如何编写清晰的Ansible剧本(复杂剧本如何构建)
生活随笔
收集整理的這篇文章主要介紹了
如何编写清晰的Ansible剧本(复杂剧本如何构建)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
寫在前面
- 嗯,學習Ansible高級特性,整理這部分筆記
- 博文內容涉及
- 復雜Ansible劇本的編寫規范
- 一個具體的編寫Demo
- 食用方式:
- 理論有些枯燥,不感興趣小伙伴可以直接跳過去看Demo
- 需要有ansible基礎,了解ansible角色的使用
傍晚時分,你坐在屋檐下,看著天慢慢地黑下去,心里寂寞而凄涼,感到自己的生命被剝奪了。當時我是個年輕人,但我害怕這樣生活下去,衰老下去。在我看來,這是比死亡更可怕的事。--------王小波
如何編寫清晰的Ansible腳本
對于運維小伙伴來講,Ansible并不陌生,配置簡單,上手容易,只要掌握幾個基本的模塊就可以解決好多運維中重復的事,但是對于處理更為高級的功能和更大、更復雜的項目時,管理和維護Ansible Playbook或高效使用將變得更加困難。
下面的的playbook是一個k8s安裝環境初始化的劇本,其實現方式簡單,是在k8s集群中所有節點都需要做的一些處理,實現如下功能
- 配置firewall,selinux,配置hosts
- 關閉swap
- 配置yum源
- 安裝docker-ce,導入缺少的鏡像,配置docker加速
- 安裝k8s相關包:kubelet、kubeadm、kubectl
- 啟動kubelet服務
如果搭建的集群節點很多,那么使用ansible要方便很多,但是上面的劇本沒有使用角色,所有的操作都耦合在一起,所以看起來不是特別清晰,可讀性差,而且一些可變的變量也沒有抽離出來。復用性差,也沒有考慮失敗回滾的問題,大部分的操作是通過shell模塊來完成的,尤其是對一些文件的操作,shell模塊不滿足冪等性。
高效的使用Ansible不僅僅在于功能或工具的使用,對于實踐方法和項目組織更重要,對于劇本的編寫規范,有以下三點:
- 保持簡單
- 井然有序
- 經常測試
保持簡單
Ansible 的一大優勢是簡潔性。使用playbook保持簡單,我們就能更加輕松地使用、修改和理解它們。
保持 Playbook 的可讀性
- 確保playbook有恰當注釋且易于閱讀。合理地使用垂直空白和注釋。
- 始終為play和任務提供有意義的名稱,明確play或任務的用途。
- 對于劇本編寫文件格式,YAML 它非常適合表述?系列的字典和數組。
- 對于難以在Ansible Playbook 中表述?些復雜的控制結構或條件,可以通過模板和Jinja2過濾器巧妙地處理變量中的數據。
- 使用原生 YAML 語法,而不是“折疊”的語法,以下示例不是推薦的格式:
使用現有的模塊
- 編寫新playbook時,從基礎playbook開始,并盡可能使用靜態清單。
- 在構建設計時,將debug 模塊用作測試或存根。
- 在playbook按預期工作后,使用import或include將playbook分成較小的邏輯組件。
- 盡量使用Ansible中包含的特殊用途模塊,而不是command、shell、raw這樣的通用模塊。使用為特定任務設計的模塊可以輕松地使 Playbook 具有冪等性,且易于維護。
遵循標準樣式
編寫Ansible項目時,應考慮和同時遵循標準的樣式:遵循統一的標準有助于提高可維護性和可讀性。
- 縮進多少個空格
- 如何使用垂直空白
- 如何命名任務劇本角色和變量
- 應對什么進行注釋
- 如何注釋
井然有序
Ansible項目的組織和Playbook的運行方式有助于維護、故障排除和審計。
遵循變量命名約定
因為 Ansible 具有相對扁平的命令空間,所以變量名非常重要。應使用描述性變量且應闡明內容,如 apache_tls_port ,在角色中給最好能給角色變量添加前綴,如myapp_apache_tls_port 。
標準化項目結構
在文件系統上構建 Ansible 項目時,請使用統一的模式,推薦的示例:
Playbook 結構的一大優勢在于,可以將較?的playbook分成較小的?件,使其更易閱讀,而較小的子playbook 可能會包含可以獨立運行的、適合特定用途的 play。
使用動態清單
動態清單支持從?個真實的中央來源集中管理主機和組,并確保清單自動更新。動態清單一般與云提供商、容器和虛擬機管理系統結合使用。
如果無法使用動態清單,則其它工具可以動態構建組或其他信息。group_by 模塊根據事實動態生成組成員資格,該組成員資格對 playbook 的其余部分有效。
# Create nested groups - group_by:key: el{{ ansible_distribution_major_version }}-{{ ansible_architecture }}parents:- el{{ ansible_distribution_major_version }} TASK [group_by] **************************************************************************************************** task path: /root/ansible/group_by.yaml:5 [WARNING]: Invalid characters were found in group names but not replaced, use -vvvv to see details changed: [192.168.26.82] => {"add_group": "el7-x86_64","changed": true,"parent_groups": ["el7"] } changed: [192.168.26.81] => {"add_group": "el7-x86_64","changed": true,"parent_groups": ["el7"] }充分利用組
主機可以是多個組的成員,可以按以下特征將主機劃分不同的種類:
- 地理位置
- 環境
- 站點或服務
將角色用于可重復使用的內容
- 角色可以是 playbook 保持簡單,能夠通過重復利用項目間的通用代碼來減少工作量。
- 通過變量使角色成為可配置的通同角色,以便在將它們用于?組不同的playbook時無需對其進行編輯。
- 使用ansible-galaxy init命令來初始化角色的目錄結構。
- RHEL 中的redhat-system-roles 軟件提供的角色受到官方支持。
- 也可以通過Ansible Galaxy 提供的角色,但是注意其質量和安全。
- 將角色保存在項目的roles子目錄中。
集中運行 Playbook
使用一個專用的控制節點來控制對系統的訪問和審計 Ansible 活動,讓所有的 Ansible Playbook 都從上面運行。
