自動化された運用・保守Ansible ---役割（ロール）詳細、役割のhttpdサービスの役割の設定、使用のシステム変数の事実、バッチユーザー（暗号化、復号化）を作成し、一括設定/ etc / hostsファイル

A、Ansible役割-roles

役割（役割）は、階層構造化組織の脚本のために導入されたバージョンansible 1.2の新機能です。すべてのタスク、トリガー、変数をansible-脚本、及びその文書に書かれている前に、内容があまりにも長い間、及び検査に助長されていません。そして、役割の導入後、我々は、タスク、トリガなど、特定のディレクトリに書き込まmain.ymlので、より多くの構造化、チェックして簡単に置くことができます。

1.1役割のディレクトリ構造

• デフォルト：このディレクトリは、現在のロールにデフォルトの変数を設定するために使用main.ymlファイルを、含まれている必要があります。
• ファイル：スクリプトまたはモジュールによって呼び出されたファイルコピーモジュールを格納するために使用されます。あなたは、ファイルへのパスを指定する必要はありません。
• ハンドラは：このディレクトリには、この役割トリガ条件を実行するアクションを定義するmain.ymlファイルを含める必要があります。
• メタ：このディレクトリには、この役割とその依存関係の特別な設定を定義するmain.ymlファイルを含める必要があります。
• タスク：このディレクトリには、この役割のためのタスクリストを定義し、main.ymlファイルが含まれている必要があり、この文書では使用することができ、このディレクトリにある他のタスクのファイルが含まれています。
• テンプレート：店舗jinjia2テンプレート、テンプレートモジュールに使用され、自動的にこのディレクトリにjinjia2テンプレートファイルを検索します。あなたは、ファイルへのパスを指定する必要はありません。
• VARSは：このディレクトリには、この役割で使用される変数を定義するmain.ymlファイルを含める必要があります。

ロールを作成する方法2.1

1、ansible-銀河のコマンドラインツール

• 役割を作成します。 ansible-銀河のinitアパッチ

• ：あなたは、現在の役割一覧表示できansible-ギャラクシーリスト

二、役割のhttpdサービスの役割の設定

1は、通常のユーザーDevOpsチームのホームディレクトリのパス定義されたロールの下ansible.cfg書き込みファイルを保存/ホーム/ DevOpsチーム/ ansible /ロールとして定義されています。

[defaults]
inventory = ./hosts
roles_path =./roles  

[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

2、Apacheを作成します。ansible-銀河のinitアパッチ

3、main.ymlファイルのタスクのタスクを編集します：vimのタスク/ main.yml

4. トリガーの編集はmain.ymlファイルを処理します。vimのハンドラ/ main.yml

図5は、apacheのテンプレートテンプレートディレクトリにテンプレートファイルをコピーし、編集変数が追加します

[devops@server1 apache]$ sudo /etc/httpd/conf/httpd.conf templates/
[devops@server1 apache]$ cd templates/
[devops@server1 templates]$ ls
httpd.conf
[devops@server1 templates]$ mv httpd.conf httpd.conf.j2

6、変数の定義は、エディタのvim VARS / main.yml

• ansible_hostnameはシステム変数です。
  

7、ファイルディレクトリに、編集デフォルトでは、ページを公開します。

[devops@server1 apache]$ cd  files
[devops@server1 apache]$ vim index.html
www.ranran.com

8、新しいapache.ymlファイル

[devops@server1 ansible]$ vim /home/devops/ansible/apache.yml
---
 - hosts: web
   roles:
     - apache

図9は、実行します。ansible・プレイブックのapache.yml

テスト：

9、/home/devops/ansible/apache.ymlファイル内の変数を再定義しますHTTP_PORT：8080

この時点で、ansible-脚本apache.yml再び実行します

まだ80個のポートを訪問し、テストを発見。

• これは、変数の優先順位です。

ansible变量优先级（由高到低）

    ansible-playbook命令中的变量，ansible-playbook -e var=value
    task变量
    block变量
    role中定义的变量和include变量
    set_fact
    registered变量
    vars_files
    var_prompt
    play变量
    host facts
    playbook中设置的host_vars
    playbook中设置的group_vars
    inventory中设置的host_vars
    inventory中设置的group_vars
    inventory变量
    role中defaults/main.yml中定义的变量

去掉写在vars变量目录里的http_port:80，此时apache.yml文件中的变量http_port:8080再次运行就会生效

我们也可以这样编写yaml文件：/home/devops/ansible/apache.yml

• when:只在匹配条件的主机上执行，不匹配的跳过（skipped）
  
  
  

