目标状态配置

什么是目标状态配置?

目标状态配置(DSC)是 PowerShell 中内置的一个工具,可用于通过代码定义 Windows 主机设置。DSC 的总体目标与 Ansible 相同,只是执行方式不同。从 Ansible 2.4 开始,添加了 win_dsc 模块,可用于在与 Windows 主机交互时利用现有的 DSC 资源。

有关 DSC 的更多详细信息,请参阅 DSC 概述

主机要求

要使用 win_dsc 模块,Windows 主机必须安装了 PowerShell v5.0 或更高版本。所有受支持的主机都可以升级到 PowerShell v5。

满足 PowerShell 要求后,使用 DSC 就如同使用 win_dsc 模块创建任务一样简单。

为什么要使用 DSC?

DSC 和 Ansible 模块具有共同的目标,即定义和确保资源的状态。因此,可以使用 DSC 的 File 资源 和 Ansible 的 win_file 来实现相同的结果。选择使用哪一个取决于具体场景。

在以下情况下,建议使用 Ansible 模块而非 DSC 资源:

  • 主机不支持 PowerShell v5.0,或者无法轻松升级

  • DSC 资源未提供 Ansible 模块中存在的特性。例如,win_regedit 可以管理 REG_NONE 属性类型,而 DSC 的 Registry 资源则无法管理

  • DSC 资源对检查模式的支持有限,而某些 Ansible 模块具有更好的检查功能

  • DSC 资源不支持差异模式,而某些 Ansible 模块则支持

  • 自定义资源需要在主机上事先执行其他安装步骤才能运行,而 Ansible 模块内置于 Ansible 中

  • DSC 资源存在错误,而 Ansible 模块则可以正常工作

在以下情况下,建议使用 DSC 资源而非 Ansible 模块:

  • Ansible 模块不支持 DSC 资源中存在的特性

  • 没有可用的 Ansible 模块

  • 现有的 Ansible 模块存在错误

最终,使用 DSC 还是 Ansible 模块并不重要;重要的是任务能够正确执行,并且 playbook 仍然易于阅读。如果您对 DSC 比 Ansible 更熟悉,并且 DSC 可以完成工作,那么只需为该任务使用 DSC 即可。

如何使用 DSC?

win_dsc 模块接受自由格式的选项,以便根据其管理的资源进行更改。内置资源列表可以在 resources 中找到。

Registry 资源为例,这是 Microsoft 文档中记录的 DSC 定义:

Registry [string] #ResourceName
{
    Key = [string]
    ValueName = [string]
    [ Ensure = [string] { Enable | Disable }  ]
    [ Force =  [bool]   ]
    [ Hex = [bool] ]
    [ DependsOn = [string[]] ]
    [ ValueData = [string[]] ]
    [ ValueType = [string] { Binary | Dword | ExpandString | MultiString | Qword | String }  ]
}

在定义任务时,必须将 resource_name 设置为正在使用的 DSC 资源,在本例中,resource_name 应设置为 Registrymodule_version 可以指代安装的 DSC 资源的特定版本;如果留空,则默认为最新版本。其他选项是用于定义资源的参数,例如 KeyValueName。虽然任务中的选项不区分大小写,但建议保持大小写不变,因为这使得区分 DSC 资源选项和 Ansible 的 win_dsc 选项变得更容易。

以下是上述 DSC Registry 资源的 Ansible 任务版本:

- name: Use win_dsc module with the Registry DSC resource
  win_dsc:
    resource_name: Registry
    Ensure: Present
    Key: HKEY_LOCAL_MACHINE\SOFTWARE\ExampleKey
    ValueName: TestValue
    ValueData: TestData

从 Ansible 2.8 开始,win_dsc 模块会自动使用 DSC 定义验证来自 Ansible 的输入选项。这意味着如果选项名称不正确、未设置必填选项或值不是有效选择,Ansible 将失败。当使用 3 或更高详细程度级别(-vvv)运行 Ansible 时,返回值将包含基于指定的 resource_name 的可能的调用选项。以下是如何为上述 Registry 任务输出调用的示例:

