【Ansible】
参考文档:【http://www.ansible.com.cn/docs/intro.html】
和ansible类似的工具还有saltstack,puppet,sshpass等,都用于远程(批量)地管理服务器资源。各种工具实现原理不同,像ansible的话就是基于SSH开发的,这就表示其无需安装客户端,在一台全新的服务器上线之后(只要其有sshd服务在运行)就可以直接加入被管理的集群了。
■ 安装验证
安装ansible的话我还是用了yum install ansible,据说用pip也可以装。对于其他一些的系统,可以选择从源码开始安装。源码安装一年前自己那本笔记本上有,可参考。总的来说,ansible的安装还要求许多系统的组件如pcre,zlib以及其开发包、还有就是很多python模块如paramiko等。
安装完成后先验证一下。ansible --version可以看到版本信息。
ansible的主要配置文件在/etc/ansible中,修改其中的hosts文件,默认情况下应该全是注释,在合适的地方比如第12行左右写入一行127.0.0.1。这个hosts文件主要用来配置所有被控端,现在验证性地把本地先配置进去。
● 关于验证用户方式
因为ansible基于SSH,所以不可避免的一个问题就是通过ansible远程连接主机时如何验证用户?两种方式,一个是密码,一个是公钥认证。
如果选择通过密码来认证,可以在/etc/ansible/hosts的相应主机配置项后面加上" ansible_ssh_user=xxx ansible_ssh_pass=yyy",此外通过密码登录时还要保证目标主机在当前使用ansible的用户的known_hosts中,即要求其至少要登录一次。添加known_hosts的方法可以是手动ssh登录一下,然后添加公钥。在/etc/ansible/ansible.cfg中配置host_key_checking = False也可以取消公钥检查步骤,但是这样并不安全。
其实,使用ansible的时候大概都是期望不要在配置文件中写入密码来通过ssh验证了,免密ssh验证的方法是ssh-keygen和ssh-copy-id两个命令一起用。默认配置时,ansible使用和当前用户同名的用户登录目标主机,因此需要目标主机的此用户的HOME/.ssh/authorized_key中有本机本用户的公钥。在此前提下,当我们用root用户执行,且/root/.ssh/authorized_key中有了root的公钥信息,此时执行
ansible all -m ping
来测试ansible的安装情况,如果返回中没有报错,就表示OK了。
■ 关于hosts文件
/etc/ansible/hosts文件指出了ansible被控端的一些配置。除了上面的简单配置,其实这个配置文件的形式可以非常丰富。比如上面说了在一个IP地址后面加上ansible_ssh_user和ansible_ssh_pass这两个额外的配置项。另外还可以加上ansible_ssh_port(默认22),ansible_ssh_host(主机名,假如你想给目标IP的主机取一个别名,但是又不想下到系统层面的/etc/hosts中去改,就可以在这里取完别名后加上此参数指明IP即可),ansible_ssh_private_key_file(指定私钥文件)还有ansible_connection,可选local,ssh或paramiko。一些其他额外配置选项如下:
ansible_sudo_pass
sudo 密码(这种方式并不安全,我们强烈建议使用 --ask-sudo-pass)
ansible_sudo_exe (new in version 1.8)
sudo 命令路径(适用于1.8及以上版本)
ansible_connection
与主机的连接类型.比如:local, ssh 或者 paramiko. Ansible 1.2 以前默认使用 paramiko.1.2 以后默认使用 'smart','smart' 方式会根据是否支持 ControlPersist, 来判断'ssh' 方式是否可行.
ansible_shell_type
目标系统的shell类型.默认情况下,命令的执行使用 'sh' 语法,可设置为 'csh' 或 'fish'.
ansible_python_interpreter
目标主机的 python 路径.适用于的情况: 系统中有多个 Python, 或者命令路径不是"/usr/bin/python",比如 *BSD, 或者 /usr/bin/python
不是 2.X 版本的 Python.我们不使用 "/usr/bin/env" 机制,因为这要求远程用户的路径设置正确,且要求 "python" 可执行程序名不可为 python以外的名字(实际有可能名为python26).
