Ansible - удаленная настройка конфигураций
Представим, что у вас есть 10 серверов под разные или похожие задачи. Каждую машину нужно периодически обновлять, изменять ее конфигурацию. Часто необходимо поднять и настроить сразу несколько серверов в короткие сроки. Конечно, можно подключаться к каждому по SSH и вручную вносить необходимые изменения, но это очень долго и увеличивает возможность совершения ошибок из-за человеческого фактора.
Для эффективного решения подобных задач DevOps-специалисты используют систему удаленного управления конфигурацией Ansible. Ansible автоматизирует поставку ПО, управляет конфигурацией и развёртыванием приложений. В облачной среде, Ansible может использоваться для автоматизации конфигурирования и управления облачными инфраструктурами. Например, для развертывания и управления виртуальными машинами, контейнерами, сетевыми объектами и облачными сервисами.
Главные преимущества Ansible:
1) Работа по SSH. На управляемые серверы не нужно устанавливать дополнительный софт, Ansible должен быть установлен лишь на управляющем сервере.
2) Простота. Код написан на Python, поэтому написание дополнительных модулей под ваши задачи не составит труда. Конфигурационные файлы Ansible создаются в формате YAML - формат сериализованных данных (т.е. перевод структуры данных в битовую последовательность), намного проще и читабельнее, чем JSON и XML.
3) Декларативность. Разработчику нужно писать не действия программы, а результат, которого она должна достичь. Ansible сам спланирует как именно он будет достигнут. Это значительно сокращает время настройки.
4) Push и Pull. Ansible может работать в обоих режимах: главный сервер может "вытягивать" информацию из управляемых, или наоборот, "проталкивать" ее в зависимые сервера.
Недостатки:
1) Проблемы с Windows. С версии 1.7 Ansible поддерживает Windows, но работать приходится с оболочкой PowerShell, необходимо установить Linux-модуль.
2) Контроль состояния. В Ansible нет постоянного мониторинга зависимых серверов, он лишь выполняет задачи и наблюдает за состоянием хоста. В других системах управления есть более широкие возможности для контроля состояния серверов.
Структура Ansible
Модули
Это программы, выполняющие работу на сервере. Например, вместо запуска команды на машине:
$ apt install nginx
Мы можем использовать модуль apt и установить nginx :
- name: Install htop apt: name=htop
Хосты
Чтобы предоставить перечень хостов, нам нужно обозначить список, находящийся в файле инвентаризации.
Playbooks
Playbooks — основа работы Ansible. Это способ отправки команд на удалённые компьютеры с помощью скриптов в формате YAML. Вместо того, чтобы индивидуально использовать команды для удалённой настройки компьютеров из командной строки, вы можете настраивать целые сложные среды, передавая скрипт одной или нескольким серверам.
Vars
Файл содержит набор переменных, например имя пользователя и пароль базы данных.
Роли
Это способ сгруппировать несколько задач в один контейнер, чтобы эффективно автоматизировать работу с помощью понятной структуры каталогов.
Файлы конфигураций Ansible делятся на блоки, начинающиеся с “- name”. Сначала указывается название операции, а потом модуль, который нужен для ее выполнения. После этого нужно указать переменные модуля.
На первый взгляд это может показаться сложным, но структура Ansible очень проста, а модули быстро запоминаются или находятся в интернете. Существует полная документация, помимо этого, вы можете найти огромное количество самописные модулей под самые разные задачи.
Использование Ansible на практике
Рассмотрим удобство Ansible на конкретном примере - с помощью Ansible мы установим сервисы на машины и отредактируем их конфигурации:
- Ubuntu22, 192.168.1.2 – MariaDB
- Ubuntu23, 192.168.1.3 – MySQL
- Debian12, 172.16.1.4 – стек LAMP + WordPress
ВНИМАНИЕ! В конфигурациях мы используем шаблонные пароли для наглядности, обязательно измените их.
Установка
На управляемых узлах должен быть установлен Python версии 2.4 и выше, по умолчанию он вшит в большинство дистрибутивов Linux-систем. На сервер ansible-controller необходимо установить Ansible, рассмотрим пример для Ubuntu:
$ sudo apt update $ sudo apt install ansible
При установке будет создан каталог /etc/ansible с конфигурационными файлами: hosts и ansible.cfg - файл с настройками Ansible.
