Why Ansible
Ansible是一个轻量级的IT自动化工具,和Fabric类似,实现了批量系统配置、程序部署、运行命令等功能。
目前我们开发环境大部分自动化脚本都是用Fabric实现的,因此在学习使用Ansible之前,我们肯定要了解下使用Ansible替换Fabric的收益和成本。
首先两者都是通过SSH来完成大部分工作的,因此不需要安装Agent,也没有Server的概念,其中Fabric直接通过SSH运行命令,Ansible先将Module推送到目标服务器,再远程执行。
两者最大的区别在于抽象层次的不同,Fabric是所见即所得的实现方式,抽象比较少,基本上所有的内容都在一个文件中,容易理解,上手简单,并且得益于Python的强大,可以灵活实现各种功能。但这种扁平的管理方式也有着显著的缺点,随着主机数量,主机间差异,脚本功能不断增加时,整套系统会越来越难以维护。
有句古话说计算机科学领域的任何问题都可以通过增加一个间接的中间层来解决,Ansible就使用这种方式,设计了较厚的抽象层次,显著的降低了使用者需要面对的复杂度。通过Module来封装功能,Task调用Module实现需求,用Role来组织可重用的Task,用Inventory来管理主机,用Playbook将Role和Inventory编排在一起,形成最终需要执行的操作。这里需要强调一点,Playbook的作用不是让主机拥有Role,而是用Role来decorate目标主机。
相对于Fabric使用Python作为载体,Ansible则是使用YAML创建了一套DSL,并内建了大量Module,因此有一定的学习成本。下面通过一个简单任务:在目标系统中安装Apache,来直观了解下Fabric和Ansible的使用差异。
- 使用Fabric
|
|
|
|
- 使用Ansible
|
|
|
|
|
|
|
|
|
|
看起来Ansible似乎更繁琐,完成一个简单任务需要更多的代码量,但在实际使用时,我们关心的并不是执行的细节,而是需要达成的目标,site.yml
明确的描述了这个目标,相对于Fabric,需要阅读的代码量其实更少了。
Step by Step
首先花三分钟学习下YAML,Ansible中的一切都是用YAML来组织的。YAML是专门为可读性设计的配置语言,基本上就是一个用换行分隔属性,用缩进代表嵌套的JSON。接下来我们来学习Ansible的一些基本概念。
Inventory
用于配置由Ansible管理的主机,支持分组及分组嵌套。这里也可以直接配置主机和分组对应的变量,但还是推荐使用前面演示的目录结构来管理变量。Ansible默认从/etc/ansible/hosts
文件读取配置,可以在ansible.cfg
中修改默认配置,或运行时使用-i <path>
设置。
一个典型的Inventory文件如下:
|
|
How to run
有了Inventory以后,我们就可以运行第一条Ansible命令了。
|
|
以这种方式运行的命令被Ansible称为ad-hoc命令,适合进行一些简单的一次性操作,基本语法如下:
|
|
但如果要执行一些复杂任务,例如应用部署,ad-hoc命令就不合适了,那我们接着来介绍playbook
Playbook
官网有首好诗,很好的解释了playbook中的一些概念,引用过来大家感受下…
Playbooks contain plays
Plays contain tasks
Tasks call modulesTasks run sequentially
Handlers are triggered by tasks,
and are run once, at the end of plays
下面通过一个简单的例子来具体看下上述几个概念。
|
|
deploy_tomcat.yml
这个文件就是一个playbook
,包含了deploy tomcat
这个play
play
指定了目标主机all
,设置了变量vars
,并且包含了一系列task
task
是顺序执行的,但可以指定执行条件,例如copy and unpack tomcat
这个task
只有当tomcat_home
目录不存在时才会执行
这里要提到Ansible的一个设计理念
If it ain’t broke, don’t fix it
写自动化脚本的目的是让目标主机达到所需的状态,而不仅仅是机械的执行一连串命令,Ansible就是以这样的理念来设计的,大部分module
都会由当前状态来判断是否需要执行,因此module
的执行是幂等的,此外每一个task
都有一个changed
状态,来表示这次运行是否对目标主机产生了改变,没有改变就不要去fix,像handler
只会在task
的changed == true
时才会被执行。这也是为什么我们写task
时应该尽量使用相应的module
,而少用run commands
例如shell
的原因,因为Ansible无法判断shell
运行内容,因此changed
永远为true