与 ansible_python_interpreter 的工作方式相同,可设定如 ruby 或 perl 的路径....
hosts文件的基本格式是ini格式的,ini中的每个section是一个服务器逻辑分组,每个option是一个服务器,然后option后面可以添加上面说的额外配置。如:
[localloop] 127.0.0.1 ansible_ssh_user=frank ansible_connection=paramiko
section无形中也对服务器做了分组,我们就可以基于分组 对一部分主机进行操作了。一台主机也可分属于几个不同的组。
hosts文件还支持多匹配的配置,比如下面这个配置:
[localloops] 127.0.0.[1:5] ansible_connection=paramiko ansible_ssh_user=root
指的是127.0.0.1到127.0.0.5所有IP都放在localloops组中。如果在这个配置下运行ansible all -m ping的话就会收到5条回应(虽然127.0.0.x都是指本地机)。
● 变量
对于批量管理系统,一个很重要的要素就是可以设置根据主机不同而不同的变量。在ansible中,变量被使用在playbook中以发起对主机不同而个性化的配置。变量的设置可以在hosts中进行。变量分成好几个层级的变量,最小的是主机变量,跟在主机后面直接设置:
127.0.0.1 http_port=80 maxRequestPerChild=808
这两个变量的作用域只有这个主机一台。由于对变量名没有限制,所以前面说到的那些ansible的配置如果打错字了也不会报错,ansible会认为这是你指定的一个主机变量
另外还可以设置组变量。设置组变量需要新开一个section,名为[组名:vars],如:
[localloop:vars] http_port=8080
另外,组之间可以通过[组名:children]的方式来指出组之间的隶属关系。比如
[localloop1] 127.0.0.[1:5] [localloop2] 127.0.0.[6:10] [localloops:children] localloop1 localloop2
如此之后,在父组中定义的变量将也会可以被子组使用
也可以把变量的定义在hosts文件外完成,这就是分文件定义主机和组变量。在/etc/ansible/下创建两个目录: host_vars和group_vars,这两个组中再分别创建YAML格式的,对应主机or组名的文件。例如可以在/etc/ansible/group_vars中创建localloop文件,在/etc/ansible/host_vars中创建testhost,然后修改hosts配置如下:
-----/etc/ansible/hosts----- [localloop] testhost ansible_ssh_host=127.0.0.1 -----/etc/ansible/group_vars/localloop----- key1: value1 key2: vaule2 -----/etc/ansible/host_vars/testhost----- key3: value3
至于变量的用处,主要是在playbook中使用,这个后面细说。
■ 命令行调用API
配置完hosts之后,在命令行中我们可以调用一些命令来使用ansible如上面的ansible all -m ping。总的来说,命令行的ansible工具大体格式是这样的:
ansible <pattern> -m <module> -a <arguments>
pattern是一个标识,规定出了一部分主机。比如可以写all或者*,就是代表所有主机;写组名,代表该组内的主机;写主机名,就代表这一个主机。如果主机名和组名冲突则以先规定的那个为准,而且命令行中会给出警告信息,提示有重名发生。另外也可以直接写域名或者IP(只要在hosts中有配置),甚至可以写192.168.1.*这种格式的来匹配一批主机。
pattern中可以借助符号来规划简单的组分逻辑,如
a:b a组和b组的并集
a:!b 属于a但不属于b的主机们
a:&b a组和b组的交集
甚至可以有a[0]这种下标的形式来取得a组中指定第几个的主机,a[0-1]则是下标群,最万能的正则表达式则需要在pattern最前面加上~,如~(www|db).example.com。需要注意一旦用上正则,那么点都要反转义了。
● 命令行使用时一些其他参数
使用命令行时如果想动态的指定远程执行命令的用户,可以加入-u参数;
-f命令控制命令执行的进程数。比如操控5个主机进行一个比较耗时的任务,那么-f 5说不定只要一个单位的时间就能搞定,而-f 1的话必然需要五个单位的时间才能搞定。完成任务后返回是及时的,有点像多线程模型,但这里是多进程的。另外ansible一定会按照-f指出的进程数fork出那么多个子进程,并不管是否真有那么多主机需要处理。这个参数的值默认是5,在ansible.cfg中有配置。
