如何构建您的清单
Ansible 使用一个称为清单的列表或列表组自动执行已管理节点或“主机”上的任务。您可以在命令行传递主机名,但大多数 Ansible 用户创建清单文件。您的清单定义了您自动化的已管理节点,以及组,以便您可以在多个主机上同时运行自动化任务。定义清单后,您可以使用模式来选择您希望 Ansible 运行的组或主机。
最简单的清单是一个包含主机和组列表的单个文件。此文件的默认位置是 /etc/ansible/hosts。您可以在命令行使用 -i <path> 选项或在配置中使用 inventory 指定不同的清单文件。
Ansible 的 清单插件 支持各种格式和来源,使您的清单灵活且可定制。随着清单的扩展,您可能需要多个文件而不是单个文件来组织主机和组。以下列出了三个除 /etc/ansible/hosts 文件以外的选择
您可以创建包含多个清单文件的目录。请参见在目录中组织清单。这些文件可以使用不同的格式(YAML、ini 等)。
您可以动态地提取清单。例如,您可以使用动态清单插件来列出在一个或多个云提供商中的资源。请参见使用动态清单。
您可以使用多个来源作为清单,包括动态清单和静态文件。请参见传递多个清单源。
注意
以下 YAML 片段包含省略号以指示它们是较大 YAML 文件的一部分。您可以在YAML 基础知识中找到有关 YAML 语法的更多信息。
清单基础知识:格式、主机和组
您可以根据拥有的清单插件以多种格式创建清单文件。最常见的格式是 INI 和 YAML。一个基本的 INI /etc/ansible/hosts 可能如下所示
mail.example.com
[webservers]
foo.example.com
bar.example.com
[dbservers]
one.example.com
two.example.com
three.example.com
方括号中的标题是组名,用于对主机进行分类,并决定何时以及为何控制哪些主机。组名应遵循与创建有效的变量名相同的准则。
以下是相同的清单文件,以 YAML 格式表示
ungrouped:
hosts:
mail.example.com:
webservers:
hosts:
foo.example.com:
bar.example.com:
dbservers:
hosts:
one.example.com:
two.example.com:
three.example.com:
默认组
即使您未在清单文件中定义任何组,Ansible 也会创建两个默认组:all 和 ungrouped。all 组包含所有主机。ungrouped 组包含除 all 以外没有其他组的所有主机。每个主机都始终至少属于 2 个组(all 和 ungrouped 或 all 和其他某个组)。例如,在上面的基本清单中,主机 mail.example.com 属于 all 组和 ungrouped 组;主机 two.example.com 属于 all 组和 dbservers 组。虽然 all 和 ungrouped 始终存在,但它们可以是隐式的,不会出现在诸如 group_names 之类的组列表中。
主机在多个组中
您可以将每个主机放入多个组。例如,亚特兰大数据中心中的生产 Web 服务器可能包含在名为 [prod] 和 [atlanta] 和 [webservers] 的组中。您可以创建跟踪以下内容的组
内容 - 应用程序、堆栈或微服务(例如,数据库服务器、Web 服务器等)。
位置 - 数据中心或区域,用于与本地 DNS、存储等进行通信(例如,east、west)。
时间 - 开发阶段,以避免在生产资源上进行测试(例如,prod、test)。
将前面的 YAML 清单扩展以包含内容、时间和位置,将如下所示
ungrouped:
hosts:
mail.example.com:
webservers:
hosts:
foo.example.com:
bar.example.com:
dbservers:
hosts:
one.example.com:
two.example.com:
three.example.com:
east:
hosts:
foo.example.com:
one.example.com:
two.example.com:
west:
hosts:
bar.example.com:
three.example.com:
prod:
hosts:
foo.example.com:
one.example.com:
two.example.com:
test:
hosts:
bar.example.com:
three.example.com:
您可以看到 one.example.com 存在于 dbservers、east 和 prod 组中。
对组进行分组:父子组关系
您可以在组之间创建父子关系。父组也称为嵌套组或组的组。例如,如果所有生产主机已位于诸如 atlanta_prod 和 denver_prod 之类的组中,则可以创建一个包含这些较小组的 production 组。这种方法可以减少维护工作,因为您可以通过编辑子组来添加或删除父组中的主机。
要创建组的父子关系
在 INI 格式中,使用
:children后缀在 YAML 格式中,使用
children:条目
以下是与上面所示相同的清单,简化了 prod 和 test 组的父组。这两个清单文件将为您提供相同的结果
ungrouped:
hosts:
mail.example.com:
webservers:
hosts:
foo.example.com:
bar.example.com:
dbservers:
hosts:
one.example.com:
two.example.com:
three.example.com:
east:
hosts:
foo.example.com:
one.example.com:
two.example.com:
west:
hosts:
bar.example.com:
three.example.com:
prod:
children:
east:
test:
children:
west:
子组有一些需要注意的属性
任何属于子组的主机也会自动成为父组的成员。
组可以有多个父级和子级,但不能有循环关系。
主机也可以在多个组中,但运行时只会存在一个主机实例。Ansible 会合并来自多个组的数据。
添加主机范围
如果您有很多主机具有相似的模式,可以将它们添加为范围,而不是分别列出每个主机名
在 INI 中
[webservers]