系統管理員仍應在系統上擁有自己的賬戶,以及用于連接受管主機的憑據,并在需要時可以進行權限提升。當系統管理員離職時,因從受管主機的authorized_keys文件中刪除其 SSH 密鑰,同時撤銷其 sudo 權限。也可以考慮使用紅帽 Ansible Tower 作為中央控制節點。
經常測試
在開發過程中、任務運行時以及Playbook投入使用后,應經常測試 Playbook 和 task
測試任務的結果
如果需要確認任務是否成功,請驗證任務的結果,而不要信任模塊的返回代碼
- start web server service: name: httpd status: started - name: Check web site from web server uri: ur1: http://{{ ansible_fqdn}}return_content: yes register: example_webpage failed_when: example_webpage. status !=200使用 Block/Rescue 來恢復或回滾
block 指令可用于對任務進行分組,與 rescue 指令結合使用時,可幫助從錯誤和故障中恢復。
--- - name: block testhosts: node1tasks:- block:- debug: msg="vg myvg not found" #提示卷組沒找到- debug: msg="create vg myvg .. .." #做其他操作(比如創建這個卷組...)when: ('myvg' not in ansible_lvm.vgs) #當卷組myvg不存在時rescue:- debug: msg="creating failed .. .." #block失敗時提示創建卷組失敗always:- shell: vgscan #列出卷組信息register: list #保存到名為list的變量- debug: msg={{list.stdout_lines}} #提示卷組掃描結果使用最新的 Ansible 版本開發 Playbook
即使不在?產中使用最新版本的 Ansible,也應該定期針對 Ansible 的最新版本測試 playbook。這將避免在Ansible 模塊和功能不斷演變時出現的問題。
如果 playbook 在運行時顯示警告或棄用消息,應注意它們并做出相應的調整。通常,Ansible 中的某?功能已棄用或有變化,則該項目會在刪除或更改功能之前提早四個小版本提供棄用通知。
使用測試工具
使用 ansible-playbook --syntax-check 命令進行語法檢測。
┌──[root@vms81.liruilongs.github.io]-[~/ansible] └─$ansible-playbook group_by.yaml --syntax-checkplaybook: group_by.yaml ┌──[root@vms81.liruilongs.github.io]-[~/ansible] └─$echo 22 >> group_by.yaml ┌──[root@vms81.liruilongs.github.io]-[~/ansible] └─$ansible-playbook group_by.yaml --syntax-check ERROR! We were unable to read either as JSON nor YAML, these are the errors we got from each: JSON: No JSON object could be decodedSyntax Error while loading YAML.could not find expected ':'The error appears to be in '/root/ansible/group_by.yaml': line 11, column 1, but may be elsewhere in the file depending on the exact syntax problem.The offending line appears to be:22 ^ here使用 ansible-playbook --check 命令,檢查模式,針對check_mode中的實際受管主機運行 Playbook(不會改變主機狀態),以查看Playbook執行的更改。此項檢查不能保證完全準確性,因為 playbook 可能需要實際運行?些任務,playbook 中的后續任務才能正常運行。可能有?些標記有check_mode: no指令的任務。這些任務即使在檢查模式中也會運行。
tasks:- name: This task will always make changes to the systemansible.builtin.command: /something/to/run --even-in-check-modecheck_mode: no- name: This task will never make changes to the systemansible.builtin.lineinfile:line: "important config"dest: /path/to/myconfig.confstate: presentcheck_mode: yesregister: changes_to_important_config一個Demo
下面我們來看一個完整的Demo,這個Demo做的事很簡單,但是劇本編寫清晰,在三臺機器部署一個web服務,其中一臺機器用haproxy作為負載,剩下的兩臺機器提供web能力(安裝http服務并部署APP),劇本中創建了四個角色,用于描述四種行為:
- 安裝配置負載均衡器
- 安裝配置web服務器
- 部署服務到web服務器
- LB、HTTP 服務的firewall配置
配置、清單、主劇本文件編寫
編寫一個ansible.cfg 配置文件,這個不多講,指定主機清單文件位置和ssh用戶,配置sudo 提權方式。
[defaults] inventory=inventory remote_user=devops[privilege_escalation] become=True become_method=sudo become_user=root become_ask_pass=Falseinventory 主機清單文件,定義兩個分組,
- 作為LB的機器為 servera
- 提供web能力的機器為serverb和serverc
site.yml為定義的實際執行的主劇本,這里通過,這里通過import_playbook模塊來引入一個外部的調用角色的模塊。一般情況下,當一個playbook很長很復雜,可以通過對劇本進行拆分。通過模塊化的方式將多個playbook組合為一個完整的playbook,或者把文件中的任務列表插入到play中.
嗯,簡單介紹下,ansible 可以使用兩種方式實現劇本的模塊化:
- 包含內容:動態操作(include_task),在playbook運行期間,Ansible會在內容到達時處理包含的內容
- 導入內容: 靜態包含(import_task,import_playbook),在playbook運行之前,Ansible在最初解析的時候預處理導入的內容
