Ansible安装及初始化-从零到无

--时间：2019年1月12日

--作者：飞翔的小胖猪

前言

说明

文档指导读者在Redhat系列操作系统上安装Ansible软件及初始化配置，包括服务端及被控端的配置文件设置。

以下所有操作都在Ansible服务器端操作，客户端不做任何配置。

环境

操作系统：CentOS Linux release 7.6.1810 (Core)   最小安装

数据库：mariadb-5.5.56-2.el7.x86_64

编程软件：Python 3.6.4

软件来源

安装ansible需要手动去互联网中下载和自己操作系统版本对应的ansible版本。

centos7相关地址： https://mirrors.aliyun.com/epel/7/x86_64/Packages/a/

centos8相关地址：https://mirrors.aliyun.com/epel/8/Everything/x86_64/Packages/a/

例：https://mirrors.aliyun.com/epel/7/x86_64/Packages/a/ansible-2.9.16-1.el7.noarch.rpm

配置

思路步骤

文档撰写流程及思路如下。

    1.安装ansible+python+mariadb软件
    2.配置ansible服务端，取消ssh登录敲yes等参数
    3.生成root的公私钥对。
    4.下发私钥至客户端服务器。
    5.编辑配置ansible主机清单文件。
    6.测试配置是否成功

1.安装软件

安装ansible、python、mysql软件。
[root@ansible-el7 ~]# yum install mariadb* -y
[root@ansible-el7 ~]# mysql_secure_installation
[root@ansible-el7 ~]# mysql -uroot -pyinwan
[root@ansible-el7 ~]# tar -zxvf  Python-3.6.4.tgz
[root@ansible-el7 ~]# cd Python-3.6.4/
[root@ansible-el7 ~]# ./configure  --prefix=/opt/python3
[root@ansible-el7 ~]# mkdir /opt/python3
[root@ansible-el7 ~]# /opt/python3/bin/pip3 install --no-index --find-link /myfile/lvan/soft -r /myfile/lvan/soft/filename.txt
[root@ansible-el7 ~]# yum install MySQL-python -y
[root@ansible-el7 ~]# yum localinstall ./ansible-2.4.2.0-2.el7.noarch.rpm  -y

2.配置ansble服务端

配置首次通过ssh协议登录被控主机时不用敲yes。ssh在登录服务器时会提示敲一个yes。
[root@ansible-el7 ~]# vim /etc/ansible/ansible.cfg
host_key_checking = False

配置ansible服务器在连接客户端时指定密钥对及一些基本配置。
[root@ansible-el7 ~]# vim /etc/ssh/ssh_config
IdentityFile ~/.ssh/id_rsa
StrictHostKeyChecking no

配置ansible服务器sshd服务端配置。
[root@ansible-el7 ~]# vim /etc/ssh/sshd_config
GSSAPIAuthentication no
UseDNS no

重启sshd服务
[root@ansible-el7 ~]# systemctl restart sshd

3.生成密钥对

[root@ansible-el7 ~]# ssh-keygen  -t rsa

[root@ansible-el7 ~]# ll /root/.ssh/

4.下发公钥至客户端

如果ansible主机清单使用明文密码则不用执行该步骤，直接跳至第5步。

下发公钥文档提供了两种方式，任选其一即可，一般情况下10台及以下的主机推荐使用单主机模式下发，在大规模的环境下使用脚本方式下发。
*---------------------------------------------------------------------------------*
单主机下发：
只需要通过命令下发公钥到指定主机中，首次需要手动输入远程主机对应用户密码。然后测试下是否能够在公钥传输后不用密码登录远端主机。
使用单条命令下发rsa文件到指定主机中

[root@ansible-el7 ~]# ssh-copy-id -i /root/.ssh/id_rsa root@192.168.111.30

把指定的/root/.ssh/id_rsa.rsa文件复制到192.168.111.30的/root/.ssh/authorized_key文件中

测试直接使用密钥对登录客户端系统。
[root@ansible-el7 ~]# ssh -i /root/.ssh/id_rsa root@192.168.111.30

指定使用/root/.ssh/id_rsa.rsa公钥文件连接远程主机192.168.111.30

*---------------------------------------------------------------------------------*

*—————————————————————————————*

批量下发：
在批量主机下发时，需要准备一个写有需要控制的主机的ip地址和用户名及密码的文件，每个列数据间用“空格隔开”，然后编写一个脚本一行一行读取文件中的数据，进行文件下发操作。
使用主机表+shell脚本的方式下发rsa（仅限linux）