www[01:50].example.com
在 YAML 中
# ...
webservers:
hosts:
www[01:50].example.com:
在定义数字范围的主机时,可以指定步长(序列号之间的增量)
在 INI 中
[webservers]
www[01:50:2].example.com
在 YAML 中
# ...
webservers:
hosts:
www[01:50:2].example.com:
上面的示例将使子域 www01、www03、www05、...、www49 匹配,但不会匹配 www00、www02、www50 等,因为步长(增量)每一步是 2 个单位。
对于数字模式,可以根据需要包含或删除前导零。范围是包含的。您还可以定义字母范围
[databases]
db-[a:f].example.com
传递多个清单源
您可以通过从命令行给出多个清单参数或通过配置 ANSIBLE_INVENTORY 来同时针对多个清单源(目录、动态清单脚本或清单插件支持的文件)。当您想同时针对通常独立的环境(例如,暂存和生产)执行特定操作时,这非常有用。
要从命令行针对两个清单源
ansible-playbook get_logs.yml -i staging -i production
在目录中组织清单
您可以将多个清单源整合到一个目录中。最简单的版本是包含多个文件的目录,而不是单个清单文件。当一个文件变得太长时,单个文件就难以维护。如果您有多个团队和多个自动化项目,每个团队或项目使用一个清单文件可以让每个人轻松找到与他们相关的主机和组。
您还可以将多个清单源类型组合到一个清单目录中。这对于组合静态和动态主机并将它们作为单个清单进行管理非常有用。以下清单目录组合了清单插件源、动态清单脚本以及包含静态主机的文件
inventory/
openstack.yml # configure inventory plugin to get hosts from OpenStack cloud
dynamic-inventory.py # add additional hosts with dynamic inventory script
on-prem # add static hosts and groups
parent-groups # add static hosts and groups
您可以按如下方式针对此清单目录
ansible-playbook example.yml -i inventory
您还可以在您的 ansible.cfg 文件中配置清单目录。有关更多详细信息,请参阅 配置 Ansible。
管理清单加载顺序
Ansible 根据文件名按 ASCII 顺序加载清单源。如果您在一个文件或目录中定义父组,而在其他文件或目录中定义子组,则必须首先加载定义子组的文件。如果父组首先加载,您将看到错误 Unable to parse /path/to/source_of_parent_groups as an inventory source。
例如,如果您有一个名为 groups-of-groups 的文件,该文件定义了一个名为 production 的组,其中子组定义在一个名为 on-prem 的文件中,Ansible 无法解析 production 组。为了避免这个问题,您可以通过在文件前添加前缀来控制加载顺序
inventory/
01-openstack.yml # configure inventory plugin to get hosts from OpenStack cloud
02-dynamic-inventory.py # add additional hosts with dynamic inventory script
03-on-prem # add static hosts and groups
04-groups-of-groups # add parent groups
您可以在 清单设置示例 中找到如何组织清单和分组主机的示例。
向清单添加变量
您可以在清单中存储与特定主机或组相关的变量值。首先,您可以将变量直接添加到主清单文件中的主机和组中。
为了简单起见,我们记录了在主清单文件中添加变量。但是,将变量存储在单独的主机和组变量文件中是描述系统策略更稳健的方法。在主清单文件中设置变量只是一种简写。有关将变量值存储在“host_vars”目录中的各个文件中的指南,请参阅 组织主机和组变量。有关详细信息,请参阅 组织主机和组变量。
将变量分配给一台机器:主机变量
您可以轻松地将变量分配给单个主机,然后在剧本中使用它。您可以在清单文件中直接执行此操作。
在 INI 中
[atlanta]
host1 http_port=80 maxRequestsPerChild=808
host2 http_port=303 maxRequestsPerChild=909
在 YAML 中
atlanta:
hosts:
host1:
