自动化运维专题（一）：Ansible批量自动化管理工具入门

一，Ansible概述

• 由于互联网的快速发展导致产品更新换代速度逐步增长，运维人员每天都要进行大量的维护操作，按照传统方式进行维护使得工作效率低下。这时部署自动化运维工具就可以尽可能安全，高效的完成这些工作。
• Ansible是基于Python开发，集合了众多优秀运维工具的优点，实现了批量运行命令，部署程序，配置系统等功能的自动化运维管理工具。默认通过SSH协议进行远程命令执行或下发配置，无需部署任何客户端代理软件，从而使得自动化环境部署变得更加简单。可同时支持多台主机并行管理，使得管理主机更加敏捷。
• Ansible可以看作是一种基于模块进行工作的框架结构，批量部署能力就是由Ansible所运行的模块实现的。简单说Ansible是基于“模块”完成各种任务的。

二，ansible服务的安装和部署

2.1 实验环境

主机名	IP地址	备注
ansible	192.168.200.183	管理服务器
Web01	192.168.200.184	被管理主机
Web02	192.168.200.185	被管理主机

1. #
2. [root@localhost ~]# cat /etc/redhat-release
3. CentOS Linux release 7.5.1804 (Core)
4. [root@localhost ~]# uname -r
5. 3.10.0-862.3.3.el7.x86_64
6. [root@localhost ~]# systemctl stop firewalld
7. [root@localhost ~]# systemctl disable firewalld
8. [root@localhost ~]# systemctl stop NetworkManager
9. [root@localhost ~]# systemctl disable NetworkManager
11. #通过yum源方式安装ansible
12. [root@ansible ~]# yum -y install epel-release
13. [root@ansible ~]# yum -y install ansible
15. #通过Python的pip方式安装ansible
16. [root@ansible ~]# yum -y install epel-release
17. [root@ansible ~]# yum -y install python2-pip
18. [root@ansible ~]# pip install ansible

2.2 生产环境Ansible管理服务器ssh登陆安全策略

（1）生产环境ssh登陆策略

备份：cp /etc/ssh/sshd_config{,.bak}

1. [root@www ~]# cat -n /etc/ssh/sshd_config.bak | sed -n '17p;38p;43p;47p;65p;79p;115p'
2. 17 #Port 22 #修改ssh连接端口
3. 38 #PermitRootLogin yes #是否允许root账号远程登陆
4. 43 #PubkeyAuthentication yes #是否开启公钥连接认证
5. 47 AuthorizedKeysFile .ssh/authorized_keys #公钥文件的放置位置
6. 65 PasswordAuthentication yes #是否开启密码验证登陆
7. 79 GSSAPIAuthentication yes #是否关闭GSSAPI认证
8. 115 #UseDNS yes #是否关闭DNS反向解析
9. [root@www ~]# cat -n /etc/ssh/sshd_config | sed -n '17p;38p;43p;47p;65p;79p;115p'
10. 17 Port 22221 #工作中需要设定到1万以上的端口，避免被扫描出来。
11. 38 PermitRootLogin yes #如果不是超大规模的服务器，为了方便我们可以暂时开启root远程登录
12. 43 PubkeyAuthentication yes #开启公钥认证模式
13. 47 AuthorizedKeysFile .ssh/authorized_keys #公钥放置位置
14. 65 PasswordAuthentication no #为了安全我们关闭服务器的密码认证方式
15. 79 GSSAPIAuthentication no #关闭GSSAPI认证，极大提高ssh连接速度
16. 115 UseDNS no #关闭DNS反向解析，极大提高ssh连接速度

