IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> ansible管理机密,事实以及简单循环 -> 正文阅读

[系统运维]ansible管理机密,事实以及简单循环

ansible 管理机密

Ansible Vault

Ansible可能需要访问密码或API密钥等敏感数据,以便能配置受管主机。通常,此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。这存在在安全风险。

Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault,可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件,或者Ansible角色中定义的变量。

创建加密文件

[root@localhost project]# ansible-vault create  passwd
New Vault password: 
Confirm New Vault password: 

cat查看不了

[root@localhost project]# cat passwd 
$ANSIBLE_VAULT;1.1;AES256
32353537316262353837323935643539303361656164353139313430343635336237323262336362
3566303565636337653435626330616530353235366630620a613161666539336435666266383766
31633537656531336532343265323535363435306635376564376331356231386434393833623633
3537353865646263610a613636396638396564363061343464316430373762633534386634613535
3833
[root@localhost project]# ansible-vault view  passwd
Vault password: 
passwd: 123
view加密查看
[root@localhost project]# ansible-vault edit  passwd
Vault password: 
编辑已加密文件
[root@localhost project]# ansible-vault decrypt passwd 
Vault password: 
Decryption successful
[root@localhost project]# cat pa
packages/ passwd    
[root@localhost project]# cat passwd 
passwd: 123
解密文件
[root@localhost project]# ansible-vault encrypt playbook/apache.yml 
New Vault password: 
Confirm New Vault password: 
Encryption successful
加密已存在yml文件
[root@localhost project]# ansible-vault rekey playbook/apache.yml 
Vault password: 
New Vault password: 
Confirm New Vault password: 
Rekey successful
重新加密/改密码

利用文件解密

[root@localhost project]# cat .key
123
创建隐藏密码文件
[root@localhost project]# ansible-vault view --vault-password-file=.key  playbook/apache.yml  

利用文件解密

playbook和ansible vault

要运行可访问通过Ansible Vault加密的文件的playbook,需要向ansible-playbook命令提供加密密码。

---
- name: 111
  hosts: apache
  vars_files:
    - /etc/ansible/vars/usr.yml
指定加密变量地址
[root@localhost ansible]# ansible-playbook --vault-id @prompt playbook/useradd.yml 
输入加密密码即可提取加密变量运行剧本

管理事实

Ansible事实是Ansible在受管主机上自动检测到的变量。事实中包含有与主机相关的信息,可以像play中的常规变量、条件、循环或依赖于从受管主机收集的值的任何其他语句那样使用。

为受管主机收集的一些事实可能包括:

主机名称
内核版本
网络接口
IP地址
操作系统版本
各种环境变量
CPU数量
提供的或可用的内存
可用磁盘空间

事实变量
短主机名ansible_facts[‘hostname’]
完全限定域名ansible_facts[‘fqdn’]
IPv4地址ansible_facts[‘default_ipv4’][‘address’]
所有网络接口的名称列表ansible_facts[‘interfaces’]
/dev/vda1磁盘分区的大小ansible_facts[‘devices’][‘vda’][‘partitions’][‘vda1’][‘size’]
DNS服务器列表ansible_facts[‘dns’][‘nameservers’]
当前运行的内核版本ansible_facts[‘kernel’]
[root@localhost ansible]# cat ss.yml 
---
- name: kkkk
  hosts: apache
  tasks:
    - name: 122
      debug:
        var: ansible_facts['hostname']
[root@localhost ansible]# ansible-playbook ss.yml 

PLAY [kkkk] *********************************************************************************************************************

TASK [Gathering Facts] **********************************************************************************************************
ok: [192.168.216.172]

TASK [debug] ********************************************************************************************************************
ok: [192.168.216.172] => {
    "ansible_facts['hostname']": "localhost"
}

PLAY RECAP **********************************************************************************************************************
192.168.216.172            : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
提取hostname