http_port: 80
maxRequestsPerChild: 808
host2:
http_port: 303
maxRequestsPerChild: 909
诸如非标准 SSH 端口之类的唯一值非常适合用作主机变量。您可以通过在主机名后添加冒号和端口号来将它们添加到 Ansible 清单中
badwolf.example.com:5309
连接变量也适合用作主机变量
[targets]
localhost ansible_connection=local
other1.example.com ansible_connection=ssh ansible_user=myuser
other2.example.com ansible_connection=ssh ansible_user=myotheruser
注意
如果您在 SSH 配置文件中列出了非标准 SSH 端口,则 openssh 连接将找到并使用它们,但 paramiko 连接不会。
清单别名
您还可以使用主机变量在清单中定义别名
在 INI 中
jumper ansible_port=5555 ansible_host=192.0.2.50
在 YAML 中
# ...
hosts:
jumper:
ansible_port: 5555
ansible_host: 192.0.2.50
在此示例中,针对主机别名“jumper”运行 Ansible 将连接到 192.0.0.2.50 的 5555 端口。请参阅 行为清单参数 以进一步自定义与主机的连接。
以 INI 格式定义变量
使用 key=value 语法在 INI 格式中传递的值的解释方式取决于它们声明的位置
当与主机内联声明时,INI 值被解释为 Python 字面结构(字符串、数字、元组、列表、字典、布尔值、None)。主机行每行接受多个
key=value参数。因此,它们需要一种方法来表明空格是值的一部分,而不是分隔符。包含空格的值可以被引用(单引号或双引号)。有关详细信息,请参阅 Python shlex 解析规则。当在
:vars部分中声明时,INI 值被解释为字符串。例如,var=FALSE将创建一个等于“FALSE”的字符串。与主机行不同,:vars部分每行只接受一个条目,因此=之后的所有内容都必须是条目的值。
如果在 INI 清单中设置的变量值必须是特定类型(例如,字符串或布尔值),请始终在您的任务中使用过滤器指定类型。在使用变量时,不要依赖于 INI 清单中设置的类型。
考虑使用 YAML 格式的清单源来避免对变量的实际类型产生混淆。YAML 清单插件一致且正确地处理变量值。
将变量分配给多台机器:组变量
如果组中的所有主机共享一个变量值,您可以一次将该变量应用于整个组。
在 INI 中
[atlanta]
host1
host2
[atlanta:vars]
ntp_server=ntp.atlanta.example.com
proxy=proxy.atlanta.example.com
在 YAML 中
atlanta:
hosts:
host1:
host2:
vars:
ntp_server: ntp.atlanta.example.com
proxy: proxy.atlanta.example.com
组变量是在一次将变量应用于多个主机时的一种便捷方式。但是,在执行之前,Ansible 始终将变量(包括清单变量)展平到主机级别。如果主机是多个组的成员,Ansible 将从所有这些组读取变量值。如果您在不同的组中为同一个变量分配不同的值,Ansible 将根据内部 合并规则 选择使用哪个值。
继承变量值:用于组组的组变量
您可以将变量应用于父组(嵌套组或组组),以及子组。语法相同:INI 格式为 :vars,YAML 格式为 vars:
在 INI 中
[atlanta]
host1
host2
[raleigh]
host2
host3
[southeast:children]
atlanta
raleigh
[southeast:vars]
some_server=foo.southeast.example.com
halon_system_timeout=30
self_destruct_countdown=60
escape_pods=2
[usa:children]
southeast
northeast
southwest
northwest
在 YAML 中
usa:
children:
southeast:
children:
atlanta:
hosts:
host1:
host2:
raleigh:
hosts:
host2:
host3:
vars:
some_server: foo.southeast.example.com
halon_system_timeout: 30
self_destruct_countdown: 60
escape_pods: 2
northeast:
northwest:
southwest:
子组的变量将具有更高的优先级(覆盖)比父组的变量。
组织主机和组变量
虽然您可以在主清单文件中存储变量,但存储单独的主机和组变量文件可能有助于您更轻松地组织变量值。您还可以在主机和组变量文件中使用列表和散列数据,而这在主清单文件中是无法做到的。
主机和组变量文件必须使用 YAML 语法。有效的文件扩展名包括“。yml”、“。yaml”、“。json”或没有文件扩展名。如果您不熟悉 YAML,请参阅 YAML 语法。
Ansible 通过搜索相对于清单文件或剧本文件的路径来加载主机和组变量文件。如果您的清单文件在 /etc/ansible/hosts 中包含一个名为“foosball”的主机,该主机属于两个组,“raleigh”和“webservers”,那么该主机将使用 YAML 文件中位于以下位置的变量
/etc/ansible/group_vars/raleigh # can optionally end in '.yml', '.yaml', or '.json'
/etc/ansible/group_vars/webservers
/etc/ansible/host_vars/foosball
例如,如果您在清单中按数据中心分组主机,并且每个数据中心使用自己的 NTP 服务器和数据库服务器,则可以创建一个名为 /etc/ansible/group_vars/raleigh 的文件来存储 raleigh 组的变量
---
ntp_server: acme.example.org
database_server: storage.example.org
您还可以创建以您的组或主机命名的目录。Ansible 将按字典顺序读取这些目录中的所有文件。一个使用“raleigh”组的示例
/etc/ansible/group_vars/raleigh/db_settings
/etc/ansible/group_vars/raleigh/cluster_settings
“raleigh”组中的所有主机都将拥有这些文件中定义的变量可用。当单个文件变得太大,或者您想在某些组变量上使用 Ansible Vault 时,这将非常有用。
对于 ansible-playbook,您还可以将 group_vars/ 和 host_vars/ 目录添加到您的剧本目录中。其他 Ansible 命令(例如,ansible、ansible-console 等)只会在清单目录中查找 group_vars/ 和 host_vars/。如果您希望其他命令从剧本目录加载组和主机变量,您必须在命令行中提供 --playbook-dir 选项。如果您从剧本目录和清单目录加载清单文件,剧本目录中的变量将覆盖清单目录中设置的变量。
将您的清单文件和变量保存在 Git 仓库(或其他版本控制系统)中,是跟踪清单和主机变量更改的绝佳方式。
变量如何合并
默认情况下,变量在运行剧本之前会合并/扁平化为特定主机。这使 Ansible 专注于主机和任务,因此组不会在清单和主机匹配之外存在。默认情况下,Ansible 会覆盖变量,包括为组和/或主机定义的变量(请参阅 DEFAULT_HASH_BEHAVIOUR)。顺序/优先级为(从最低到最高):
所有组(因为它是的所有其他组的“父组”)
父组
子组
主机
默认情况下,Ansible 会以 ASCII 顺序合并处于相同父/子级别的组,来自最后加载的组的变量会覆盖来自先前组的变量。例如,a_group 会与 b_group 合并,b_group 中匹配的变量会覆盖 a_group 中的变量。
注意
Ansible 会合并来自不同来源的变量,并根据一组规则对某些变量优先于其他变量进行优先级排序。例如,在清单中出现位置更高的变量可以覆盖在清单中出现位置更低的变量。有关更多信息,请参阅 变量优先级:我应该将变量放在哪里?。
您可以通过设置组变量 ansible_group_priority 来更改此行为,以更改处于同一级别的组的合并顺序(在父/子顺序解析后)。数字越大,合并的越晚,优先级越高。如果未设置,此变量默认为 1。例如
a_group:
vars:
testvar: a
ansible_group_priority: 10
b_group:
vars:
testvar: b
在此示例中,如果两个组具有相同的优先级,结果通常应该是 testvar == b,但由于我们为 a_group 提供了更高的优先级,结果将是 testvar == a。
注意
ansible_group_priority 只能在清单源中设置,而不能在 group_vars/ 中设置,因为该变量用于加载 group_vars。
管理清单变量加载顺序
当使用多个清单源时,请记住,任何变量冲突都将根据 变量如何合并 和 变量优先级:我应该将变量放在哪里? 中描述的规则解决。您可以控制清单源中变量的合并顺序,以获取所需的变量值。