（2）设置xshell私钥登陆Linux

1. #查看服务器端IP
2. [root@ansible .ssh]# hostname -I
3. 192.168.200.183
5. #在Linux服务器端生成rsa密钥对
6. [root@ansible ~]# ssh-keygen #一直回车
7. Generating public/private rsa key pair.
8. Enter file in which to save the key (/root/.ssh/id_rsa):
9. Enter passphrase (empty for no passphrase):
10. Enter same passphrase again:
11. Your identification has been saved in /root/.ssh/id_rsa.
12. Your public key has been saved in /root/.ssh/id_rsa.pub.
13. The key fingerprint is:
14. SHA256:royhAEKx9bhe4jLZ3SzfZ/yvhkzPgToDIx+1gSxoOLM root@www
15. The keys randomart image is:
16. +---[RSA 2048]----+
17. | . . |
18. | + o |
19. | o..... . |
20. |.+ o.. o o |
21. |o =o .. S o . |
22. |oE= +.o= . o . |
23. |.+ +.ooo= = + . |
24. | .o. +oo.+ * + |
25. | . . o. .= ooo. |
26. +----[SHA256]-----+
28. #将生成的公钥导入到服务器端的~/.ssh/authorized_keys文件里
29. [root@ansible ~]# cd .ssh/
30. [root@ansible .ssh]# ls
31. id_rsa id_rsa.pub
32. [root@ansible .ssh]# cat id_rsa.pub > authorized_keys
33. [root@ansible .ssh]# chmod 600 authorized_keys #权限必须600否则不生效
34. [root@ansible .ssh]# cat authorized_keys
35. ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDS7U4vgjCpWrMFwnWjUlrebldvPw5NNQpnyGT/1cTsyI6ryPm19J+IQ2wNn67BpYz0NKyLjq/hYlSxlQmD7xHwNM5KQirUYPgwPhhDqGuNE+UrBZ2lUkknt358YWGpEC+TUPy/MLNbnIepPpZr0y0qyXmtp7KpeXJwLeKLzZLpHnzA8Vr3A7w/jNaDnQJmKYvDvD0Q6O54CVkkSdxaYPAT1hVfX1pKz0dSNQbJpl5ZJXigQo26M+7qYXeUBxI5Guaapl6uT5sySzTBwwd9Yt49NKE/kIivClegVfHPGF4iSqfCiCd2BTJGTuCVBS2j4lhrjTLyWRO8po7BM4yImRGf root@www
37. #将私钥文件id_rsa复制一份改名为rd_rsa_root并导出到宿主机桌面上
38. [root@ansible .ssh]# ls
39. authorized_keys id_rsa id_rsa.pub
40. [root@ansible .ssh]# cp id_rsa id_rsa_root
41. [root@ansible .ssh]# ls
42. authorized_keys id_rsa.pub id_rsa id_rsa_root

查看导入到桌面上的私钥文件

而后xshell显示登陆成功！

（2）用户权限策略

在生产环境中，如果遇到禁止root用户远程登录系统，授权仅普通用户登陆系统，那么需要管理员权限执行sudo提权即可，避免root用户之间登陆

1. #创建一个普通用户yunjisuan
2. [root@ansible ~]# useradd yunjisuan
3. [root@ansible ~]# echo "123123" | passwd --stdin yunjisuan
4. 更改用户 yunjisuan 的密码 。
5. passwd：所有的身份验证令牌已经成功更新。
7. #以root账号授权普通用户yunjisuan所有权限并免输入密码
8. [root@ansible ~]# sed -n '93p' /etc/sudoers
9. yunjisuan ALL=(ALL) ALL
11. #切换到yunjisuan用户测试提权
12. [root@ansible ~]# su - yunjisuan
13. [yunjisuan@ansible ~]$ sudo -l
15. 我们信任您已经从系统管理员那里了解了日常注意事项。
16. 总结起来无外乎这三点：
18. #1) 尊重别人的隐私。
19. #2) 输入前要先考虑(后果和风险)。
20. #3) 权力越大，责任越大。
22. [sudo] yunjisuan 的密码：
23. 匹配 %2$s 上 %1$s 的默认条目：
24. !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
25. env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
26. env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
27. secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
29. 用户 yunjisuan 可以在 ansible 上运行以下命令：
30. (ALL) ALL
32. #测试提权
33. [yunjisuan@ansible ~]$ ls /root
34. ls: 无法打开目录/root: 权限不够
35. [yunjisuan@ansible ~]$ sudo ls /root
36. anaconda-ks.cfg