和Java web體系中的Jsp腳本有些類似,通過include指令和include動作引入文件
我們可以看到,site.yml執行的三個劇本都是通過導入的方式。
- name: Deploy HAProxyimport_playbook: deploy_haproxy.yml- name: Deploy Web Serverimport_playbook: deploy_apache.yml- name: Deploy Web Appimport_playbook: deploy_webapp.yml執行順序為,創建LB、創建web Serve,部署 web app,這里把劇本行為抽象為角色,然后在deploy_*里面調用角色,實現了行為和劇本的解耦。
調用角色劇本編寫
看一下導入的執行角色的劇本deploy_haproxy.yml
- name: Ensure HAProxy is deployedhosts: lb_serversforce_handlers: Trueroles:# The "haproxy" role has a dependency# on the "firewall" role. The# "firewall" role requires a# "firewall_rules" variable be defined.- role: haproxyfirewall_rules:# Allow 80/tcp connections- port: 80/tcp通過劇本執行LB角色,并且定義·變量firewall_rules,聲明開放的端口協議,這里有一個force_handlers,我們看一下,劇本中handlers用于任務處理(布雷),可以設置一個或一塊任務,但是他不會主動執行,需要通過notify通知觸發(引爆),還有一些需要注意的點:
- 每個劇本中handlers任務只會執行一次,即使收到多個任務的觸發通知
- handlers組的每一個任務都要設置名稱(name)
- handlers的層次與tasks平級
- 其他任務在必要時,使用notify語句通知handlers任務名
- 僅當發起notify的任務的執行狀態為changed時,handlers任務才會被執行
看一個Demo
--- - name: handlers testhosts: node5tasks:- lvol: lv=vo001 size=100M vg=search #創建邏輯卷vo001notify: mkfs #如果changed則通知格式化(否則無需格式化)handlers:- name: mkfs #定義格式化操作處理filesystem: dev=/dev/search/vo001 fstype=xfs force=yes ...那么這里的force_handlers即強制執行的意思,當觸發他的通知對應的任務執行失敗,但是handlers任然會執行,
deploy_apache.yml
- name: Ensure Apache is deployedhosts: web_serversforce_handlers: Trueroles:# The "apache" role has a dependency# on the "firewall" role. The# "firewall" role requires a# "firewall_rules" variable be defined.- role: apachefirewall_rules:# Allow http requests from any# internal zone source.- zone: internalservice: http# Add servera, the load balancer,# to the internal zone.- zone: internalsource: "172.25.250.10"deploy_webapp.yml
- name: Ensure Web App is deployedhosts: web_serversvars:- webapp_version: v1.0roles:- role: webapp這里需要說明下,vars定義的變量屬于劇本變量,而在roles下面的變量為角色變量
自定義角色編寫
我們來看一下角色,一共有四個角色,其中三個在上面的deplay_*.yaml 文件中被調用,firewall角色被apache和haproxy依賴調用
- apache http web服務器部署
- firewall 防火墻部署配置
- haproxy LB部署配置
- wen app 能力部署
關于角色這里我們簡單的回顧下
ansible 中的role指的是,為了方便復雜任務(包含大批量任務操作、模板、變量等資源)的重復使用,降低playbook劇本編寫難度,而預先定義好的一套目錄結構。
針對每一個角色,ansible會到固定的目錄去調取特定的數據,關于角色在劇本中的使用,可以看看上面 deplay_*.yaml
角色內一般不指定hosts: 清單主機列表,而是交給調用此角色的劇本來指定,當然測試除外,具體看下
haproxy 角色
haproxy 角色 在劇本中負責LB 相關行為,簡單看一下目錄結構
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles] └─$cd haproxy/ #角色根目錄 ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$tree . ├── defaults #定義變量的缺省值,優先級較低 │ └── main.yml ├── handlers #定義handlers處理任務 │ └── main.yml ├── meta #定義作者、版本、兼容性、依賴項等描述信息 │ └── main.yml ├── tasks #任務入口,最主要的文件 │ └── main.yml ├── templates #存放模板文件 │ └── haproxy.cfg.j2 └── tests # 用于角色測試├── inventory└── test.yml6 directories, 7 files當然,這里的角色目錄并不是最全的,正常的角色中還會有vars目錄用于定義變量,相對于defaults優先級更高,files目錄存放一些靜態文件,README.md文件用于描述自述信息,我們通過init命令生成一個角色看一下目錄
┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles] └─$ansible-galaxy init demo - Role demo was created successfully ┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles] └─$ls demo ┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles] └─$tree . └── demo├── defaults│ └── main.yml├── files├── handlers│ └── main.yml├── meta│ └── main.yml├── README.md├── tasks│ └── main.yml├── templates├── tests│ ├── inventory│ └── test.yml└── vars└── main.yml9 directories, 8 files ┌──[root@vms81.liruilongs.github.io]-[~/ansible/roles] └─$嗯,回到我們的haproxy來看一下 defaults目錄下的yaml文件用于定義一些缺省的變量。
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$cat defaults/main.yml # Log-level for HAProxy logs log_level: info# Port exposed to clients port: 80# Name for the default backend backend_name: app# Port backend is exposed to backend_port: 80# The appservers variable is a list # of backend servers that provide # the web service that is proxied # haproxy. Each server must define: # name, address, port. Below is # and example structure: # appservers: # - name: serverb.lab.example.com # ip_address: 1.2.3.4 # port: 5000 # - name: serverc.lab.example.com # ip_address: 1.2.3.5 # port: 5000 # The default is no defined backend servers. appservers: []# Socket used to communicate with haproxy service. DO NOT CHANGE socket: /var/run/haproxy.sockhandlers這個目錄用于定義需要處理被激活的任務。這里定義了兩個任務,都用到了Service模塊
- 重新啟動haproxy服務
- 重新加載haproxy服務配置文件
看下meth元數據,作者信息,版本,以及通過dependencies我們可以看到該角色依賴角色firewall
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$cat meta/main.yml galaxy_info:author: Ophelia Dunhamdescription: A role to ensure deployment of HAProxycompany: Example, Inc. 。。。。license: license (GPLv2, CC-BY, etc)min_ansible_version: 2.4 。。。。galaxy_tags: [] 。。 dependencies:- name: firewall這里我們簡單聊聊角色依賴,角色依賴可以在使用角色時自動拉入其他角色。Ansible 執行角色依賴項,則必須使用關鍵字dependencies在mate文件夾下的main.yaml中聲明在指定角色之前插入的角色和參數列表,我們這里的參數是定義在deploy_*.yaml
主任務劇本
- 通過yum模塊下載負載均衡工具haproxy和反向代理工具socat
- 通過Service模塊啟動haproxy,并設置開啟自啟
- 通過template模塊,利用jieja2 模板,替換配置文件,這里處理完要通知前面重載配置文件的handlers
模板文件編寫,這里用到了jieja2模板引擎,在一般的python web項目中用的比較多一點,這里簡單的理解為變量替換。
haproxy.cfg.j2模板里用到了我們之前定義的大量變量,包括default目錄的下main.yaml中定義的變量,以及appservers.yaml中的變量。
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$cat templates/haproxy.cfg.j2 #--------------------------------------------------------------------- # Global settings #--------------------------------------------------------------------- global#Send events/messages to rsyslog server.log 127.0.0.1:514 local0 {{ log_level }}chroot /var/lib/haproxypidfile /var/run/haproxy.pidmaxconn 4000user haproxygroup haproxydaemon#state changes due to API calls are stored in this file.server-state-file /usr/local/haproxy/haproxy.state# turn on stats unix socket# required for the ansible haproxy module.stats socket {{ socket }} level admin# utilize system-wide crypto-policiesssl-default-bind-ciphers PROFILE=SYSTEMssl-default-server-ciphers PROFILE=SYSTEM#--------------------------------------------------------------------- # common defaults that all the 'listen' and 'backend' sections will # use if not designated in their block #--------------------------------------------------------------------- defaultsmode httplog globaloption httplogoption dontlognulloption http-server-closeoption forwardfor except 127.0.0.0/8option