В простейшем виде файл hosts может содержать одну строку (адрес управляемого сервера): 192.168.1.2
Вы можете указать только ip-адреса серверов, но будет удобнее сразу записать номера портов ssh, пользователей, пароли и т.д. Укажем информацию о хостах:
$ nano hosts all: hosts: server-1: ansible_host: 192.168.1.2 ansible_connection: ssh ansible_user: root ansible_password: b1Ge62qUzIZhmtrH server-2: ansible_host: 192.168.1.3 ansible_connection: ssh ansible_user: root ansible_password: h1FF8LQUmapS5uj0 server-3: ansible_host: 172.16.1.4 ansible_connection: ssh ansible_user: root ansible_password: Byu0M1E7vJyxQ2m6
Теперь мы можем проверить доступность серверов:
root@ubuntu:/etc/ansible# ansible all -i hosts -m ping
server-1 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python3"
},
"changed": false,
"ping": "pong"
}
server-3 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python3"
},
"changed": false,
"ping": "pong"
}
server-2 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python3"
},
"changed": false,
"ping": "pong"
}Отлично, Ansible-controller имеет доступ ко всем необходимым серверам.
Начнем с MariaDB, для этого создадим новую конфигурацию Ansible:
$ nano mariadb-management.yml
Разберем из чего состоит этот файл конфигурации:
Сначала мы указываем информацию об управляемых серверах и переменные.
---
- name: MariaDB Management using Ansible
hosts: server-1
gather_facts: true become: true vars:
mysql_root_password: "StrongRootPassword!"
python_mysql: "{{ 'python3-mysqldb' if ansible_distribution|lower in ['debian', 'ubuntu'] else 'python3-PyMySQL' }}"
Устанавливаем и включаем сервисы: tasks:
- name: Installing MariaDB Server
package:
name: mariadb-server
state: latest
update_cache: yes - name: Installing python_mysql
package:
name: "{{ python_mysql }}"
state: present
update_cache: yes - name: start and enable mariadb server
service:
name: mariadb
enabled: true state: started
Обновляем пароль СУБД:
- name: update mysql root password for all root accounts
mysql_user:
name: root
host: "{{ item }}"
password: "{{ mysql_root_password }}"
login_user: root
login_password: "{{ mysql_root_password }}"
check_implicit_admin: yes priv: "*.*:ALL,GRANT"
with_items:
- "{{ ansible_hostname }}"
- 127.0.0.1
- ::1
- localhost
Создаем новую БД и пользователя с полными привилегиями:
- name: Create a new database with name 'testdb'
mysql_db:
name: testdb
state: present
login_user: root
login_password: "{{ mysql_root_password }}"
- name: Create database user & grant all privileges on the testdb
mysql_user:
name: testuser1
password: Passw0rd!
priv: 'testdb.*:ALL'
host: '%'
state: present
login_user: root
login_password: "{{ mysql_root_password }}"
Это все, что нужно для установки и настройки MariaDB на нашем сервере, пора запустить Ansible:
По выводу программы понятно, что все необходимые сервисы установлены и настроены.
Теперь поднимем MySQL-сервер, добавим необходимую базу данных и пользователя с привилегиями:
Создадим конфигурацию Ansible для MySQL:
$ nano mysql-management.yml
---
- name: MySQL Server Management Using Ansible
become: yes hosts: server-2
vars:
mysql_root_password: "StrongRootPassword!"
service_name: "{{ 'mysql' if ansible_distribution|lower in ['debian', 'ubuntu'] else 'mysqld' }}"
python_mysql: "{{ 'python3-mysqldb' if ansible_distribution|lower in ['debian', 'ubuntu'] else 'python3-PyMySQL' }}"
tasks:
- name: Determine package manager
ansible.builtin.set_fact:
package_manager: "{{ 'apt' if ansible_distribution|lower in ['debian', 'ubuntu'] else 'yum' }}"
- name: Installing MySQL and Required dependencies
package:
name: "{{ item }}"
state: present
update_cache: yes loop:
- mysql-server
- name: Installing python_mysql
package:
name: "{{ python_mysql }}"
state: present
update_cache: yes - name: Start and enable mysql service
service:
name: "{{ service_name }}"
state: started
enabled: yes - name: update mysql root password for all root accounts
mysql_user:
name: root
host: "{{ item }}"
password: "{{ mysql_root_password }}"
login_user: root
login_password: "{{ mysql_root_password }}"
check_implicit_admin: yes priv: "*.*:ALL,GRANT"
with_items:
- "{{ ansible_hostname }}"
- 127.0.0.1
- ::1
- localhost
- name: Create a new database with name 'testdb'
mysql_db:
name: testdb
state: present
login_user: root
login_password: "{{ mysql_root_password }}"
- name: Create database user & grant all privileges on the testdb
mysql_user:
name: testuser1
password: Passw0rd!
priv: 'testdb.*:ALL'
host: '%'
state: present
login_user: root
login_password: "{{ mysql_root_password }}"Запускаем!