（3）配置xshell远程密钥登陆服务器端普通用户

1. #给yunjisuan普通用户创建公钥认证。注意权限。权限过大，公钥验证会失败
2. [root@ansible ~]# mkdir -p /home/yunjisuan/.ssh
3. [root@ansible ~]# chmod 700 /home/yunjisuan/.ssh
4. [root@ansible ~]# chown yunjisuan.yunjisuan /home/yunjisuan/.ssh
5. [root@ansible ~]# cp ~/.ssh/authorized_keys /home/yunjisuan/.ssh/
6. [root@ansible ~]# chmod 600 /home/yunjisuan/.ssh/authorized_keys
7. [root@ansible ~]# chown yunjisuan.yunjisuan /home/yunjisuan/.ssh/authorized_keys

然后我们xshell远程登陆普通用户到Ansible服务器端
xshell还是用刚才导入的那个私钥文件即可。

然后就登陆成功了。
最后我们关闭Ansible管理服务器端的root账号SSH远程登录功能即可。

1. #在生产环境我们一般是要禁止服务器root账号远程登录功能的（一旦关闭，密钥和密码登陆方式都不能再登陆）
2. #如果我们想用root账号进行操作，那么远程密钥连接普通用户在切换成root账号即可
3. yunjisuan@ansible ~]$ sudo su -
4. [sudo] yunjisuan 的密码：
5. 上一次登录：日 9月 9 21:01:31 CST 2018从 192.168.200.1pts/1 上
6. [root@ansible ~]#
8. #关闭Ansible管理服务器的root账号SSH远程登录功能
9. [root@ansible ~]# sed -n '38p' /etc/ssh/sshd_config
10. PermitRootLogin no
12. #重启动sshd服务
13. [root@ansible ~]# systemctl restart sshd

（4）配置Ansible管理服务器sudo审计日志

Centos6.x和Centos7.x的配置方法相同，rsyslog服务是所有日志记录的服务进程

1. #开启sudo日志
2. [root@ansible ~]# echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf
3. [root@ansible ~]# echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
4. [root@ansible ~]# systemctl restart rsyslog
6. #测试sudo日志记录
7. [root@ansible ~]# exit
8. 登出
9. [yunjisuan@ansible ~]$ sudo su -
10. [sudo] yunjisuan 的密码：
11. 上一次登录：日 9月 9 21:40:11 CST 2018pts/0 上
13. #查看/var/log/sudo.log日志
14. [root@ansible ~]# cat /var/log/sudo.log
15. Sep 9 21:49:12 : yunjisuan : TTY=pts/0 ; PWD=/home/yunjisuan ; USER=root ;
16. COMMAND=/bin/su -

2.3 安装ansible

1. [root@ansible ~]# yum -y install epel-release
2. [root@ansible ~]# yum -y install ansible
3. [root@ansible ~]# ansible --version
4. ansible 2.6.3
5. config file = /etc/ansible/ansible.cfg
6. configured module search path = [u'/root/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
7. ansible python module location = /usr/lib/python2.7/site-packages/ansible
8. executable location = /usr/bin/ansible
9. python version = 2.7.5 (default, Apr 11 2018, 07:36:10) [GCC 4.8.5 20150623 (Red Hat 4.8.5-28)]

2.4 配置主机清单

/etc/ansible/hosts文件中可以定义被管理主机，Ansible通过读取/etc/ansible/hosts文件内定义的主机清单批量做一些操作。比如定义一个nginx组，包含一台主机Web01，再定义一个apache组，包含另一台主机Web02.