--sudo可以让命令在远端通过sudo执行,当然没有在远端主机上配置运行sudo的话会要求输密码,在ansible中默认不提供这种进一步的交互所以直接报错。如果想要手动输入密码来继续sudo任务,可以在运行命令时加上--ask-sudo-password参数。但是考虑到自动化的目的,相信这个参数是不太常用的。
-m参数是指出了使用的ansible模块。ansible模块这东西有的说说,这类先不细讲。目前用过的模块有ping, command, shell等。
-a参数就是argument,指出某个模块要求的参数,通常-a后参数的值有一定格式要求。
需要注意的是,命令行执行命令适合于一些简单的批量管理任务,面对更加复杂的配置,安装等任务应该使用ansible-playbook,两者之间的关系就像是linux命令行和shell脚本。至于playbook详细后面说。
■ 关于配置
上面简单提到过了/etc/ansible下的ansible.cfg配置文件是用来配置ansible主控端的一些参数,而/etc/ansible/hosts则是用来配置一些被控端主机信息的。下面详细来看下这些配置文件。
首先是ansible.cfg,这是一个INI格式,#开头行注释的配置文件。在目前的ansible中,运行ansible时会依次加载 环境变量ANSIBLE_CONFIG,当前目录的ansible.cfg,~/.ansible.cfg,/etc/ansible/ansible.cfg,针对同一个配置项以最先加载到的为准。
这些配置文件中,大多数配置都集中在名为defaults的section中,其中可以使用的option有
action_plugins action代码被执行时运行的一些插件(ansible支持开发者自己写插件使用,非常灵活),类似的还有callback_plugins,connection_plugins,filter_plugins,lookup_plugins,vars_plugins
ansible_managed
ask_pass 默认是False,当设置为True时,ansible执行会要求输入远端的密码,即使配置了免密登录。所以一般维持False
forks 进程数,默认为5
gathering 用来指出是否收集远程主机的facts(一些被控端的变量),默认的值是implicit,每次都会收集,explicit表示不收集,smart表示扫描主机,对已经收集过的不收集
host_key_checking 之前说过了,是否检验被控端主机的公钥,默认是True
inventory 被控端配置文件(它的官方名称是inventory),默认是/etc/ansible/hosts
log_path 日志文件,默认/var/log/ansible.log
module_name 在不指出-m的参数时默认使用的模块,默认值是command,建议可以改成shell
nocolor 默认为0,设置为1时ansible不会为不同状态(成功or失败or警告)的结果染不同颜色
nocow 运行playbook的时候默认输出会有一头字符画的牛,设置为1可以关掉牛的显示(哈哈哈哈哈哈哈)
pattern 当没有给出pattern时的默认pattern,默认值是*即所有主机
poll_interval ansible中有异步任务,这个配置设置一个秒数,当执行开始后每隔这么多秒查询一次任务状态
remote_tmp 一些ansible任务涉及到文件的传输,而传输的第一目的地就是这个配置项
remote_user 远端用什么用户执行任务,默认是和主控端当前用户名称一致的用户
timeout SSH连接超时时间
除了defaults这个section之外,还有一些section可以配置比如Paramiko Specific Settings,OpenSSH Specific Settings等等。由于这些都是比较高端的玩法,就不多介绍了。
【Ansible-playbook】
playbook的基本语法是YAML格式的。这个格式长成这样:
--- - hosts: local
name: this is a test for playbook remote_user: root tasks: - name: test to ping ping:
-------------------运行后返回是-------------------
PLAY [this is a test for playbook] ************************************************************************************************************************
TASK [Gathering Facts] **************************************************************************************************************
ok: [testhost2]
ok: [testhost1]
ok: [testhost3]
TASK [test to ping] *****************************************************************************************************************
