Ansible (Português)
Do www.ansible.com:
- Ansible é um mecanismo de automação de TI radicalmente simples que automatiza o provisionamento em nuvem, o gerenciamento de configurações, a implantação de aplicativos, a orquestração intrasserviço e muitas outras necessidades de TI.
Instalação
Na máquina de controle (mestre), instale o pacote ansible.
Nas máquinas gerenciadas (nós), nas quais você deseja automatizar tarefas de implantação ou configuração, é necessário ter python e pode ser necessário indicar o #Localização do binário do Python específico em algumas circunstâncias. Uma maneira de se comunicar com o nó também é necessária, isso geralmente é SSH. Observe que uma configuração funcional chave SSH key facilita o uso do Ansible, mas não é necessária.
Uso básico
Configuração
Os parâmetros do Ansible são configurados no arquivo de configuração que pode ser ansible.cfg
no diretório atual, .ansible.cfg
no diretório inicial ou /etc/ansible/ansible.cfg
, o que encontrar primeiro.
Um modelo está disponível no ansible.cfg exemplo no GitHub.
Inventário
A infraestrutura está listada no arquivo de inventário Ansible, cujo padrão é ser salvo no local /etc/ansible/hosts
ou é possível especificar um arquivo de inventário diferente usando a opção de linha de comando -i
. Por exemplo, o inventário a seguir define um cluster com 7 nós organizados em dois grupos:
/etc/ansible/hosts
[control] 192.168.12.1 foo-[a:c].example.org localhost ansible_connection=local [managed] 192.168.12.2 192.168.12.3
Pode-se atribuir atributos específicos para cada nó no arquivo de infraestrutura na linha correspondente ou no arquivo de configuração ansible.cfg
. Por padrão, o Ansible executa playbooks no SSH, o parâmetro ansible_connection
estende a conexão para:
-
local
para implantar o playbook na própria máquina de controle -
docker
implanta o playbook diretamente nos contêineres do Docker
Confira Ansible - intro inventory par detalhes.
Ping
Você pode verificar se todos os nós listados no inventário estão ativos com
$ ansible all -m ping
Playbook
Playbooks são a principal unidade organizacional para configurar e implantar toda a infraestrutura. Consulte a documentação oficial para obter mais detalhes. Aqui está uma demonstração extremamente simples, na qual o administrador do inventário acima deseja executar uma atualização completa do sistema em um conjunto de hosts do Arch Linux. Primeiro, crie um arquivo de playbook, com formatação YAML (sempre com recuo de 2 espaços):
syu.yml
--- - name: All hosts up-to-date hosts: control managed become: yes tasks: - name: full system upgrade pacman: update_cache: yes upgrade: yes
Em seguida, execute o script do playbook:
$ ansible-playbook --ask-become-pass syu.yml
Vault
Um vault ("cofre") pode ser usado para manter dados confidenciais de forma criptografada em playbooks ou funções, em vez de em texto sem formatação. A senha do cofre pode ser armazenada em texto sem formatação em um arquivo, por exemplo, senhavault.txt
contendo senhadovault
, para ser usada posteriormente como parâmetro de comando:
$ ansible-playbook site.yml --vault-id senhavault.txt
Para criptografar o conteúdo o conteúdo da variável
de uma variável chamada nomevar
usando a senha armazenada em senha_vault.txt
, o seguinte comando deve ser usado:
$ ansible-vault encrypt_string --vault-id senhavault.txt 'o conteúdo da variável' --name nomevar
Com mais segurança, para evitar a inserção do conteúdo da variável na linha de comando e ser solicitado, em vez disso, é possível usar:
$ ansible-vault encrypt_string --vault-id senhavault.txt --stdin-name nomevar
Reading plaintext input from stdin. (ctrl-d to end input)
O comando retorna diretamente a variável protegida que pode ser inserida em um manual. Variáveis criptografadas e não criptografadas podem coexistir em um arquivo YAML, conforme ilustrado abaixo:
nãosecreto: meuvalor meusegredo: !vault | $ANSIBLE_VAULT;1.1;AES256 66386439653236336462626566653063336164663966303231363934653561363964363833313662 6431626536303530376336343832656537303632313433360a626438346336353331386135323734 62656361653630373231613662633962316233633936396165386439616533353965373339616234 3430613539666330390a313736323265656432366236633330313963326365653937323833366536 3462 outronãosecreto: outrovalor
Gerenciamento de pacotes
Repositórios oficiais
Ansible possui um módulo do pacman para lidar com a instalação, remoção e atualização do sistema com o pacman.