关闭事实收集

不准备使用任何事实
希望加快play速度
希望减小play在受管主机上造成的负载
受管主机因为某种原因无法运行setup模块
需要安装一些必备软件后再收集事实

以上种种原因导致我们可能想要永久或暂时关闭事实收集的功能,要为play禁用事实收集功能,可将gather_facts关键字设置为no:

---
- name: 111
  hosts: all
  gather_facts: no

即使play设置了gather_facts: no,也可以随时通过运行使用setup模块的任务来手动收集事实:

---
- name: gather_facts
  hosts: all
  gather_facts: no
  tasks:
    - name: get gather_facts
      setup:
    - name: debug
      debug:
        var: ansible_facts

创建自定义事实

除了使用系统捕获的事实外,我们还可以自定义事实,并将其本地存储在每个受管主机上。这些事实整合到setup模块在受管主机上运行时收集的标准事实列表中。它们让受管主机能够向Ansible提供任意变量,以用于调整play的行为。
有了自定义事实,我们可以为受管主机定义特定的值,供play用于填充配置文件或有条件地运行任务。动态自定义事实允许在play运行时以编程方式确定这些事实的值,甚至还可以确定提供哪些事实。

默认情况下,setup模块从各受管主机的/etc/ansible/facts.d目录下的文件和脚本中加载自定义事实。各个文件或脚本的名称必须以.fact结尾才能被使用。动态自定义事实脚本必须输出JSON格式的事实,而且必须是可执行文件。

[root@localhost ~]# mkdir -p /etc/ansible/facts.d
[root@localhost ~]# cd /etc/ansible/facts.d
[root@localhost facts.d]# vim 123.fact
[root@localhost facts.d]# cat 123.fact 
[pack]
web=httpd
[users]
user1=123
user2=234
不需要下载ansible,只需要创建目录
[root@localhost ansible]# ansible apache -m setup|less

"ansible_local": {
            "123": {
                "pack": {
                    "web": "httpd"
                }, 
                "users": {
                    "user1": "123", 
                    "user2": "234"

魔法变量

魔法变量说明
hostvars包含受管主机的变量,可以用于获取另一台受管主机的变量的值。如果还没有为受管主机收集事实,则它不会包含该主机的事实。
group_names列出当前受管主机所属的所有组
groups列出清单中的所有组和主机
inventory_hostname包含清单中配置的当前受管主机的主机名称。因为各种原因有可能与事实报告的主机名称不同

https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#variable-precedence-where-should-i-put-a-variable。更多魔法变量

[root@localhost ansible]# ansible apache -m debug -a 'var=hostvars["localhost"]'
192.168.216.172 | SUCCESS => {
    "hostvars[\"localhost\"]": {
        "ansible_check_mode": false, 
        "ansible_connection": "local", 
        "ansible_diff_mode": false, 
        "ansible_facts": {}, 
        "ansible_forks": 5, 
        "ansible_inventory_sources": [
            "/etc/ansible/hosts"

简单循环

- name: Postfix is running
  service:
    name: postfix
    state: started
    
- name: Devecot is running
  service:
    name: dovecot
    state: started

可以合并为

- name: Postfix and Devecot are running
  service:
    name: "{{ item }}"
    state: started
  loop:
    - postfix
    - dovecot

循环散列或字典列表

loop列表不需要是简单值列表,当前item循环变量中每个键的值可以分别通过item.name和item.groups变量来检索。

- name: Users exist and are in the correct groups
  user:
    name: "{{ item.name }}"
    state: present
    uid: "{{ item.uid }}"
  loop:
    - name: jane
      uid:1001
    - name: joe
      uid:1002

