Ansible †
default(): 変数未定義時のエラーを回避 †
# var1が必須ではないパラメータの場合、省略できる
item.var1 | default(omit)
# var1が未定義時に空の配列を返す
item.var1 | default([])
package: OS毎のパッケージ管理を一元化 †
run_once: ホストが複数台あっても1回しか実行しない †
ini_file: iniファイルの書き換え †
AWS assume role †
shell:やcommand:内で複雑な処理 †
- jinja2テンプレート構文が使えるので、複雑な事ができる。しかし、見難くなるのでお勧めはしない
- 例:dict_var1.option2.valueが空の場合、command実行時のオプションを省略する
- File not found: "playbook.jinja2-example1.zip" at page "Memo/Ansible"[添付]
with_subelements: サブ要素でループ †
Terraformとの連携 †
Memo/TerraformでAWS EC2を起動して、ansible-playbookを実行したい時など。
shell中でreadコマンドがあっても待機しない †
apt: Debian/Ubuntu等のパッケージ管理 †
apt:
name: "{{ item.name }}"
state: "{{ item.state }}"
update_cache: yes
cache_valid_time: 3600
with_items: "{{ apt_packages }}"
assert: テストに使える †
vars_promptでカンマ区切り文字列を配列に展開する †
- 実行結果: ansible 2.4.2.0
ansible-playbook playbook.yml
Please enter csv: aaa, bbb
ok: [localhost] => (item=aaa) => {
"changed": false,
"item": "aaa",
"msg": "aaa"
}
ok: [localhost] => (item= bbb ) => {
"changed": false,
"item": " bbb ",
"msg": "bbb"
}
includeの代わりにimport_tasks, include_tasksを使う †
- ansible 2.4.2.0でincludeを使った場合の警告。静的と動的で明示的に分けて記述するように。
[DEPRECATION WARNING]: The use of 'include' for tasks has been deprecated. Use 'import_tasks' for static inclusions or 'include_tasks' for
dynamic inclusions. This feature will be removed in a future release. Deprecation warnings can be disabled by setting deprecation_warnings=False
in ansible.cfg.
Including and Importing — Ansible Documentation
- include_tasks
- 動的なinclude。実行時に評価される
- includeのファイル名に変数を含む場合
- include時に変数を用いてloopする場合
- handlerにはnotifyできない
- list-tags で出力されない
- list-tasks で出力されない
pause: 指定した秒/分だけ待つ、中断や続行を選択 †
- 実行結果: 60秒待機する
time ansible-playbook -i test/hosts.ini -l localhost playbook.ping.yml -e 'pause_seconds=60'
...
TASK [ping] ***************************************************************************************************************************************
ok: [localhost]
TASK [pause] **************************************************************************************************************************************
Pausing for 60 seconds
(ctrl+C then 'C' = continue early, ctrl+C then 'A' = abort)
ok: [localhost]
PLAY RECAP ****************************************************************************************************************************************
localhost : ok=2 changed=0 unreachable=0 failed=0
real 1m7.318s
user 0m4.149s
sys 0m0.548s
yum_repository: yumリポジトリの追加/削除 †
- name: Remove repository from a specific repo file
yum_repository:
name: epel
file: external_repos
state: absent
include_role: role内の別taskをloadする †
tasks/main.yml とは別のyamlをloadできる。
tasksを分割して、普段は実行されない処理を分けられる。
テキストの置換 †
ansible-container: docker imageの作成 †
dockerの操作 †
- 課題
- remote host上のdockerコンテナ内にansible roleを適用したいがコンテナの接続に失敗する。「connection: docker」だけでは「docker command not found in PATH」が出るので、localhostのdockerコマンドを実行しようとしている
playbook中に再起動 †
サンプルコードはいくつもあるが、うまく動作しない
hosts: all
become: True
gather_facts: True
tasks:
- name: debug
debug:
msg: "ansible_host={{ ansible_host }}"
- name: test connection (before reboot)
ping:
- name: reboot
shell: sleep 2 && shutdown -r now "Ansible reboot"
async: 1
poll: 0
ignore_errors: "{{ ansible_check_mode }}"
- name: wait for SSH port down
wait_for:
host: "{{ ansible_host }}"
port: 22
state: stopped
delay: 1
timeout: 60
delegate_to: 127.0.0.1