ok: [testhost3]
ok: [testhost2]
ok: [testhost1]
PLAY RECAP **************************************************************************************************************************
testhost1 : ok=2 changed=0 unreachable=0 failed=0
testhost2 : ok=2 changed=0 unreachable=0 failed=0
testhost3 : ok=2 changed=0 unreachable=0 failed=0
解释一下,playbook有一个根节点,下面的第一级子节点被称为一个个play。这里只有一个play。此play名为this is a test for playbook,其含义就是对主机组local,以root的身份进行名为test to ping的任务,具体内容是利用ping模块,参数为空进行操作。返回内容中可以看到有gathering facts板块,这个参看前面配置文件中说到的gathering项。关于facts的具体内容相信后面也会再讲。另外需要注意的一点就是返回的内容并不是在各个远端执行的stdout,而是一个状态码。比如我把模块换成了shell: echo hello,返回内容不是hello而也是ok。所以在使用command或者shell模块的时候通常会采用 xxxx || /bin/true的方式。
运行方式是ansible-playbook test.yaml,ansible-playbook这个命令也可以加很多和ansible一样的参数,比如-f 10就是开10条进程来进行操作。上面说通过ansible获取到的返回信息是有限的,如果想要获取到更多的信息,可以加上参数--verbose。这样返回的信息中就会包含一些其他的比如stdout,stderr等输出的信息了。如果在正式运行playbook之前想查看本次playbook会对哪些主机进行操作的话可以加上参数--list-hosts来提前检查一下。
其中比较中心的是tasks这个列表,tasks中包含了很多task。这些task会针对hosts字段定义的主机组中相应主机,从上到下依次进行task操作。每个task的本质是执行一个模块(module),除了少数如ping一样的模块是不用参数,大多数模块需要提供参数。参数中可以使用在配置文件、命令行参数等多个地方定义的变量。在playbook中调用变量的格式采用Jinja2的语法,比如:
---
- hosts: local
tasks:
- name: make dir {{ name }}
command: mkdir {{ name }}
name变量可以定义是组变量,也可以是主机变量。可以察觉到当其是主机变量且各个主机配的name值不同的时候,返回内容会返回什么这个问题。经过实验,返回的是第一个主机的变量值。
利用playbook执行模块只做必要的改动,如果ansible检测到模块动作的目的在执行前就已经达到,那么就会放弃本次操作。可以说即使重复执行playbook也是安全的。而像对于shell,command这样的命令执行模块而言是个例外,重复执行playbook等于重复执行命令。为了避免这样的情况发生,可以为参数中添加一个flag=creates来保证不重复操作。
这种特性用术语来说就是每一个task都具有“幂等性”。
■ 一个task的其他参数
上面的例子中说到了一个task中最主要的两个字段,name(指出task名)以及<模块名>(指出task的具体操作)。除了这两个之外,task还可以写一些其他的字段参数。
比如notify,notify下面跟着的每一条记录被称为handler。前面说过ansible在执行模块动作时会检测动作的目的是否已经达到,如果达到那么可以在task结束的时候做一些钩子操作。设置这个钩子操作的就是handlers了。需要注意的是,一个handler本身也是一个task,只不过它通过notify的形式在主task中被调用。由于handler本身就是task,所以说handler本身也具有幂等性,即不论主task通过notify调用了多少次同一个handler,在所有task结束之后这个handler都只被执行最多一次。handler的常用场景是在配置等变更后通过handler来重启服务等。下面是一个带有handler的task的例子:
tasks:
- name: change configuration
template: template/nginx.tpl.conf /etc/nginx/nginx.conf
notify:
- restart nginx
handlers:
- name: change configuration
shell: /usr/sbin/nginx -s reload || /bin/true