1. [root@ansible ~]# cat /etc/ansible/hosts
2. [nginx]
3. Web01 ansible_ssh_host=192.168.200.184
4. Web02 ansible_ssh_host=192.168.200.185
6. 说明：
7. ansible_ssh_host:被管理主机IP
8. ansible_ssh_user:被管理主机用户名
9. ansible_ssh_pass:被管理主机用户的登陆密码
10. ansible_sudo_pass:被管理主机用户sudo时的密码

2.5 设置SSH免密码登陆

为了避免Ansible下发指令时需要输入被管理主机的密码，可以通过证书签名达到SSH无密码登陆。使用ssh-keygen产生一对密钥，并通过ssh-copy-id命令来发送生成的公钥。

1. [root@ansible ~]# ls ~/.ssh/
2. authorized_keys id_rsa id_rsa.pub
3. [root@ansible ~]# ssh-copy-id 192.168.200.184
4. [root@ansible ~]# ssh-copy-id 192.168.200.185

当然，我们也可以在控制端主机的hosts文件里直接写入连接方式，用户，密码也能下发指令。但是生产环境不建议这么做。因为这样明文密码容易泄露，另外如果被控制主机修改了密码，这里也需要一起更改，不便于管理。

2.6 Ansible服务器简单的综合安全管理策略

1. #禁止非root用户查看Ansible管理服务器端/etc/hosts文件
2. [root@ansible ~]# ll /etc/hosts
3. -rw-r--r--. 1 root root 180 9月 9 00:38 /etc/hosts
4. [root@ansible ~]# chmod 600 /etc/hosts
6. #禁止非root用户查看Ansible的主机清单配置文件
7. [root@ansible ~]# ll /etc/ansible/hosts
8. -rw-r--r-- 1 root root 87 9月 9 21:59 /etc/ansible/hosts
9. [root@ansible ~]# chmod 600 /etc/ansible/hosts

2.7 ansible查看帮助

[root@ansible ~]# /usr/local/python/bin/ansible-doc -l 查看总帮助
[root@ansible ~]# /usr/local/python/bin/ansible-doc -s shell 查看shell模块的帮助

三，ansible的基础应用

Ansible可以使用命令行的方式进行自动化管理。命令的基本语法如下所示：

1. ansible <被操控的主机或主机组或all> [-m 模块名] [-a 具体命令]
3. 说明：
4. 主机组名====> /etc/ansible/hosts里设定的nginx，apache，web
5. 主机名====> Web01,Web02
6. all ====>/etc/ansible/hosts里设定的所有主机
7. 模块名====> command，cron，shell，file等

3.1 ping模块

Ansible中使用ping模块来检测指定主机的连通性

1. #测试单主机
2. [root@ansible ~]# ansible Web01 -m ping
3. Web01 | SUCCESS => {
4. "changed": false,
5. "ping": "pong"
6. }
8. #测试单主机
9. [root@ansible ~]# ansible Web02 -m ping
10. Web02 | SUCCESS => {
11. "changed": false,
12. "ping": "pong"
13. }
15. #测试主机组
16. [root@ansible ~]# ansible nginx -m ping
17. Web02 | SUCCESS => {
18. "changed": false,
19. "ping": "pong"
20. }
21. Web01 | SUCCESS => {
22. "changed": false,
23. "ping": "pong"
24. }
26. #测试所有的被管理主机
27. [root@ansible ~]# ansible all -m ping
28. Web02 | SUCCESS => {
29. "changed": false,
30. "ping": "pong"
31. }
32. Web01 | SUCCESS => {
33. "changed": false,
34. "ping": "pong"
35. }

3.2 command模块

在远程主机执行命令，不支持管道符和重定向等复杂命令，可完全被shell模块替代

1. [root@ansible ~]# ansible Web01 -m command -a 'uptime'
2. Web01 | SUCCESS | rc=0 >>
3. 22:14:43 up 9:43, 3 users, load average: 0.00, 0.01, 0.05
5. [root@ansible ~]# ansible Web01 -m command -a 'ls'
6. Web01 | SUCCESS | rc=0 >>
7. anaconda-ks.cfg