,此外大部分的shell
命令都不是幂等的,重复执行结果无法预期。
PS: 这里为了展示playbook的功能,因此没有按最佳实践来操作,这里的tasks显然属于一个role,这些变量直接定义在playbook中也并不合适。
Role
Role只是一个抽象概念,从实现角度来看role就是一种特殊形式的playbook。引入role这个概念主要是为了将实现细节从playbook抽象出来,一方面方便复用,另一方面增加了role这层抽象之后,playbook就不再需要关心实现细节了,需要关心的只有目标主机和目标状态,这样playbook的可读性也大大提高了。同时role通过使用约定的目录结构来存储playbook中的各个元素,更有利于我们管理。
- Role的目录结构
|
|
- 使用role之后的playbook
|
|
变量
- 变量名:字母,数字及下划线,必须字母开头
变量使用
变量可以使用在playbook及template文件中,基本引用语法如下:123{{ var }}# PS: 由于YAML会将{}解释为map,因此当变量位于value行首时,整个value需要加上双引号"{{ var }} start a value"Ansible是基于Jinja2来提供变量访问功能的,因此有大量的表达式可以用来对变量进行动态处理
特殊的变量: Facts
既然Ansible是基于状态运行的,那目标主机状态的采集自然也是必不可少的。运行playbook时,Ansible默认会先运行一个setup
的task,采集大量目标主机的信息,包括操作系统版本,IP地址,磁盘空间,内存使用,当前登录用户信息等等,供我们在playbook中使用。具体采集的内容可以用如下方式查看:1ansible hostname -m setup变量优先级
由于变量可以来自各个地方,优先级是个坑,因此我们首先要做的是避免在多个地方设置同一个变量!
另外一个简单的规律是:运行值覆盖配置值,配置值中child覆盖parent
Advanced playbook capability
// TODO
最佳实践
原则
- Complexity kills productivity
- Optimize your Ansible content for readability
- Think declaratively - Ansible is a desired state engine by design, do not “write code”
合理的命名Plays和Tasks
1234567891011- hosts: webname: installs and starts apachetasks:- name: install apache packagesyum:name: httpdstate: latest# output# PLAY [install and starts apache]# TASK [install apache packages]# ok: [web1]使用前缀和有助理解的词命名变量,并保持命名的一致性
123apache_max_keepalive: 25apache_port: 80tomcat_port: 8080使用YAML语法,少用KV对,增加可读性(感觉适当使用KV对可读性还是有帮助的)
1234567- name: configure telegraftemplate: src=telegraf.conf.j2 dest=/etc/telegraf/telegraf.conf- name: configure telegraftemplate:src: telegraf.conf.j2dest: /etc/telegraf/telegraf.conf尽量使用Modules替代Run Commands
包括
command
,shell
,raw
,script
,这类命令没有状态的概念,也不保证幂等性,在ad-hoc命令中使用没有问题,但是在playbook中,无法预期的返回结果以及各种可能出现的异常会使脚本的健壮性大大降低。以删除文件为例,rm foo
当foo不存在时会报错,因此我们还需要额外判断文件是否存在1if [ -f foo ];then rm foo;fi这类异常事先很容易忽略,处理起来的代码也不好看,如果用file module来处理就简洁多了
123- file:path: foostate: absent
设置debug日志级别
123456- debug:msg: "This always displays"- debug:msg: "This only displays with ansible-playbook -vv+"verbosity: 2
参考
ansible基础教程
DevOps Technologies: Fabric or Ansible
Ansible Documentation
Ansible Best Practices: The Essentials