上面的例子中task中有个template字段参数,template字段有点像saltstack里面的file.manage模块中的template字段,其将指定的一个本地的模板文件中的变量具体化,然后将其传送到目标主机上的指定位置。变量可以来自于之前所说的多种多样的变量定义手段。
■ include(import)和roles
include(在较新的版本中已经提示include关键字不再鼓励使用,应该使用更加确切的import_tasks和import_playbook)可以在一个playbook中引用进一些其他yaml文件的信息。这种引用可以在多个层面进行,比如在play这一层面进行引用那就是将其他文件中定义的play一并加入到当前文件中来执行。
如果引用是发生在task层面,那么就是在一个play中的tasks下面声明引用,相对应的,被引用文件内容也是一个tasks集合。
此外引用还可以插入到handlers中去,但是由于handler就是一个task,考虑这一点的话其实handlers中进行include的本质和在tasks下面进行是类似的。下面给出例子
---
- name: this is a test for playbook
hosts: local
tasks:
- name: test connection
ping:
- import_tasks: mytask.yml
- import_playbook: playbook/myplaybook.yml
在tasks中引入了mytask.yml文件中定义的task,在整个playbook中引入了myplaybook.yml中定义的那些play。
另外还需要指出,当在task层面进行引入的时候,除了引入一个具体的yml文件,还可以引入一个带有模板变量的文件,并且可以在引入之后定义变量的具体值(当然用其他手段定义的变量也都可以使用)。此时关键字不能写import_tasks而应该写include_tasks。这种引入模板的操作只有在task层面才能进行。
在了解了playbook的引入机制之后,接下来的重点就是要说明一下roles这个ansible里面的重要概念了。一个role把一部分的task,handler等ansible要素逻辑上抽象成一个集合,我们可以基于这个集合进行ansible操作。而在playbook中,我们只要指出哪些机子是什么role(role和主机间多对多关系),那个角色该执行的所有操作都会被执行上去。
那么如何定义一个role? 首先是在ansible.cfg中有一个配置项roles_path,这是一个用冒号隔开的多个路径。每个路径都被认为是roles路径。若这些路径下有名为testrole的目录,则表示有名为testrole的一个role。假设我们在某一个roles目录下的testrole目录结构如下:
testrole ├── defaults ├── files ├── handlers ├── meta ├── tasks ├── templates └── vars
在playbook中指定role的方式如下:
---
- hosts: local
roles:
- testrole
指定之后,此play还可以补充一些其他内容,并且针对local这个主机组认可了以下行为:
若testrole/tasks/main.yml存在,则其中定义的tasks将被添加到play中执行
(main.yml中应该直接从task开始写,连tasks都是不用写的,也就是说类似- name:xxx shell: xxx。下面也都是类似,直接从被引用那个层级开始写)
若testrole/handlers/main.yml存在,则其中定义的handlers将被添加到play中(被添加到的意思是在这个play的context中可以直接写其name来使用,下同)
若testrole/vars/main.yml存在,则其中定义的变量将被添加到play中
若testrole/meta/main.yml存在,则其中定义的角色依赖将被添加到roles列表中
若testrole/files存在,其中的文件和脚本可以分别被指定模块为copy和script类的task直接引用而不用加上路径
若testrole/templates存在,其中的模板文件可以被template类task直接引用而不用加上路径
若testrole/tasks存在,其中的文件可以被直接import_tasks等类型task直接引入,而不用加上路径
执行roles相关操作的优先级是高于一般定义的tasks的,也就是说tasks会在roles全部完成之后再被执行。关于给roles具体化一些变量,以及role之间的依赖等内容先不说了。
■ 关于变量
ansible的变量使用jinja2的语法制成,支持了{{ var }}之类的变量语法以及变量相关的一些过滤器方法,同时也支持{% if %}{% for %}等jinja2语法规定的逻辑结构,一般而言这些逻辑结构更多的用在template模块的模板中,而不是playbook本身中,playbook本身更多的是用了简单的变量形式。小提醒一下,若变量在一个值的开头,要用引号引起,要不然解析yaml的时候会以为我们在试图声明一个字典。
上面所说的所有变量,几乎都是我们自定义的变量。其实ansible为我们准备了很多内置的变量,一部分跟主机相关的被称为facts。