changed: [2016] => {
    "changed": true,
    "invocation": {
        "module_args": {
            "DependsOn": null,
            "Ensure": "Present",
            "Force": null,
            "Hex": null,
            "Key": "HKEY_LOCAL_MACHINE\\SOFTWARE\\ExampleKey",
            "PsDscRunAsCredential_password": null,
            "PsDscRunAsCredential_username": null,
            "ValueData": [
                "TestData"
            ],
            "ValueName": "TestValue",
            "ValueType": null,
            "module_version": "latest",
            "resource_name": "Registry"
        }
    },
    "module_version": "1.1",
    "reboot_required": false,
    "verbose_set": [
        "Perform operation 'Invoke CimMethod' with following parameters, ''methodName' = ResourceSet,'className' = MSFT_DSCLocalConfigurationManager,'namespaceName' = root/Microsoft/Windows/DesiredStateConfiguration'.",
        "An LCM method call arrived from computer SERVER2016 with user sid S-1-5-21-3088887838-4058132883-1884671576-1105.",
        "[SERVER2016]: LCM:  [ Start  Set      ]  [[Registry]DirectResourceAccess]",
        "[SERVER2016]:                            [[Registry]DirectResourceAccess] (SET) Create registry key 'HKLM:\\SOFTWARE\\ExampleKey'",
        "[SERVER2016]:                            [[Registry]DirectResourceAccess] (SET) Set registry key value 'HKLM:\\SOFTWARE\\ExampleKey\\TestValue' to 'TestData' of type 'String'",
        "[SERVER2016]: LCM:  [ End    Set      ]  [[Registry]DirectResourceAccess]  in 0.1930 seconds.",
        "[SERVER2016]: LCM:  [ End    Set      ]    in  0.2720 seconds.",
        "Operation 'Invoke CimMethod' complete.",
        "Time taken for configuration job to complete is 0.402 seconds"
    ],
    "verbose_test": [
        "Perform operation 'Invoke CimMethod' with following parameters, ''methodName' = ResourceTest,'className' = MSFT_DSCLocalConfigurationManager,'namespaceName' = root/Microsoft/Windows/DesiredStateConfiguration'.",
        "An LCM method call arrived from computer SERVER2016 with user sid S-1-5-21-3088887838-4058132883-1884671576-1105.",
        "[SERVER2016]: LCM:  [ Start  Test     ]  [[Registry]DirectResourceAccess]",
        "[SERVER2016]:                            [[Registry]DirectResourceAccess] Registry key 'HKLM:\\SOFTWARE\\ExampleKey' does not exist",
        "[SERVER2016]: LCM:  [ End    Test     ]  [[Registry]DirectResourceAccess] False in 0.2510 seconds.",
        "[SERVER2016]: LCM:  [ End    Set      ]    in  0.3310 seconds.",
        "Operation 'Invoke CimMethod' complete.",
        "Time taken for configuration job to complete is 0.475 seconds"
    ]
}

invocation.module_args 键显示了实际设置的值以及未设置的其他可能值。不幸的是,这不会显示 DSC 属性的默认值,只会显示从 Ansible 任务中设置的值。出于安全原因,任何 *_password 选项都将在输出中被屏蔽;如果还有其他敏感模块选项,请在任务上设置 no_log: True 以停止记录所有任务输出。

属性类型

每个 DSC 资源属性都与其关联的类型。Ansible 将尝试在执行期间将定义的选项转换为正确的类型。对于 [string][bool] 等简单类型,这是一个简单的操作,但 [PSCredential] 或数组(如 [string[]])等复杂类型则需要遵循某些规则。

PSCredential

[PSCredential] 对象用于以安全的方式存储凭据,但 Ansible 无法通过 JSON 对其进行序列化。要设置 DSC PSCredential 属性,该参数的定义应包含两个以 _username_password 为后缀的条目,分别用于用户名和密码。例如:

PsDscRunAsCredential_username: '{{ ansible_user }}'
PsDscRunAsCredential_password: '{{ ansible_password }}'

SourceCredential_username: AdminUser
SourceCredential_password: PasswordForAdminUser

注意

在 Ansible 2.8 之前的版本中,应在 Ansible 中的任务定义中设置 no_log: true,以确保使用的任何凭据都不会存储在任何日志文件或控制台输出中。

在 DSC 资源 MOF 定义中,使用 EmbeddedInstance("MSFT_Credential") 定义了 [PSCredential]

CimInstance 类型

DSC 使用 [CimInstance] 对象来存储基于该资源定义的自定义类的字典对象。在 YAML 中定义一个接收 [CimInstance] 的值与在 YAML 中定义一个字典相同。例如,在 Ansible 中定义 [CimInstance]