3.3 shell模块

Ansible中的shell模块可以在被管理主机上运行命令，并支持像管道符重定向这样的复杂命令。

1. #在Web01上创建用户yunjisuan，并非交互方式设定密码
2. [root@ansible ~]# ansible Web01 -m shell -a 'useradd yunjisuan'
3. Web01 | SUCCESS | rc=0 >>
5. [root@ansible ~]# ansible Web01 -m shell -a 'echo 123123 | passwd --stdin yunjisuan'
6. Web01 | SUCCESS | rc=0 >>
7. 更改用户 yunjisuan 的密码 。
8. passwd：所有的身份验证令牌已经成功更新。
10. [root@ansible ~]# ansible Web01 -m shell -a 'id yunjisuan'
11. Web01 | SUCCESS | rc=0 >>
12. uid=1000(yunjisuan) gid=1000(yunjisuan) 组=1000(yunjisuan)
14. [root@ansible ~]# ansible Web01 -m shell -a 'tail -1 /etc/shadow'
15. Web01 | SUCCESS | rc=0 >>
16. yunjisuan:$6$4y7c1tkV$oPZW0psDdAzJp5RomBrOpSlTuvsdQ/5JaBYHU.LOPsYQ0o7EpPFRMuh/X9ruwcmBcZbN.l/glBTfDKm//jJP60:17782:0:99999:7:::
18. #在所有被管理的主机的/etc/hosts文件里添加Ansible管理服务器的IP地址映射
19. [root@ansible ~]# ansible all -m shell -a 'echo "ansible 192.168.200.183" >> /etc/hosts'
20. Web02 | SUCCESS | rc=0 >>
23. Web01 | SUCCESS | rc=0 >>
25. [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
26. Web01 | SUCCESS | rc=0 >>
27. ansible 192.168.200.183
29. Web02 | SUCCESS | rc=0 >>
30. ansible 192.168.200.183

3.4 cron模块

Ansible中的cron模块用于定义任务计划。主要包括两种状态（state）；

• crontab时间周期：
  
  • minute：分钟
  • hour：小时
  • day：日期
  • month：月份
  • weekday：周期
• crontab任务：
  
  • job：指明运行的命令是什么
• crontab任务描述：
  
  • name：定时任务描述（定时任务清除的依据）
• state状态：
  
  • present:表示添加（省略状态时默认使用）；
  • absent:表示移除；
• crontab任务的用户身份：
  
  • user：指定定时任务以哪个用户身份执行

1. #添加定时任务计划，在所有被管理的主机里每十分钟输出hello字符串，定时任务描述为test cron job
2. [root@ansible ~]# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job"'
3. Web02 | SUCCESS => {
4. "changed": true,
5. "envs": [],
6. "jobs": [
7. "test cron job"
8. ]
9. }
10. Web01 | SUCCESS => {
11. "changed": true,
12. "envs": [],
13. "jobs": [
14. "test cron job"
15. ]
16. }
17. [root@ansible ~]# ansible all -m shell -a 'crontab -l'
18. Web01 | SUCCESS | rc=0 >>
19. #Ansible: test cron job
20. */10 * * * * /bin/echo hello
22. Web02 | SUCCESS | rc=0 >>
23. #Ansible: test cron job
24. */10 * * * * /bin/echo hello
26. #删除描述为test cron job的定时任务
27. [root@ansible ~]# ansible all -m cron -a 'minute="*/10" job="/bin/echo hello" name="test cron job" state=absent'
28. Web02 | SUCCESS => {
29. "changed": true,
30. "envs": [],
31. "jobs": []
32. }
33. Web01 | SUCCESS => {
34. "changed": true,
35. "envs": [],
36. "jobs": []
37. }
38. [root@ansible ~]# ansible all -m shell -a 'crontab -l'
39. Web02 | SUCCESS | rc=0 >>
42. Web01 | SUCCESS | rc=0 >>
44. #给Web01服务器上的普通用户yunjisuan添加一个定时任务
45. [root@ansible ~]# ansible Web01 -m shell -a 'id yunjisuan'
46. Web01 | SUCCESS | rc=0 >>
47. uid=1000(yunjisuan) gid=1000(yunjisuan) 组=1000(yunjisuan)
49. [root@ansible ~]# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan"'
50. Web01 | SUCCESS => {
51. "changed": true,
52. "envs": [],
53. "jobs": [
54. "yunjisuan cron job"
55. ]
56. }
57. [root@ansible ~]# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
58. Web01 | SUCCESS | rc=0 >>
59. #Ansible: yunjisuan cron job
60. */10 * * * * /bin/echo hello
62. [root@ansible ~]# ansible Web01 -m cron -a 'minute="*/10" job="/bin/echo hello" name="yunjisuan cron job" user="yunjisuan" state="absent"'
63. Web01 | SUCCESS => {
64. "changed": true,
65. "envs": [],
66. "jobs": []
67. }
68. [root@ansible ~]# ansible Web01 -m shell -a 'crontab -u yunjisuan -l'
69. Web01 | SUCCESS | rc=0 >>