当您在命令行中传递多个清单源时,Ansible 会按您传递这些参数的顺序合并变量。如果 [all:vars] 在暂存清单中定义 myvar = 1,而生产清单中定义 myvar = 2,那么
传递
-i staging -i production以使用myvar = 2运行剧本。传递
-i production -i staging以使用myvar = 1运行剧本。
当您将多个清单源放在一个目录中时,Ansible 会根据文件名以 ASCII 顺序合并它们。您可以通过在文件名前添加前缀来控制加载顺序
inventory/
01-openstack.yml # configure inventory plugin to get hosts from Openstack cloud
02-dynamic-inventory.py # add additional hosts with dynamic inventory script
03-static-inventory # add static hosts
group_vars/
all.yml # assign variables to all hosts
如果 01-openstack.yml 为组 all 定义 myvar = 1,02-dynamic-inventory.py 定义 myvar = 2,而 03-static-inventory 定义 myvar = 3,剧本将使用 myvar = 3 运行。
连接到主机:行为型清单参数
如上所述,设置以下变量可以控制 Ansible 如何与远程主机交互。
主机连接
注意
Ansible 不会公开通道以允许用户与 ssh 进程之间的通信,以手动接受密码来解密使用 ssh 连接插件(默认)时的 ssh 密钥。强烈建议使用 ssh-agent。
- ansible_connection
与主机的连接类型。这可以是任何 Ansible 连接插件的名称。SSH 协议类型是
ssh或paramiko。默认值为ssh。
所有连接通用
- ansible_host
要连接到的主机的名称,如果与您希望赋予它的别名不同。如果您使用委托,切勿将其设置为依赖于
inventory_hostname。- ansible_port
连接端口号,如果与默认值不同(ssh 为 22)
- ansible_user
连接到主机时使用的用户名
- ansible_password
用于向主机进行身份验证的密码(切勿以明文形式存储此变量;始终使用保险库。请参阅 安全地保持保险库变量可见)
特定于 SSH 连接
- ansible_ssh_private_key_file
SSH 使用的私钥文件。如果您使用多个密钥且不想使用 SSH 代理,则很有用。
- ansible_ssh_common_args
此设置始终追加到 sftp、scp 和 ssh 的默认命令行中。对于特定主机(或组)配置
ProxyCommand很有用。- ansible_sftp_extra_args
此设置始终追加到默认的 sftp 命令行中。
- ansible_scp_extra_args
此设置始终追加到默认的 scp 命令行中。
- ansible_ssh_extra_args
此设置始终追加到默认的 ssh 命令行中。
- ansible_ssh_pipelining
确定是否使用 SSH 管道。这可以覆盖
ansible.cfg中的pipelining设置。- ansible_ssh_executable(在版本 2.2 中添加)
此设置会覆盖默认行为,以使用系统 ssh。这可以覆盖
ansible.cfg中ssh_connection下的ssh_executable设置。
特权升级(有关更多详细信息,请参阅 Ansible 特权升级)
- ansible_become
等效于
ansible_sudo或ansible_su,允许强制特权升级- ansible_become_method
允许设置特权升级方法
- ansible_become_user
等效于
ansible_sudo_user或ansible_su_user,允许您设置通过特权升级成为的用户- ansible_become_password
等效于
ansible_sudo_password或ansible_su_password,允许您设置特权升级密码(切勿以明文形式存储此变量;始终使用保险库。请参阅 安全地保持保险库变量可见)- ansible_become_exe
等效于
ansible_sudo_exe或ansible_su_exe,允许您设置所选升级方法的可执行文件- ansible_become_flags
等效于
ansible_sudo_flags或ansible_su_flags,允许您设置传递给所选升级方法的标志。这也可以在ansible.cfg中的privilege_escalation下的become_flags选项中全局设置。
远程主机环境参数
- ansible_shell_type