И теперь можно понять, что все сработало. Теперь у нас есть конфигурации, которые позволяют создавать СУБД с необходимыми параметрами за 5 минут сразу на нескольких машинах.
Наконец, попробуем что-то более серьезное: стек LAMP и WordPress с готовыми конфигурациями сервисов.
Так будет выглядеть структура нашего проекта:
- playbook.yml – конфигурация Ansible, в которой будет описано, какой результат нам необходим;
- hosts – список хостов;
- apache.conf.j2 и wp-config.php.j2 – конфигурации сервисов LAMP+WP;
- default.yml – здесь буду указаны пароли и пользователи СУБД, хост и порт веб-сервера.
$ nano playbook.yml
---
- hosts: server-3
become: true vars_files:
- vars/default.yml
tasks:
- name: Install prerequisites
apt: name=aptitude update_cache=yes state=latest force_apt_get=yes
tags: [ system ]
- name: Install LAMP Packages
apt: name={{ item }} update_cache=yes state=latest
loop: [ 'apache2', 'mariadb-server', 'python3-pymysql', 'php', 'php-mysql', 'libapache2-mod-php' ]
tags: [ system ]
- name: Install PHP Extensions
apt: name={{ item }} update_cache=yes state=latest
loop: "{{ php_modules }}"
tags: [ system ]
# Apache Configuration
- name: Create document root
file:
path: "/var/www/{{ http_host }}"
state: directory
owner: "www-data"
group: "www-data"
mode: '0755'
tags: [ apache ]
- name: Set up Apache VirtualHost
template:
src: "files/apache.conf.j2"
dest: "/etc/apache2/sites-available/{{ http_conf }}"
notify: Reload Apache
tags: [ apache ]
- name: Enable rewrite module
shell: /usr/sbin/a2enmod rewrite
notify: Reload Apache
tags: [ apache ]
- name: Enable new site
shell: /usr/sbin/a2ensite {{ http_conf }}
notify: Reload Apache
tags: [ apache ]
- name: Disable default Apache site
shell: /usr/sbin/a2dissite 000-default.conf
notify: Restart Apache
tags: [ apache ]
# MySQL Configuration
- name: Set the root password
mysql_user:
name: root
password: "{{ mysql_root_password }}"
login_unix_socket: /var/run/mysqld/mysqld.sock
tags: [ mysql, mysql-root ]
- name: Remove all anonymous user accounts
mysql_user:
name: ''
host_all: yes state: absent
login_user: root
login_password: "{{ mysql_root_password }}"
tags: [ mysql ]
- name: Remove the MySQL test database
mysql_db:
name: test
state: absent
login_user: root
login_password: "{{ mysql_root_password }}"
tags: [ mysql ]
- name: Creates database for WordPress
mysql_db:
name: "{{ mysql_db }}"
state: present
login_user: root
login_password: "{{ mysql_root_password }}"
tags: [ mysql ]
- name: Create MySQL user for WordPress
mysql_user:
name: "{{ mysql_user }}"
password: "{{ mysql_password }}"
priv: "{{ mysql_db }}.*:ALL"
state: present
login_user: root
login_password: "{{ mysql_root_password }}"
tags: [ mysql ]
# UFW Configuration
- name: "UFW - Allow HTTP on port {{ http_port }}"
ufw:
rule: allow
port: "{{ http_port }}"
proto: tcp
tags: [ system ]
# WordPress Configuration
- name: Download and unpack latest WordPress
unarchive:
src: https://wordpress.org/latest.tar.gz
dest: "/var/www/{{ http_host }}"
remote_src: yes creates: "/var/www/{{ http_host }}/wordpress"
tags: [ wordpress ]
- name: Set ownership
file:
path: "/var/www/{{ http_host }}"
state: directory
recurse: yes owner: www-data
group: www-data
tags: [ wordpress ]
- name: Set permissions for directories
shell: "/usr/bin/find /var/www/{{ http_host }}/wordpress/ -type d -exec chmod 750 {} \\;"
tags: [ wordpress ]
- name: Set permissions for files
shell: "/usr/bin/find /var/www/{{ http_host }}/wordpress/ -type f -exec chmod 640 {} \\;"
tags: [ wordpress ]
- name: Set up wp-config
template:
src: "files/wp-config.php.j2"
dest: "/var/www/{{ http_host }}/wordpress/wp-config.php"
tags: [ wordpress ]
handlers:
- name: Reload Apache
service:
name: apache2
state: reloaded
- name: Restart Apache
service:
name: apache2
state: restarted
----