3.5 copy模块

Ansible中的copy模块用于实现文件复制和批量下发文件。其中使用src来定义本地源文件路径；使用dest定义被管理主机文件路径；使用content则是使用指定信息内容来生成目标文件。

1. #将本地的/etc/hosts文件拷贝到所有被管理的主机的/etc/hosts路径下覆盖同名文件，并指定属主和权限，若拷贝的文件与目标文件内容不同，则备份目标文件再覆盖。
2. [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
3. Web01 | SUCCESS | rc=0 >>
4. ansible 192.168.200.183
6. Web02 | SUCCESS | rc=0 >>
7. ansible 192.168.200.183
9. [root@ansible ~]# echo "web01 192.168.200.184" >> /etc/hosts
10. [root@ansible ~]# tail -1 /etc/hosts
11. web01 192.168.200.184
12. [root@ansible ~]# ansible all -m copy -a 'src=/etc/hosts dest=/etc/hosts owner=root mode=640 backup=yes'
13. Web01 | SUCCESS => {
14. "backup_file": "/etc/hosts.13083.2018-09-09@00:38:35~",
15. "changed": true,
16. "checksum": "80244bc6f9638a3505aae1a2bcf2228e69a00420",
17. "dest": "/etc/hosts",
18. "gid": 0,
19. "group": "root",
20. "md5sum": "de48f3cf45d11215fa7cfd0d558be954",
21. "mode": "0640",
22. "owner": "root",
23. "size": 180,
24. "src": "/root/.ansible/tmp/ansible-tmp-1536424715.44-39054260112988/source",
25. "state": "file",
26. "uid": 0
27. }
28. Web02 | SUCCESS => {
29. "backup_file": "/etc/hosts.12643.2018-09-09@00:38:36~",
30. "changed": true,
31. "checksum": "80244bc6f9638a3505aae1a2bcf2228e69a00420",
32. "dest": "/etc/hosts",
33. "gid": 0,
34. "group": "root",
35. "md5sum": "de48f3cf45d11215fa7cfd0d558be954",
36. "mode": "0640",
37. "owner": "root",
38. "size": 180,
39. "src": "/root/.ansible/tmp/ansible-tmp-1536424715.45-15307684711466/source",
40. "state": "file",
41. "uid": 0
42. }
43. [root@ansible ~]# ansible all -m shell -a 'tail -1 /etc/hosts'
44. Web02 | SUCCESS | rc=0 >>
45. web01 192.168.200.184
47. Web01 | SUCCESS | rc=0 >>
48. web01 192.168.200.184
50. [root@ansible ~]# ansible all -m shell -a 'ls /etc/hosts*'
51. Web01 | SUCCESS | rc=0 >>
52. /etc/hosts
53. /etc/hosts.13083.2018-09-09@00:38:35~ #这就是备份的文件
54. /etc/hosts.allow
55. /etc/hosts.deny
57. Web02 | SUCCESS | rc=0 >>
58. /etc/hosts
59. /etc/hosts.12643.2018-09-09@00:38:36~ #这就是备份的文件
60. /etc/hosts.allow
61. /etc/hosts.deny
63. #将本地/tmp/test.sh的脚本复制到远程主机上并远程激活
64. [root@ansible ~]# cat /tmp/test.sh
65. #!/bin/bash
67. echo "welcome to yunjisuan"
68. [root@ansible ~]# ansible all -m copy -a 'src=/tmp/test.sh dest=/tmp owner=root mode=500'
69. Web01 | SUCCESS => {
70. "changed": true,
71. "checksum": "70ae837e7367f5d4de9a3197709639ae14743000",
72. "dest": "/tmp/test.sh",
73. "gid": 0,
74. "group": "root",
75. "md5sum": "5ff4338de7d9ff0ded9fa3e0ecd15bab",
76. "mode": "0500",
77. "owner": "root",
78. "size": 41,
79. "src": "/root/.ansible/tmp/ansible-tmp-1536425049.22-149074464676784/source",
80. "state": "file",
81. "uid": 0
82. }
83. Web02 | SUCCESS => {
84. "changed": true,
85. "checksum": "70ae837e7367f5d4de9a3197709639ae14743000",
86. "dest": "/tmp/test.sh",
87. "gid": 0,
88. "group": "root",
89. "md5sum": "5ff4338de7d9ff0ded9fa3e0ecd15bab",
90. "mode": "0500",
91. "owner": "root",
92. "size": 41,
93. "src": "/root/.ansible/tmp/ansible-tmp-1536425049.23-32532320097185/source",
94. "state": "file",
95. "uid": 0
96. }
97. [root@ansible ~]# ansible all -m shell -a '/tmp/test.sh'
98. Web01 | SUCCESS | rc=0 >>
99. welcome to yunjisuan
101. Web02 | SUCCESS | rc=0 >>
102. welcome to yunjisuan