目标系统的 shell 类型。除非您已将 ansible_shell_executable 设置为非 Bourne (sh) 兼容 shell,否则您不应使用此设置。默认情况下,命令使用
sh样式语法格式化。将其设置为csh或fish将导致在目标系统上执行的命令遵循这些 shell 的语法。
- ansible_python_interpreter
目标主机的 Python 路径。这对于具有多个 Python 或不在 /usr/bin/python 位置(例如 *BSD)的系统,或 /usr/bin/python 不是 2.X 系列 Python 的系统很有用。我们不使用 /usr/bin/env 机制,因为这需要远程用户的路径设置正确,并且还假设 python 可执行文件名为 python,而可执行文件可能命名为 python2.6 之类。
- ansible_*_interpreter
适用于 ruby、perl 等任何语言,工作原理与 ansible_python_interpreter 相同。这将替换将在该主机上运行的模块的 shebang。
版本 2.1 中的新功能。
- ansible_shell_executable
这将设置 Ansible 控制节点将在目标机器上使用的 shell,覆盖
executable在ansible.cfg中的值,默认值为 /bin/sh。您只有在无法使用 /bin/sh 时才应更改此值(换句话说,如果 /bin/sh 未安装在目标机器上或无法从 sudo 运行)。
来自 Ansible-INI 主机文件的示例
some_host ansible_port=2222 ansible_user=manager
aws_host ansible_ssh_private_key_file=/home/example/.ssh/aws.pem
freebsd_host ansible_python_interpreter=/usr/local/bin/python
ruby_module_host ansible_ruby_interpreter=/usr/bin/ruby.1.9.3
非 SSH 连接类型
如上一节所述,Ansible 通过 SSH 执行剧本,但它不限于这种连接类型。使用主机特定参数 ansible_connection=<connector>,可以更改连接类型。有关可用插件和示例的完整列表,请参见 插件列表.
清单设置示例
另请参见 Ansible 设置示例,其中显示了清单、剧本和其他 Ansible 构件。
示例:每个环境一个清单
如果您需要管理多个环境,有时明智的做法是每个清单只定义单个环境的主机。这样,就很难意外更改“测试”环境中的节点状态,而您想要更新一些“暂存”服务器。
对于上面提到的示例,您可以有一个 inventory_test 文件
[dbservers]
db01.test.example.com
db02.test.example.com
[appservers]
app01.test.example.com
app02.test.example.com
app03.test.example.com
该文件仅包含属于“测试”环境的主机。在另一个名为 inventory_staging 的文件中定义“暂存”机器
[dbservers]
db01.staging.example.com
db02.staging.example.com
[appservers]
app01.staging.example.com
app02.staging.example.com
app03.staging.example.com
要将名为 site.yml 的剧本应用于测试环境中的所有应用服务器,请使用以下命令
ansible-playbook -i inventory_test -l appservers site.yml
示例:按功能分组
在上一节中,您已经看到了使用组来集群具有相同功能的主机的示例。这允许您,例如,在剧本或角色中定义仅影响数据库服务器的防火墙规则
- hosts: dbservers
tasks:
- name: Allow access from 10.0.0.1
ansible.builtin.iptables:
chain: INPUT
jump: ACCEPT
source: 10.0.0.1
示例:按位置分组
其他任务可能侧重于某个主机的位置。假设 db01.test.example.com 和 app01.test.example.com 位于 DC1,而 db02.test.example.com 位于 DC2
[dc1]
db01.test.example.com
app01.test.example.com
[dc2]
db02.test.example.com
在实践中,您甚至可能最终混合所有这些设置,因为您可能需要在某一天更新特定数据中心中的所有节点,而在另一天更新所有应用服务器,无论它们位于何处。