facts的值根据主机不同而不同,ansible会为我们自动收集这些数据。一台主机具体有哪些facts并且值是多少可以ansible <host> -m setup来查看。数据量挺大的需要注意。可以注意到,在默认配置gathering为implicit的时候是不收集facts的,所以就无法将facts的变量名应用在ansible中。如果设置成了其他两个,那么在ansible执行之前一定会去gather一下facts。有时确认不需要用到facts,还想要加快运行速度的时候可以在相关play中加上gather_facts: no作为参数。
facts是一个JSON结构的数据,其根节点的KEY名是ansible_facts,实际使用时不用写出这个根节点。比如{"ansible_facts": {"ansible_all_ipv4_addresses": ["xxx","yyy"]}}这个不完全的facts结构,如果在模板中想要获取yyy的值,那么可以直接{{ ansible_all_ipv4_addresses[1] }}即可。
另一部分则是和ansible系统本身相关的变量,这些变量通常是一些预设的变量名比如groups, hostvars, group_names。这些变量名我们不能覆盖,具体哪些内容可以试验一下看看。只需要记得,这些变量都是和ansible本身相关,不随某一次playbook的运行而变化。
除了在playbook运行之前定义变量,tasks被执行前gather一下facts之外,在tasks运行过程中也可以使用变量。这种操作被称为注册变量。注册变量是指将某一个task的返回结果保存下来,并且供给给后续其他task使用。一般而言,这种机制常和条件判断一起使用。
脱离开playbook本身,从ansible的命令行来看(不论是ansible还是ansible-playbook),都可以在后面加上参数--extra-vars来指定额外的变量。后面跟的值的格式可以是--extra-vars "var1=value1 var2=value2"或者JSON格式的 --extra-vars {"var1":"value1", "var2": "value2"}
现在来总结下可以定义变量的地方:
首先在inventory(也就是默认的/etc/ansible/hosts文件)中,可以定义变量,可以给单个主机定义(直接跟在一个主机行后面),也可以给一整个组定义(开一个新的section)
其次,在/etc/ansible/group_vars和/etc/ansible/host_vars下也可以定义变量。方法是创建和组/主机同名的文件,文件格式是yaml,里面定义变量。
再次,roles的vars目录下的main.yml中也可以定义变量。
此外,ansible有内置的变量,分成facts(内置主机变量,随着主机变化而变化)和其他一些和ansible相关,诸如groups,group_names的变量。
在playbook的运行过程中,还可以把某一个task的返回作为变量的值保存下来。
命令行加上--extra-vars也可以指定额外变量
当这些地方声明的变量之间命名冲突了怎么办,优先级是这样的,命令行的--extra-vars最为优先,然后是inventory文件中定义的变量(包括/etc/ansible/host|group_vars),然后是play中定义的,roles中定义的变量等,然后是facts等系统内置变量。
■ 条件判断和When语句
通过when语句进行条件判断,并结合注册变量,可以在play的执行过程中加入逻辑顺序。比如下面这段:
tasks:
- name: first step
command: /bin/false
register: result
ignore_errors: True
- name: do when failed
command: /bin/dosomething
when: result|failed
- name: do when success
command: /bin/dosomethingelse
when: result|success
- name: do when skipped
command: /bin/other_something
when: result|skipped
注意到,when语句的值中可以使用jinja2过滤器,将变量做一些处理后返回一个布尔值的判断结果给when语句。当符合when语句规定的条件时,自然when语句所在的task就会被执行了。
ignore_errors参数指出,如果当前task失败了是否忽略错误继续往下执行其他task。
更加灵活的when语句的使用方法还有诸如在其他地方定义一个变量然后给when用。比如定义了var: True的话,在when: var的时候就可以执行task,还有when: var is not defined这种用法来判断一个变量是否被定义。简单的判断相等,不等,大于小于也可以用when: xxx == "yyy",when: var|int <= 10之类的,就不再一一列举了。
import的时候以及play在关联role的时候,均可以使用when条件语句来进行逻辑判断后再执行操作。