3.6 script模块

Ansible中的script模块可以将本地脚本复制到被管理主机的内存中并运行，不会在被管理主机中留下脚本文件。

1. #编写一个脚本，然后通过ansible的script模块远程向被管理主机执行此脚本
2. [root@ansible ~]# echo 'echo "1111" >> /tmp/test' >> /tmp/test.sh
3. [root@ansible ~]# cat /tmp/test.sh
4. echo "1111" >> /tmp/test
7. [root@ansible ~]# ansible all -m script -a '/tmp/test.sh'
8. Web01 | SUCCESS => {
9. "changed": true,
10. "rc": 0,
11. "stderr": "Shared connection to 192.168.200.184 closed.\r\n",
12. "stderr_lines": [
13. "Shared connection to 192.168.200.184 closed."
14. ],
15. "stdout": "",
16. "stdout_lines": []
17. }
18. Web02 | SUCCESS => {
19. "changed": true,
20. "rc": 0,
21. "stderr": "Shared connection to 192.168.200.185 closed.\r\n",
22. "stderr_lines": [
23. "Shared connection to 192.168.200.185 closed."
24. ],
25. "stdout": "",
26. "stdout_lines": []
27. }
29. [root@ansible ~]# ansible all -m shell -a 'cat /tmp/test'
30. Web02 | SUCCESS | rc=0 >>
31. 1111
33. Web01 | SUCCESS | rc=0 >>
34. 1111

3.7 yum模块

利用yum模块安装软件包，虽然能被shell模块替代
但是用yum模块更显专业一些

• 软件包名：
  
  • name：指定软件包的名字
• state状态：
  
  • present：安装软件包（默认就是这个）
  • absent：卸载软件包

1. #安装nmap软件包
2. [root@ansible ~]# ansible all -m yum -a 'name=nmap'
4. #卸载nmap软件包
5. [root@ansible ~]# ansible all -m yum -a 'name=nmap state=absent'

3.8 service模块

利用service模块管理服务程序，虽然能被shell模块替代
但是用service模块更显专业一些

• 服务名称：
  
  • name：指定服务的名字
• state状态：
  
  • started：启动服务
  • stopped：停止服务
  • restarted：重启服务
  • reloaded：平滑重载
• enabled开机自启动：
  
  • true：设置开机自启动
  • false：设置开启不启动

1. #启动firewalld并设置开机自启动
2. [root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=started enabled=true'
4. #关闭firewalld并设置开机不启动
5. [root@ansible ~]# ansible Web01 -m service -a 'name=firewalld state=stopped enabled=false'

3.9 user模块

用户管理模块。管理用户账号

• ：指定用户名
  
  • name：指定操作的用户的名字
• ：用户描述
  
  • comment：指定用户的描述信息
• ：createhome：是否创建家目录
• ：uid：指定用户的uid号
• ：groups：指定用户的附加组（默认创建和用户名相同的组）
• ：password：指定用户的密码
• ：update_password:更新用户的密码
• ：shell指定用户的登陆方式
  
