Ansible: Unterschied zwischen den Versionen

Aus CodicaTipps
Zur Navigation springen Zur Suche springen
Zeile 9: Zeile 9:
  
 
* Installation eines Minimalsystems
 
* Installation eines Minimalsystems
* Einrichten eines Benutzers speziell für ansible (optional)
+
* Einrichten eines Benutzers speziell für Ansible (Beispiel, das bereits Ansible nutzt, siehe unten)
 
* Installation der Pakete  
 
* Installation der Pakete  
 
** openssh-server
 
** openssh-server
Zeile 30: Zeile 30:
 
         vars:
 
         vars:
 
           ansible_python_interpreter: /usr/bin/python3
 
           ansible_python_interpreter: /usr/bin/python3
 +
 +
==== Einrichten eines Ansible-Benutzers ====
 +
 +
Das folgende Skript <code>setupAnsible.yaml</code> geht davon aus, dass auf dem Zielrechner ein frisches [[Ubuntu]] 18.04 installiert ist, auf das man sich mit [[SSH]] als normaler Nutzer einwählen kann. Dieser Nutzer ist auch in der sudo-Gruppe und kann mittels Eingabe eines sudo-Passworts root-Rechte bekommen.
 +
 +
<pre>
 +
# Call this file with
 +
#    ansible-playbook -l YOURRECHNER -K -v setupAnsible.yaml
 +
 +
- hosts:
 +
    - all
 +
   
 +
  tasks:
 +
    - name: create group ansible
 +
      become: true
 +
      group:
 +
        name: ansible
 +
        gid: 425
 +
       
 +
    - name: create user ansible
 +
      become: true
 +
      user:
 +
        name: ansible
 +
        group: ansible
 +
        uid: 425
 +
        password: "$6$rXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXh."
 +
          # encrypted password created with
 +
          #    mkpasswd --method=sha-512
 +
          # You can make it really complicated, since you do not need it again.
 +
        state: present
 +
       
 +
    - name: add user ansible to sudoers with no passwd
 +
      become: true
 +
      copy:
 +
        src: etc/sudoers.d/ansible
 +
        dest: /etc/sudoers.d/ansible
 +
        mode: "0440"
 +
        validate: "visudo -cf %s"
 +
   
 +
    - name: set my authorized key for user ansible
 +
      become: true
 +
      authorized_key:
 +
        key:  "{{ lookup('file', lookup('env','HOME') + '/.ssh/id_rsa.pub') }}"
 +
        user:  ansible
 +
        state: present
 +
</pre>       
 +
   
 +
Nach Ausführung dieses Playbooks mittels
 +
 +
wird der Nutzer <code>ansible</code> in die <code>inventory.yaml</code> als Standard-Ansible-Nutzer eingetragen:
 +
  all:
 +
    hosts:
 +
      blacky:
 +
        ansible_host: blacky.fritz.box 
 +
        '''ansible_ssh_user: ansible'''
  
 
=== Vorbereitung des Kontrollrechners  ===
 
=== Vorbereitung des Kontrollrechners  ===

Version vom 3. Oktober 2019, 08:40 Uhr

Ansible ist ein so genanntes Orchestrierungswerkzeug, mit dem man Computer automatisch konfigurieren kann. Dazu verwendet Ansible so genannte Playbooks.



Vorbereitung

Vorbereitung des Zielrechners

  • Installation eines Minimalsystems
  • Einrichten eines Benutzers speziell für Ansible (Beispiel, das bereits Ansible nutzt, siehe unten)
  • Installation der Pakete
    • openssh-server
    • sudo
      • Der ansible-Benutzer das passwortlose Ausführen erlauben (siehe Sudo)
    • python3
      • Verlinke python3: sudo ln -s /usr/bin/python3 /usr/bin/python oder
      • Deklarieren der entsprechenden Variable für die Rechnergruppe. Beispiel einer inventory.yaml:
 all:
   hosts:
     blacky:
       ansible_host: blacky.fritz.box    
   children:
     home:
       hosts:
         blacky:
     python3: # All hosts that only have python3
       hosts:
         blacky:
       vars:
         ansible_python_interpreter: /usr/bin/python3

Einrichten eines Ansible-Benutzers

Das folgende Skript setupAnsible.yaml geht davon aus, dass auf dem Zielrechner ein frisches Ubuntu 18.04 installiert ist, auf das man sich mit SSH als normaler Nutzer einwählen kann. Dieser Nutzer ist auch in der sudo-Gruppe und kann mittels Eingabe eines sudo-Passworts root-Rechte bekommen.

# Call this file with 
#     ansible-playbook -l YOURRECHNER -K -v setupAnsible.yaml

- hosts:
    - all 
    
  tasks:
    - name: create group ansible
      become: true
      group:
        name: ansible
        gid: 425
        
    - name: create user ansible
      become: true
      user:
        name: ansible
        group: ansible
        uid: 425
        password: "$6$rXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXh." 
          # encrypted password created with
          #    mkpasswd --method=sha-512
          # You can make it really complicated, since you do not need it again.
        state: present
        
    - name: add user ansible to sudoers with no passwd
      become: true
      copy:
        src: etc/sudoers.d/ansible
        dest: /etc/sudoers.d/ansible
        mode: "0440"
        validate: "visudo -cf %s"
     
    - name: set my authorized key for user ansible
      become: true
      authorized_key: 
         key:  "{{ lookup('file', lookup('env','HOME') + '/.ssh/id_rsa.pub') }}"
         user:  ansible
         state: present

Nach Ausführung dieses Playbooks mittels

wird der Nutzer ansible in die inventory.yaml als Standard-Ansible-Nutzer eingetragen:

 all:
   hosts:
     blacky:
       ansible_host: blacky.fritz.box   
       ansible_ssh_user: ansible

Vorbereitung des Kontrollrechners

 sudo aptitude install ansible

Nutzen von Ansible

Konfiguration

Die Konfiguration kann durch verschiedene Dateien erfolgen, z.B.:

  • ansible.cfg
  • ~/.ansible.cfg

Der Inhalt einer ansible.cfg könnte z.B. lauten:

 [defaults]
 inventory=inventory.yaml

Inventory

Die Inventory-Datei wird in YAML geschrieben, z.B.:

 all:
   hosts:
     blacky:
       ansible_host: blacky.fritz.box
       ansible_user: ansible

In YAML werden die Zeilen mit Leerzeichen, nicht mit Tabs eingerückt.

Siehe

Einfache Kommandos

Ping-Test

 ansible all -m ping

Ausführen eines Shell-Kommandos

Mit Ansible lässt sich auch jedes beliebige Shell-Kommando ausführen:

 ansible zielrechner  -m command -a "whoami"

Will man das Kommando als root ausführen, setzt man --become hinzu:

 ansible pia2016 --become -m command -a "whoami"

Playbooks

Mit Playbooks kann man automatisieren, welcher Rechner welchen Zustand erreichen soll.

Dazu nutzt man Tasks in Form von Modulaufrufen (deklarative Ansible-Form von Befehlen), Rechnergruppen und Rollen.

Package-Updates

Folgender Auszug aus den Tasks eines Playbooks sollte das Paket-Updaten auf einem Debian- oder Ubuntu-System ermöglichen:

 - name: update and upgrade apt packages
   become: true
   apt:  
     name: "*"
     state: latest
     install_recommends: false
     update_cache: true

Weiterführendes

Siehe