_user 则用于指定远程主机上的执行任务的用户。 不过remote_user也可用于各task中。也可以通过指定其通过sudo的方式在远程主机上执行任务其可用于play全局或某任务。 此外甚至可以在sudo时使用sudo_user指定sudo时切换的用户。

示例:

1- hosts: webnodes
2  tasks:
3    - name: test ping connection:
4    remote_user: test
5    sudo: yes

2、任务列表和action

play的主体部分是task list。

task list中的各任务按次序逐个在hosts中指定的所有主机上执行即在所有主机上完成第一个任务后再开始第二个。在运行自下而下某playbook时如果中途发生错误所有已执行任务都将回滚因此在更正playbook后重新执行一次即可。

task的目的是使用指定的参数执行模块而在模块参数中可以使用变量。模块执行是幂等的这意味着多次执行是安全的因为其结果均一致。每个task都应该有其name用于playbook的执行结果输出建议其内容尽可能清晰地描述任务执行步骤。如果未提供name则action的结果将用于输出。

定义task的可以使用“action: module options”或“module: options”的格式推荐使用后者以实现向后兼容。如果action一行的内容过多也中使用在行首使用几个空白字符进行换行。

1tasks:
2  - name: make sure apache is running
3    service: name=httpd state=running

在众多模块中只有command和shell模块仅需要给定一个列表而无需使用“key=value”格式例如

1tasks:
2  - name: disable selinux
3    command: /sbin/setenforce 0  如果命令或脚本的退出码不为零可以使用如下方式替代
4tasks:
5  - name: run this command and ignore the result
6    shell: /usr/bin/somecommand || /bin/true

或者使用ignore_errors来忽略错误信息

1tasks:
2  - name: run this command and ignore the result
3    shell: /usr/bin/somecommand
4    ignore_errors: True

3、handlers

用于当关注的资源发生变化时采取一定的操作。 “notify”这个action可用于在每个play的最后被触发这样可以避免多次有改变发生时每次都执行指定的操作取而代之仅在所有的变化发生完成后一次性地执行指定操作。 在notify中列出的操作称为handler也即notify中调用 handler中定义的操作。

注意:在 notify 中定义内容一定要和tasks中定义的 – name 内容一样,这样才能达到触发的效果,否则会不生效

 1- name: template configuration file
 2  template: src=template.j2 dest=/etc/foo.conf
 3  notify:
 4  - restart memcached
 5  - restart apache
 6handler是task列表这些task与前述的task并没有本质上的不同。
 7handlers:
 8  - name: restart memcached
 9    service: name=memcached state=restarted
10  - name: restart apache
11    service: name=apache state=restarted

4、tags

tags用于让用户选择运行或略过playbook中的部分代码。ansible具有幂等性因此会自动跳过没有变化的部分即便如此有些代码为测试其确实没有发生变化的时间依然会非常地长。 此时如果确信其没有变化就可以通过tags跳过此些代码片断。

5、示例

下面再给出一个安装httpd web服务的示例:

 1# cat /etc/ansible/playbook/install_web.yml
 2- hosts: webservers
 3  remote_user: root
 4  gather_fasks: False
 5  vars:
 6    packages: httpd
 7  tasks:
 8    - name: Install httpd
 9      yum: name={{ packages }} state=present
10    - name: Cofiguration httpd
11      copy: src=/root/httpd.conf dest=/etc/httpd/conf/httpd.conf
12      tags: httpd_conf
13    notify:
14      - restart httpd
15    - name: Start httpd
16      service: name=httpd state=started enabled=no
17      tags: start
18    - name:Add centos user
19      user: name={{ item }} state=absent
20      tags: adduser
21      with_items:
22        - centos
23        - admin
24  handlers:
25    - name: restart httpd
26      service: name=httpd state=restart

注:上面的代码没有考虑ubuntu平台,仅仅考虑centos/redhat平台。