AUR
Para o Arch User Repository (AUR), é necessário usar o módulo externo ansible-aur, o qual pode ser instalado com ansible-aur-gitAUR.
Enquanto o Ansible espera um acesso ssh como root, os auxiliares do AUR não permitem a execução de operações como root, mas todos falham com "você não pode executar esta operação como root". Para automação Ansible, é recomendável criar um usuário, por exemplo chamado aur_builder, que não precise de senha com pacman em sudoers. Isso pode ser feito no Ansible com as seguintes ações:
task.yml
- user: name=aur_builder - lineinfile: path: /etc/sudoers.d/aur_builder-allow-to-sudo-pacman state: present line: "aur_builder ALL=(ALL) NOPASSWD: /usr/bin/pacman" validate: /usr/sbin/visudo -cf %s create: yes
Em seguida, os auxiliares do AUR ou makepkg podem ser usados associados aos parâmetros become: yes
e become_user: aur_builder
do Ansible.
Dicas e truques
Criação de conta de usuário
O Ansible pode gerenciar contas de usuário e, em particular, é capaz de criar novas. Isso é obtido em playbooks com o módulo de usuário, que utiliza um argumento opcional password
para definir a senha do usuário. É o valor hash da senha que precisa ser fornecido ao módulo.
O hash pode simplesmente ser executado instantaneamente no Ansible usando um de seus filtros internos hash-filter:
- user: name: nome_do_usuário password: "{{ 'senha_do_usuário' | password_hash('sha512', 'saltdasenha') }}" shell: /usr/bin/nologin
Com essa abordagem, é recomendável criptografar senha_do_usuário com vault para que não apareça em texto sem formatação, consulte #Vault. No entanto, uma variável criptografada não pode ser canalizada diretamente e precisará primeiro ser atribuída a outra que será passada com pipe.
Como alternativa, o hash pode ser realizado fora do Ansible. Os comandos a seguir retornam respectivamente os valores MD5 e SHA512 com hash de senha_do_usuário:
$ openssl passwd -1 senha_do_usuário
$ python -c 'import crypt; print(crypt.crypt("senha_do_usuário", crypt.mksalt(crypt.METHOD_SHA512)))'
Localização do binário do Python
O Ansible requer Python na máquina de destino. Por padrão, o Ansible supõe que ele pode encontrar um /usr/bin/python
no sistema remoto que é uma versão 2.X ou 3.X, especificamente 2.6 ou superior.
Se alguns de seus módulos exigirem especificamente o Python2, você precisará informar o Ansible sobre sua localização, configurando a variável ansible_python_interpreter
no arquivo de inventário. Isso pode ser feito usando grupos de hosts no inventário:
/etc/ansible/hosts
[archlinux] servidor1 servidor2 [debian] servidor3 [archlinux:vars] ansible_python_interpreter=/usr/bin/python2
Mais informações sobre o suporte à versão Python no Ansible estão disponíveis em [1], [2] e [3].
Solução de problemas
Unarchive
O módulo unarchive
descompacta um arquivo. No entanto, os arquivos tar não são bem suportados e vários problemas pendentes são relatados em GitHub - unarchive. Em particular, quando o parâmetro keep_newer
é definido como yes
, a idempotência não é observada. Caso encontre um problema com o módulo, você pode usar o formato zip, que é melhor integrado ao Ansible.
Veja também
- https://www.ansible.com/quick-start-video - Conceito do Ansible em 12 minutos
- https://docs.ansible.com/ansible/latest/collections/community/general/pacman_module.html - Documentação oficial do módulo do pacman