$ mkdir vars $ nano vars/default.yml
----
#System Settings php_modules: [ 'php-curl', 'php-gd', 'php-mbstring', 'php-xml', 'php-xmlrpc', 'php-soap', 'php-intl', 'php-zip' ] #MySQL Settings mysql_root_password: "mysql_root_password" mysql_db: "wordpress" mysql_user: "sammy" mysql_password: "mysql_password" #HTTP Settings http_host: "my_site.com" http_conf: "my_site.conf" http_port: "80"
----
$ mkdir files $ nano files/apache.conf.j2
----
<VirtualHost *:{{ http_port }}>
ServerAdmin webmaster@localhost ServerName {{ http_host }} ServerAlias www.{{ http_host }} DocumentRoot /var/www/{{ http_host }}/wordpress ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /var/www/{{ http_host }}>
Options -Indexes AllowOverride All </Directory>
<IfModule mod_dir.c>
DirectoryIndex index.php index.html index.cgi index.pl index.xhtml index.htm </IfModule>
</VirtualHost>----
$ nano files/wp-config.php.j2
<?php
define( 'DB_NAME', '{{ mysql_db }}' );
define( 'DB_USER', '{{ mysql_user }}' );
define( 'DB_PASSWORD', '{{ mysql_password }}' );
define( 'DB_HOST', 'localhost' );
define( 'DB_CHARSET', 'utf8' );
define( 'DB_COLLATE', '' );
define('FS_METHOD', 'direct');
define( 'AUTH_KEY', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'SECURE_AUTH_KEY', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'LOGGED_IN_KEY', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'NONCE_KEY', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'AUTH_SALT', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'SECURE_AUTH_SALT', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'LOGGED_IN_SALT', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
define( 'NONCE_SALT', '{{ lookup('password', '/dev/null chars=ascii_letters length=64') }}' );
$table_prefix = 'wp_';
define( 'WP_DEBUG', false );
if ( ! defined( 'ABSPATH' ) ) {
define( 'ABSPATH', dirname( __FILE__ ) . '/' );
}require_once( ABSPATH . 'wp-settings.php' );
Все файлы созданы, можно запускать ansible-playbook:
Все установлено, проверяем:
Отлично, наш сервер работает. Теперь вы можете использовать эту конфигурацию Ansible, чтобы быстро устанавливать и настраивать свои веб-серверы.
Подведем итоги:
Для работы с Ansible не нужны агенты на управляемых серверах. Он использует Python и Yaml, простые и удобные языки для новичка. Так же, программа предоставляет набор надежных функций и встроенных модулей, которые облегчают написание сценариев автоматизации.
Это эффективный и расширяемый Open Source инструмент, который позволяет управлять конфигурациями удаленных серверов и сохранять их состояние. Мы лишь поверхностно прошлись по его возможностям, показали как пишутся сценарии для решения различных задач.
Все варианты использования Ansible в рамках одной статьи охватить невозможно и не нужно, а для желающих узнать больше мы подготовили несколько ссылок:
- Официальный аккаунт на github c исходным кодом проекта и хорошим набором примеров проектов.
- Документация Ansible.
- Готовые конфигурации Ansible под разные задачи.
- Управление Windows-сервером.
Топ ошибок при планировании облачной инфраструктуры для 1С. Часть первая - выбор и особенности работы с процессорами. Как правильно подобрать тип процессора и особенности распределения ядер по виртуальным серверам для размещения 1С в облаке и избежать частых ошибок, получив при этом максимальное быстродействие.
18 апреля, 2024
Обзор ключевых анонсов и трендов по следам Intel Vision 2024Еще больше искусственного интеллекта в вычислениях, новые анонсы, а также появление нового поколения Intel Xeon 6 в облачных средах уже в следующем году!
11 апреля, 2024
Федеральная сеть аптек «Я+аптека» улучшила работу учетных систем в облаке mClouds.ruПомогли федеральной сети аптек перенести учетную систему в облако на базе VMware, улучшить её производительность и доступность.
10 апреля, 2024