● 关于注册变量
之前简单提到了下注册变量的内容,注册变量实质是将某一个task的返回的对象(完整对象可以通过--verbose参数来查看,是一个JSON格式的东西)保存下来。所以有时候如果想要获取到返回结果输出到stdout的值,可以result.stdout来调用。下面就是一个分析stdout输出的例子:
- name: test
shell: cat /tmp/testfile
register: result
- name: test2
shell: echo "find word hello in testfile"
when: result.stdout.find('hello') != -1 # find方法是来源于python的,python中对字符串的处理方法这里基本都可以用上
其他诸如stderr,stdout_lines都可以调用,详细可以用上--verbose看返回的结果到底是怎样一个JSON。
■ 循环结构
这里要说的循环不是基于JINJA2模板语法的循环,而是本身ansible提供的对于playbook逻辑的循环。试想这样一些场景,比如你要在新服务器上一次性新增多个用户,或者要通过yum一次性安装好多包。当然你可以把每一个用户/每一个包写成一个task,但这样会很麻烦。通过循环结构,只要控制每次的用户名/包名不同,其他操作都是相同的,就可以更加轻松方便了:
- name: add many users
user: name={{item.name}} state=present groups={{item.group}}
with_items:
- {"name": "Frank","group": "FrankG"}
- {"name": "Takanashi", "group": "TakanashiG"}
with_items,其中item是前面循环每个单元的代号,是固定的,事实上下面所有循环的方法的循环体内单元的代号都是item。像这个例子给出的是对一个字典的列表的循环,而一般情况下也可以单纯的对一个列表循环。
如果指出是with_nested,那么在下面可以指出多个列表,进行笛卡尔积式的作业。比如:
- name: test
shell: echo "{{item[0]}}: {{item[1]}}"
with_nested:
- ['a','b']
- ['1','2','3']
这个task最终的输出是在每台机子上分别都输出了a:1,a:2,a:3,b:1,b:2,b:3。(实验了下,with_nested出来的result不是一个和其他简单输出一样的带有stdout什么的结构,而是有一个字段名为results的列表)
除了with_items和with_nestsed,ansible中还有许多这种内置定义了的循环关键字:
with_fileglob 以非遍历的方式循环一个指定目录下的文件名,通常可以和template,copy等模块相结合
with_subelements 对于一些层级比较复杂的数据结构来说,可以直接循环遍历其指定名字的一个子字段
with_sequence 类似于range函数,可以指定start,end,stride,format等,通过它来生成一个有数字规律的字符串列表供playbook使用如with_sequences: start=0 end=10 stride=2 format=var%d
with_random_choice 下可跟若干个字符串,随机选中一个
■ 其他一些playbook的特性
● 加速模式
对于较老版本的ansible用户,以及还在使用比较老的系统版本主机的用户,ansible提供了所谓的加速模式可以在操作上加快很多。使用方法就是在play中指出accelerate: true。
● 异步和轮询
在默认情况下,ansible会在操作过程中一直保持SSH连接,当操作任务耗时较长,并且操作主机较多时维护这样的连接显然有些成本过高。所以ansible也提供了异步的模式。在异步模式下,操作请求发出之后每隔一个轮询时间去查询一次,当查询到操作结果则返回,并且设置有一个超时时间。
使用方法是在task中指出ansyc: nn,nn是超时时间的指定。同时也可通过poll: n来指出轮询间隔时间。若不设置轮询时间默认是10秒。
● 检查
对于某个playbook会影响哪些主机,之前说过只要加上--list-hosts参数即可。
那么对于其到底做哪些变化,可以用--check参数来检查。同时还可以加上--diff参数,这样还可以看到本次playbook对目标主机上的文本会做出什么变化。在--check模式下的所有变更都不是真实的变更,而只是做一个预览,比较方便。
● 错误处理
前面说过了,当设置一个task的ignore_error为true或者yes的时候,这个task即使出错也会跳过它继续执行下面的几个task。与之相对的,也可以手动抛出错误。方法如下:
fail: msg="the task is failed"
failed_when: "'ERROR' in res.stderr" 这个是有条件的发起失败。当然,也可以通过fail+when两个子句来实现。
更多的一些关于模块的内容我打算另开一篇写写