  • /bin/bash：能登录系统
  • /sbin/nologin:不能登录系统
• ：home：指定用户的家目录路径
• :state状态：
  
  • present：创建用户（默认就是这个）
  • absent：删除用户
• :remove:当指定state=absent时，确认是否删除用户家目录
  
  • true
  • false

1. #在Web02上创建一个普通用户yunjisuan，并设置用户的密码为123123
2. [root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan comment="welcom to yunjisuan" uid=1066 groups=wheel password=123123 shell=/bin/bash home=/home/yunjisuan'
3. Web02 | SUCCESS => {
4. "changed": true,
5. "comment": "welcom to yunjisuan",
6. "create_home": true,
7. "group": 1066,
8. "groups": "wheel",
9. "home": "/home/yunjisuan",
10. "name": "yunjisuan",
11. "password": "NOT_LOGGING_PASSWORD",
12. "shell": "/bin/bash",
13. "state": "present",
14. "system": false,
15. "uid": 1066
16. }
17. [root@ansible ~]# ansible Web02 -m shell -a 'tail -1 /etc/passwd'
18. Web02 | SUCCESS | rc=0 >>
19. yunjisuan:x:1066:1066:welcom to yunjisuan:/home/yunjisuan:/bin/bash
21. [root@ansible ~]# ansible Web02 -m shell -a 'tail -1 /etc/shadow'
22. Web02 | SUCCESS | rc=0 >>
23. yunjisuan:123123:17783:0:99999:7::: #密码居然是明文！！！

利用ansible的user模块状态用户时要注意在password参数的后边添加密文，否则不能登陆用户
通过Python的pip程序安装passlib即可为密码加密

1. #安装Python2的pip工具，并通过pip工具安装Python的加密模块来给密码加密
2. [root@ansible ~]# yum -y install epel-release
3. [root@ansible ~]# yum -y install python2-pip
4. [root@ansible ~]# pip install passlib
6. #生成密文密码
7. [root@ansible ~]# python -c "from passlib.hash import sha512_crypt;import getpass;print sha512_crypt.encrypt(getpass.getpass())"
8. Password: #输入你想要加密的密码
9. $6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1 #加密后的密码
12. #删除之前创建的yunjisuan用户，并删除它的家目录
13. [root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan state=absent remove=true'
14. Web02 | SUCCESS => {
15. "changed": true,
16. "force": false,
17. "name": "yunjisuan",
18. "remove": true,
19. "state": "absent"
20. }
22. #继续在Web02上创建yunjisuan用户
23. [root@ansible ~]# ansible Web02 -m user -a 'name=yunjisuan comment="welcom to yunjisuan" uid=1066 groups=wheel password=$6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1 shell=/bin/bash' home=/home/yunjisuan'
25. [root@ansible ~]# ansible Web02 -m shell -a 'tail -1 /etc/shadow'
26. Web02 | SUCCESS | rc=0 >>
27. yunjisuan:$6$rounds=656000$Tw15COd8DLh/VS94$Mcmz/8CcjBKiEl0mYHcOQQCxEA5mz66EcGH2qXVk6o.Sm7FsRS.DsDVy6ET8iI6jDa045I94slZqWFwyYnRSW1:17783:0:99999:7::: #终于密文了

3.10 setup模块

Ansible中使用setup模块收集，查看被管理主机的facts（facts是Ansible采集被管理主机设备信息的一个功能）。每个被管理主机在接收并运行管理命令之前，都会将自己的相关信息（操作系统版本，IP地址等）发送给控制主机

1. #查看远程主机的facts信息
2. [root@ansible ~]# ansible Web01 -m setup | head
3. Web01 | SUCCESS => {
4. "ansible_facts": {
5. "ansible_all_ipv4_addresses": [
6. "192.168.200.184"
7. ],
8. "ansible_all_ipv6_addresses": [
9. "fe80::20c:29ff:fe77:16ad"
10. ],
11. "ansible_apparmor": {
12. "status": "disabled"