redispatchretries 3timeout http-request 10stimeout queue 1mtimeout connect 10stimeout client 1mtimeout server 1mtimeout http-keep-alive 10stimeout check 10smaxconn 3000#Loads state changes from the state file.load-server-state-from-file global#--------------------------------------------------------------------- # main frontend which proxys to the backends #--------------------------------------------------------------------- frontend mainmode httpbind *:{{ port }}default_backend {{ backend_name }}#--------------------------------------------------------------------- # round robin balancing between the various backends #--------------------------------------------------------------------- backend {{ backend_name }}balance roundrobin {% for server in appservers %}server {{ server.name }} {{ server.ip }}:{{ backend_port }} {% endfor %}appservers 清單變量用于定義需要負載的機器域名和ip。這里為了角色的復用性,單獨分離出來。
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices] └─$cat appservers.ymlappservers:- name: serverb.lab.example.comip: "172.25.250.11"- name: serverc.lab.example.comip: "172.25.250.12"剩下的就是測試相關的yaml文件,不多介紹,remote_user指定連接受管機的遠程用戶名
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$cat tests/inventory localhost┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/haproxy] └─$cat tests/test.yml --- - hosts: localhostremote_user: rootroles:- haproxyapache 角色
apache 角色用于提供http 服務,目錄結構相對簡單
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles] └─$cd apache/ ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/apache] └─$tree . ├── meta │ └── main.yml ├── tasks │ └── main.yml └── tests├── inventory└── test.yml3 directories, 4 files ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/apache] └─$meta 文件夾我們這里不多介紹了,涉及防火墻操作,所以依賴firewall角色,看一下主任務劇本
- yum模塊安裝 http相關包
- seboolean模塊用于設置selinux開機自啟,允許httpd_can_network_connect 訪問網絡
- service模塊用于啟動http服務
webapp 角色
webapp角色用于部署web 項目到httpd服務,主要涉及缺省變量編寫和主任務劇本。
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles] └─$cd webapp/ ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp] └─$tree . ├── defaults │ └── main.yml ├── meta │ └── main.yml ├── tasks │ └── main.yml └── tests├── inventory└── test.yml4 directories, 5 files ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp] └─$defaults目錄下的清單變量只有一個webapp_message,meta目錄下的元數據不多介紹
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp] └─$cat defaults/main.yml webapp_message: "This is" ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp] └─$cat meta/main.yml主任務劇本中,用了一個dufault目錄下的缺省變量和一個ansible的魔法變量,一個使用角色時定義的劇本變量。通過copy模塊向http服務的引導頁寫入一句話。
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/webapp] └─$cat tasks/main.yml --- # tasks file for webapp#- name: Copy the code from the repository # git: # repo: "{{ webapp_repo }}" # version: "{{ webapp_version }}" # dest: /var/www/html/ # accept_hostkey: yes ## key_file: deployment key??- name: Copy a stub file.copy:content: "{{ webapp_message }} {{ ansible_hostname }}. (version {{ webapp_version}})\n"dest: /var/www/html/index.html最后來看一下firewall角色
firewall 角色
firewall 角色并沒有被顯示的調用,那么它是如何被調用的?