较早样式的循环关键字

循环关键字描述
with_items行为与简单列表的loop关键字相同,例如字符串列表或散列/字典列表。但与loop不同的是,如果为with_items提供了列表的列表,它们将被扁平化为单级列表。循环变量item保存每次迭代过程中使用的列表项。
with_file此关键字需要控制节点文件名列表。循环变量item在每次迭代过程中保存文件列表中相应文件的内容。
with_sequence此关键字不需要列表,而是需要参数来根据数字序列生成值列表。循环变量item在每次迭代过程中保存生成的序列中的一个生成项的值。
[root@localhost playbook]# cat vars/999.yml 
user:
  - lhj
  - hjj
  - jhk
写一个变量
[root@localhost playbook]# cat useradd.yml 
---
- name: 111
  hosts: apache
  vars_files:
    - /etc/ansible/playbook/vars/999.yml
  tasks:
    - name: "{{ item }}"
      user: 
        name: "{{ item }}"
        state: present
      loop: "{{ user }}"
直接利用变量循环
[root@localhost playbook]# ansible-playbook useradd.yml 

PLAY [111] **********************************************************************************************************************

TASK [Gathering Facts] **********************************************************************************************************
ok: [192.168.216.172]

TASK [{{ item }}] ***************************************************************************************************************
changed: [192.168.216.172] => (item=lhj)
changed: [192.168.216.172] => (item=hjj)
changed: [192.168.216.172] => (item=jhk)

PLAY RECAP **********************************************************************************************************************
192.168.216.172            : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

字典列表

[root@localhost playbook]# cat vars/999.yml 
user:
  - name: lhj01
    uid: 2001
  - name: jiii1
    uid: 2011
  - name: tom01
    uid: 2000
[root@localhost playbook]# cat useradd.yml 
---
- name: 111
  hosts: apache
  vars_files:
    - /etc/ansible/playbook/vars/999.yml
  tasks:
    - name: "{{ item.name }}"
      user: 
        name: "{{ item.name }}"
        uid: "{{ item.uid }}"
        state: present
      loop: "{{ user }}"
[root@localhost playbook]# ansible-playbook useradd.yml 

PLAY [111] **********************************************************************************************************************

TASK [Gathering Facts] **********************************************************************************************************
ok: [192.168.216.172]

TASK [{{ item.name }}] **********************************************************************************************************
changed: [192.168.216.172] => (item={u'name': u'lhj01', u'uid': 2001})
changed: [192.168.216.172] => (item={u'name': u'jiii1', u'uid': 2011})
changed: [192.168.216.172] => (item={u'name': u'tom01', u'uid': 2000})

PLAY RECAP **********************************************************************************************************************
192.168.216.172            : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

将Register变量与Loop一起使用

[root@localhost playbook]# cat usr.yml 
---
- name: task1
  gather_facts: no
  hosts: apache
  tasks:
    - name: 12131
      shell: "echo hello {{ item }} "
      loop:
        - tom
        - jerry
        - emily
      register: result
    - name: 123
      debug:
        var: result
"stdout": "hello tom", 
                "stdout_lines": [
                    "hello tom"
                ]
            }, 
            {
                "ansible_loop_var": "item", 
                "changed": true, 
                "cmd": "echo hello jerry ", 
                "delta": "0:00:00.002544", 
                "end": "2021-07-24 07:17:19.810147", 
                "failed": false, 
                "invocation": {
                    "module_args": {
                        "_raw_params": "echo hello jerry ", 
                        "_uses_shell": true, 
                        "argv": null, 
                        "chdir": null, 
                        "creates": null, 
                        "executable": null, 
                        "removes": null, 
                        "stdin": null, 
                        "stdin_add_newline": true, 
                        "strip_empty_ends": true, 
                        "warn": true
                    }
                }, 
                "item": "jerry", 
                "rc": 0, 
                "start": "2021-07-24 07:17:19.807603", 
                "stderr": "", 
                "stderr_lines": [], 
                "stdout": "hello jerry", 
                "stdout_lines": [
                    "hello jerry"
                ]
            }, 
            {
                "ansible_loop_var": "item", 
                "changed": true, 
                "cmd": "echo hello emily ", 
  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-25 12:01:39  更:2021-07-25 12:02:58 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 16:54:34-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码