[root@ansible-el7 ~]#cat hostname_auto_ssh.txt
192.168.111.30 root yinwan
192.168.111.31 root yinwan
192.168.111.33 root yinwan
192.168.111.63 root yinwan

[root@ansible-el7 ~]#vim auto_ssh.sh
#!/bin/bash
cat hostname_auto_ssh.txt | while read ipaddr root passwd
do
#执行把rsa文件拷贝到指定主机中
jieguo=`sshpass -p $passwd /usr/bin/ssh-copy-id -i /root/.ssh/id_rsa.rsa $root@$ipaddr`
if [  $? -eq 0  ];then
    #判断如果命令成功则把ip信息传入到成功日志中
    echo "$ipaddr succeed" >> succeed_copy.log
else
    #判断如果命令失败则把ip信息传入到失败日志中
    echo "$ipaddr failed copying" >> failed_copy.log
fi
done

[root@ansible-el7 ~]#./auto_ssh.sh

如果有台被管节点重新安装系统并且在known_hosts中有了与之前不同的密钥信息，就会提示一个密钥信息不匹配的错误信息，直到被纠正为止。在使用Ansible时，如果有台被管节点没有在known_hosts中被初始化，将会在使用Ansible或定时执行Ansible时提示对key信息的确认。
如果不想出现这种情况，并且明白禁用此项行为的含义，只需要修改home目录下
~/.ansible.cfg 或 /etc/ansible/ansible.cfg 的配置选项。

[root@ansible-el7 ~]# vim /etc/ansible/ansible.cfg
[defaults]
host_key_checking = False

或者直接在控制主机的操作系统中设置环境变量，如下所示：

[root@ansible-el7 ~]#export ANSIBLE_HOST_KEY_CHECKING=False

*—————————————————————————————*

5.编辑主机清单

文档提供两种方式设置主机清单，推荐使用密钥对的方式添加主机清单，采用明文密码的时候不用执行第4步操作。

*---------------------------------------------------------------------------------*
使用名文密码案例：
使用明文密码填写到ansible文件密码对任何人都可见，中存在较大的风险。

[root@ansible-el7 ~]#vim /etc/ansbile/hosts
[rhel]
rhel7_5 ansible_ssh_host=192.168.111.33 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_pass='yinwan'
rhel6_5 ansible_ssh_host=192.168.111.63 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_pass='yinwan'
[suse]
Suse11_Sp3 ansible_ssh_host=192.168.111.31 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_pass='yinwan'
[ubuntu]
Ubuntu16_4 ansible_ssh_host=192.168.111.30 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_pass='yinwan'

*---------------------------------------------------------------------------------*

*—————————————————————————————*
使用公钥案例：
使用公钥填写到ansible文件中，可以减少主机密码外泄的风险。

优点：防止密码泄露，客户端修改密码后不会影响访问。

缺点：风险很大，ansible服务端一旦成为肉鸡会影响所有被控客户端。

[root@ansible-el7 ~]#vim /etc/ansbile/hosts
[rhel]
rhel7_5 ansible_ssh_host=192.168.111.33 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_private_key_file=/root/.ssh/id_rsa.rsa
rhel6_5 ansible_ssh_host=192.168.111.63 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_private_key_file=/root/.ssh/id_rsa.rsa
[suse]
Suse11_Sp3 ansible_ssh_host=192.168.111.31 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_private_key_file=/root/.ssh/id_rsa.rsa
[ubuntu]
Ubuntu16_4 ansible_ssh_host=192.168.111.30 ansible_ssh_user='root' ansible_ssh_port=22 ansible_ssh_private_key_file=/root/.ssh/id_rsa.rsa

*—————————————————————————————*

6.测试

测试ansible配置是否正常。

在hosts配置文件中未设置rsa时，客户主机已经传过rsa文件的情况下可以使用。
[root@ansible-el7 ~]#ansible all --private-key=/root/.ssh/id_rsa.rsa -f 10 -t /ansible/ansible_log -m ping

指定rsa文件在/root/.ssh/id_rsa.rsa位置，线程为10，保存的日志文件在/ansible/ansible_log,使用ping模块。

当在/etc/ssh/ssh_config中指定了rsa文件路径过后使用，则不需要指定--private-key=参数。

[root@ansible-el7 ~]#ansible all -f 20 -t /ansible/ansible_log -m ping