# [CimInstance]AuthenticationInfo == MSFT_xWebAuthenticationInformation
AuthenticationInfo:
  Anonymous: false
  Basic: true
  Digest: false
  Windows: true

在上面的示例中,CIM 实例是类 MSFT_xWebAuthenticationInformation 的表示形式。此类接受四个布尔变量:AnonymousBasicDigestWindows。在 [CimInstance] 中使用的键取决于它所表示的类。请通读资源文档以确定可以使用哪些键以及每个键值的类型。类定义通常位于 <resource name>.schema.mof 中。

哈希表类型

[HashTable] 对象也是一个字典,但没有一组严格的可以/需要定义的键。与 [CimInstance] 类似,在 YAML 中将其定义为普通字典值。在 DSC 资源 MOF 定义中,使用 EmbeddedInstance("MSFT_KeyValuePair") 定义了 [HashTable]

数组

简单的类型数组,例如 [string[]][UInt32[]],被定义为列表或逗号分隔的字符串,然后将其转换为其类型。建议使用列表,因为在传递给 DSC 引擎之前,win_dsc 模块不会手动解析这些值。例如,在 Ansible 中定义简单类型数组

# [string[]]
ValueData: entry1, entry2, entry3
ValueData:
- entry1
- entry2
- entry3

# [UInt32[]]
ReturnCode: 0,3010
ReturnCode:
- 0
- 3010

复杂类型数组,例如 [CimInstance[]](字典数组),可以像此示例一样定义

# [CimInstance[]]BindingInfo == MSFT_xWebBindingInformation
BindingInfo:
- Protocol: https
  Port: 443
  CertificateStoreName: My
  CertificateThumbprint: C676A89018C4D5902353545343634F35E6B3A659
  HostName: DSCTest
  IPAddress: '*'
  SSLFlags: 1
- Protocol: http
  Port: 80
  IPAddress: '*'

上面的示例是一个包含两个类 MSFT_xWebBindingInformation 值的数组。在定义 [CimInstance[]] 时,请务必阅读资源文档以了解在定义中使用哪些键。

日期时间

[DateTime] 对象是一个 DateTime 字符串,表示 ISO 8601 日期时间格式的日期和时间。为了确保字符串正确序列化到 Windows 主机,[DateTime] 字段的值应在 YAML 中用引号括起来。以下是在 Ansible 中定义 [DateTime] 值的示例

# As UTC-0 (No timezone)
DateTime: '2019-02-22T13:57:31.2311892+00:00'

# As UTC+4
DateTime: '2019-02-22T17:57:31.2311892+04:00'

# As UTC-4
DateTime: '2019-02-22T09:57:31.2311892-04:00'

以上所有值都等于 2019 年 2 月 22 日下午 1:57 分 31 秒 2311892 毫秒的 UTC 日期时间。

以其他用户身份运行

默认情况下,DSC 以 SYSTEM 帐户而不是 Ansible 用于运行模块的帐户运行每个资源。这意味着基于用户配置文件动态加载的资源(例如 HKEY_CURRENT_USER 注册表项)将在 SYSTEM 配置文件下加载。参数 PsDscRunAsCredential 是可以为每个 DSC 资源设置的参数,它强制 DSC 引擎以不同的帐户运行。由于 PsDscRunAsCredential 的类型为 PSCredential,因此它使用 _username_password 后缀定义。

以注册表资源类型为例,以下是定义任务以访问 Ansible 用户的 HKEY_CURRENT_USER 项的方法

- name: Use win_dsc with PsDscRunAsCredential to run as a different user
  win_dsc:
    resource_name: Registry
    Ensure: Present
    Key: HKEY_CURRENT_USER\ExampleKey
    ValueName: TestValue
    ValueData: TestData
    PsDscRunAsCredential_username: '{{ ansible_user }}'
    PsDscRunAsCredential_password: '{{ ansible_password }}'
  no_log: true