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles] └─$cd firewall/ ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall] └─$tree . ├── defaults │ └── main.yml ├── handlers │ └── main.yml ├── meta │ └── main.yml ├── tasks │ └── main.yml └── tests├── inventory└── test.yml5 directories, 6 files ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall] └─$這里就要講到角色依賴,我們上面的haproxy角色和apache角色都在meta/main.yaml 文件中依賴了firewall角色,所以haproxy角色和apache角色在執行的時候要先執行firewall角色.
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall] └─$cat defaults/main.yml --- # defaults file for firewall# This role requires that firewall_rules variable # be defined. The variable is a list of rules, and # each rule defines: # # service: (optional) # port: (optional) # zone: (optional) # source: (optional) # # A rule should only define a service or a port. # And example definition is: # # firewall_rules: # - service: http # zone: internal # - port: 8443 # source: 192.168.0.2# By default, no rules are implemented. firewall_rules: []一個重載firewall 配置文件的任務
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall] └─$cat handlers/main.yml --- # handlers file for firewall- name: reload firewalldservice:name: firewalldstate: reloaded主任務文件,編寫防火墻配置,在配置完通知上面的handlers
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices/roles/firewall] └─$cat tasks/main.yml --- # tasks file for firewall- name: Ensure Firewall Sources Configurationfirewalld:source: "{{ item.source if item.source is defined else omit }}"zone: "{{ item.zone if item.zone is defined else omit }}"permanent: yesstate: "{{ item.state | default('enabled') }}"service: "{{ item.service if item.service is defined else omit }}"immediate: trueport: "{{ item.port if item.port is defined else omit }}"loop: "{{ firewall_rules }}"notify: reload firewalld對劇本的clean
當我們不需要這套環境了需要編寫一個卸載當前環境的劇本clean.yml
- name: Clean Load Balancershosts: lb_serversgather_facts: notasks:- name: Remove packagesyum:name: haproxystate: absent- set_fact:firewall_rules:- port: 80/tcp- name: Clean Web Servershosts: web_serversgather_facts: notasks:- name: Remove packagesyum:name: httpdstate: absent- set_fact:firewall_rules:- zone: internalservice: http- zone: internalsource: 172.25.250.10- name: Clean Firewall ruleshosts: lb_servers, web_serverstasks:- name: Ensure Firewall Sources Configurationfirewalld:source: "{{ item.source if item.source is defined else omit }}"zone: "{{ item.zone if item.zone is defined else omit }}"permanent: yesstate: 'disabled'service: "{{ item.service if item.service is defined else omit }}"port: "{{ item.port if item.port is defined else omit }}"loop: "{{ firewall_rules }}"- name: reload firewalldservice:name: firewalldstate: reloaded- name: Remove web applicationhosts: web_serverstasks:- name: Remove stub filefile:state: absentpath: "/var/www/html/index.html"下面是Demo完整的結構
┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices] └─$ls ansible.cfg clean.yml deploy_haproxy.yml inventory site.yml appservers.yml deploy_apache.yml deploy_webapp.yml roles ┌──[root@workstation.lab.example.com]-[/home/student/DO447/labs/development-practices] └─$總結
以上是生活随笔為你收集整理的如何编写清晰的Ansible剧本(复杂剧本如何构建)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: MTK6577+Android之按键(k
- 下一篇: C语言输入10名同学3门课,输入10个学