三、Ansible系统变量Facts

ansible中有个特殊的变量，这些变量不是开发者定义的，而是ansible根据目的主机环境信息自动收集的，称之为fact变量。 fact变量很实用，和「when」语句配合使用会让你的代码更加健壮。

• 在执行playbook时，『Gathering Facts 』这一步就是ansible在收集目的主机的facts信息。
• 如果我们定义的playbook中并没有使用到fact变量，那么我们可以选择将其关闭，只需添加「gather_facts: false」即可。

3.1 如何查看系统变量Facts

ansible db -m  setup | grep ipv4  ##过滤出你所需要的变量
ansible db -m  setup | less       ##可在预编译器中查看

3.2 系统变量Facts的使用

1、我们先来写一个包含许多变量的模版info.j2,目的熟悉如何提取变量

主机名：   {{  ansible_facts['hostname'] }}
主机ip：   {{  ansible_facts['default_ipv4']['address'] }}
主机网关：  {{  ansible_facts['default_ipv4']['gateway'] }}
主机DNS：  {{  ansible_facts['dns']['nameservers'][-1] }}
系统内核：  {{  ansible_facts['kernel'] }}
系统版本：  {{  ansible_facts['distribution_file_variety'] }}-{{ ansible_facts['distribution_version'] }}

2、编写一个yml文件，看看提取的变量是否正确 ：vim info.yml

---
- hosts: all
  tasks:
    - name: create /tmp/info
      template:
        src: info.j2
        dest: /tmp/info

3、运行：ansible-playbook info.yml

[root@server2 ~]#  cat /tmp/info
主机名：	server2	
主机ip：	172.25.7.2
主机网关：	172.25.7.250
主机DNS：	114.114.114.114
系统内核：	3.10.0-862.el7.x86_64
系统版本：	RedHat-7.5

[root@server3 ~]# cat /tmp/info
主机名：	server3	
主机ip：	172.25.7.3
主机网关：	172.25.7.250
主机DNS：	114.114.114.114
系统内核：	3.10.0-862.el7.x86_64
系统版本：	RedHat-7.5

四、 批量创建用户（加密、解密）

1、编写yml文件：

2、运行：ansible-playbook users.yml
3、我们可以以此用户连接到本主机：

[root@server1 ~]# ssh user1@172.25.7.1
The authenticity of host '172.25.7.1 (172.25.7.1)' can't be established.
ECDSA key fingerprint is SHA256:5tuDuxoObxbkDCmCJw8bKf4V6ioYDUl7J8I4X3lysKA.
ECDSA key fingerprint is MD5:79:f2:fa:f6:19:27:55:ca:65:74:5b:31:5d:08:fa:b9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.25.7.1' (ECDSA) to the list of known hosts.
user1@172.25.7.1's password: 
[user1@server1 ~]$

但是此时创建的用户都是相同密码westos，不太安全。我们可以利用字典，一个用户一个密码。

密码以明文的形式存在，也是不安全的。我们可以将用户列表和yaml文件分离开，然后利用ansible自带的加密对userlist进行加密

分离开的用户列表：vim userlist.yml

ansible・ボールトの暗号化userlist.yml：ユーザーのリストを暗号化するには、見て、見て猫を使用して、この時間は、数字の束であります

• ansible-ボールト解読userlist.yml：復号化ユーザーリストへ

ansible-ボルトビューのuserlist.yml：暗号化されたビューへのユーザーのリストの後

[devops@server1 ansible]$ ansible-vault view userlist.yml
Vault password: 
---
userlist:
  - user: user1
    passwd: ranran 
  - user: ranran
    passwd: cc 
  - user: qiuiqiu
    passwd: baobao

== ansible・ボールト編集userlist.yml：もちろん、我々はまた、編集、ファイルを暗号化することができ

、我々はパラメータの後に追加するには、暗号化されたYAMLファイルを実行する場合：-ask-ボールトパス

ansible-脚本users.yml --ask-ボールトパス

V.の一括設定/ etc / hostsファイル

あなたのテンプレートを書く：VIM etc.j2

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
172.25.254.2    foundation2.ilt.example.com

{% for host in group['zabbix'] %}
{{ hostvars[host]['ansible_facts']['eth0']['ipv4']['address'] }}  {{  hostvars[host]['ansible_facts']['hostname'] }}
{% endfor %}

etc.ymlファイルを書き、あなたが実行することができます