自定义 DSC 资源

DSC 资源不仅限于 Microsoft 的内置选项。可以安装自定义模块来管理通常不可用的其他资源。

查找自定义 DSC 资源

您可以使用 PSGallery 查找自定义资源,以及有关如何在 Windows 主机上安装它们的文档。

Find-DscResource cmdlet 也可以用于查找自定义资源。例如

# Find all DSC resources in the configured repositories
Find-DscResource

# Find all DSC resources that relate to SQL
Find-DscResource -ModuleName "*sql*"

注意

由 Microsoft 开发的以 x 开头的 DSC 资源表示该资源为实验性资源,不提供支持。

安装自定义资源

有三种方法可以在主机上安装 DSC 资源

  • 使用 Install-Module cmdlet 手动安装

  • 使用 win_psmodule Ansible 模块

  • 手动保存模块并将其复制到另一台主机

以下是使用 win_psmodule 安装 xWebAdministration 资源的示例

- name: Install xWebAdministration DSC resource
  win_psmodule:
    name: xWebAdministration
    state: present

安装后,win_dsc 模块将能够通过使用 resource_name 选项引用资源来使用该资源。

上述前两种方法仅在主机可以访问互联网时有效。当主机无法访问互联网时,必须首先在另一台可以访问互联网的主机上使用上述方法安装该模块,然后将其复制过去。要将模块保存到本地文件路径,可以运行以下 PowerShell cmdlet

Save-Module -Name xWebAdministration -Path C:\temp

这将在 C:\temp 中创建一个名为 xWebAdministration 的文件夹,该文件夹可以复制到任何主机。为了让 PowerShell 看到此脱机资源,必须将其复制到 PSModulePath 环境变量中设置的目录中。在大多数情况下,路径 C:\Program Files\WindowsPowerShell\Module 通过此变量设置,但可以使用 win_path 模块添加不同的路径。

示例

解压缩 zip 文件

- name: Extract a zip file
  win_dsc:
    resource_name: Archive
    Destination: C:\temp\output
    Path: C:\temp\zip.zip
    Ensure: Present

创建目录

- name: Create file with some text
  win_dsc:
    resource_name: File
    DestinationPath: C:\temp\file
    Contents: |
        Hello
        World
    Ensure: Present
    Type: File

- name: Create directory that is hidden is set with the System attribute
  win_dsc:
    resource_name: File
    DestinationPath: C:\temp\hidden-directory
    Attributes: Hidden,System
    Ensure: Present
    Type: Directory

与 Azure 交互

- name: Install xAzure DSC resources
  win_psmodule:
    name: xAzure
    state: present

- name: Create virtual machine in Azure
  win_dsc:
    resource_name: xAzureVM
    ImageName: a699494373c04fc0bc8f2bb1389d6106__Windows-Server-2012-R2-201409.01-en.us-127GB.vhd
    Name: DSCHOST01
    ServiceName: ServiceName
    StorageAccountName: StorageAccountName
    InstanceSize: Medium
    Windows: true
    Ensure: Present
    Credential_username: '{{ ansible_user }}'
    Credential_password: '{{ ansible_password }}'

设置 IIS 网站

- name: Install xWebAdministration module
  win_psmodule:
    name: xWebAdministration
    state: present

- name: Install IIS features that are required
  win_dsc:
    resource_name: WindowsFeature
    Name: '{{ item }}'
    Ensure: Present
  loop:
  - Web-Server
  - Web-Asp-Net45

- name: Setup web content
  win_dsc:
    resource_name: File
    DestinationPath: C:\inetpub\IISSite\index.html
    Type: File
    Contents: |
      <html>
      <head><title>IIS Site</title></head>
      <body>This is the body</body>
      </html>
    Ensure: present

- name: Create new website
  win_dsc:
    resource_name: xWebsite
    Name: NewIISSite
    State: Started
    PhysicalPath: C:\inetpub\IISSite\index.html
    BindingInfo:
    - Protocol: https
      Port: 8443
      CertificateStoreName: My
      CertificateThumbprint: C676A89018C4D5902353545343634F35E6B3A659
      HostName: DSCTest
      IPAddress: '*'
      SSLFlags: 1
    - Protocol: http
      Port: 8080
      IPAddress: '*'
    AuthenticationInfo:
      Anonymous: false
      Basic: true
      Digest: false
      Windows: true

另请参阅

Ansible playbook

playbook 简介

Ansible 提示和技巧

playbook 的技巧和窍门

Windows 模块列表

Windows 特定模块列表,全部使用 PowerShell 实现

沟通

有问题?需要帮助?想分享你的想法?请访问 Ansible 沟通指南