become: no
- name: wait for SSH port up
wait_for:
host: "{{ ansible_host }}"
port: 22
state: started
delay: 30
timeout: 300
delegate_to: 127.0.0.1
become: no
- name: test connection (after reboot)
ping:
with_fileglob: ファイル名にワイルドカードを指定してループ †
localに置いた不特定のファイルをワイルドカード(*,?)を使って処理したい時に使える。
remoteのファイルは非対応。
too long for Unix domain socket †
macOS v10.12(Sierra)で発生。
CentOS6/7では発生せず。
- 解決方法
- クライアントのOpenSSH 6.7以降なら「%%C」が使える。
- 複数クライアント混在環境だとansible.cfgに「%%C」と書いてしまうと、例えばCentOS6/7環境ではエラーになる
block: 複数のタスクのブロック化 †
Too many open filesでansibleの実行が停止する †
- CentOS 6でansible実行すると途中で停止する場合がある。ulimitの上限に達していた。
- pam経由の場合と、daemonは別の設定が必要
- playbook実行後、再起動
sudo reboot
factの再取得 †
「setup」の再実行で良い
動的にNICを追加した後に、factにも反映させたい場合など。
set_fact: 変数に値をセットする †
- 配列に辞書を複数追加する。array1を初期化しておかないとエラーになる。
コマンドのjson出力を取り込んで、yaml形式で出力する †
to_nice_yaml でエラー †
group_by: 動的にgroupを変更する †
例えば「connection: local」だが、複数の「group_vars/env.yml」を環境毎に切り替えたい時に使える。
指定したgroup_vars内の変数が参照できるようになる。
vars_prompt:
- name: "inventory_group"
prompt: "Please enter inventory_group"
private: no
tasks:
- group_by: key="{{ inventory_group }}"
changed_when: False
assemble: 複数の設定ファイルから一つの設定を作る †
assemble - Assembles a configuration file from fragments ― Ansible Documentation
- /etc/app/conf.d/*.conf から /etc/app.conf を作成する
- アプリがconf.d/形式をサポートしていない場合に使う
uri: HTTPリクエストの送信 †
jenkinsからansibleの実行 †
no_log: ログを出力しない †
「-v」オプションを付けたときにもパスワード等はコンソールに表示したくない場合等。
vars:
- show_log: false
tasks:
- debug: msg="{{ item }}"
with_items: "{{ huge_var }}"
no_log: "{{ not show_log|bool }}"
トラブルシューティング †
- ansible-playbookコマンドに「-vvv」を付ける
- 「debug: var=<name>」で変数を見る
- リモートの一時ファイルを残す。「$HOME/.ansible/tmp/」に残ったままになる。
lookup: ファイルやテンプレートを取り込む †
javaのpropertiesを読む †
- debug: msg="user.name is {{ lookup('ini', 'user.name type=properties file=user.properties') }}"
iniファイルを読む †
外部ファイルを変数に取り込む †
lookup 関数で出来た
- EC2(VPC)起動時のuser_dataにcloudinitのファイルを設定する
- ansible 1.7.1で動作確認
- roles/cloudinit/files/centos6.yml
- playbook.yml
- hosts: 127.0.0.1
gather_facts: False
vars:
ec2_user_data: "{{ lookup('file', 'roles/cloudinit/files/centos6.yml') }}"
tasks:
- name: ec2 instance
local_action:
module: ec2
keypair: example-key
group: example-sg
instance_type: t2.micro
image: ami-xxxxxxxx
region: ap-northeast-1
vpc_subnet_id: subnet-xxxxxxxx
assign_public_ip: yes
count: 1
volumes:
- device_name: /dev/sda1
volume_size: 10
# - device_name: /dev/sdb # t2インスタンスはephemeral diskは無い
# ephemeral: ephemeral0
instance_tags: '{"Name":"test.example.com","key2":"val2"}'
user_data: "{{ ec2_user_data }}"
wait: yes
wait_timeout: 600
fetch: リモートファイルをローカルにコピー †
- "msg": "unable to calculate the checksum of the remote file" の場合、接続に失敗しているので、-m ping等で確認する。
expect: 対話処理の自動化 †
wait_for: 処理が完了するまで待機する †
localにあるrpmファイルをインストールする †
- 環境:ansible 2.1.1.0
- yum name=/tmp/example-1.0.0-1.rpm state=present or installedでは、rpmファイルのバージョンが変わってもインストールされない。
- state=latestだと、リポジトリを検索しに行くので使えない。(yumドキュメント通り)
aws profileを利用する †
いつのバージョンから(boto3 module?)か「~/.boto」は不用になった。
assume role利用の際に邪魔になるので、「~/.boto」は作らない方が良い。
「~/.aws/credentials」が既にある場合、ansibleからその中のアクセスキー等を利用したい。
ansibleのawsモジュールには profile: オプションで boto configの値を指定でき、フォーマットはaws configと同じなのでsymlinkで良さそう
既存ファイルを空(サイズ0)にする †
空ファイルの作成 †
localhost対象時のエラー †
- ansible 2.1.1.0
- localhost を対象にするつもりが、PLAY RECAPを見ると、「127.0.0.1」と「localhost」の2つ実行されており、「localhost」の時にgroup_vars/localhost.ymlを読んでいないようで、変数の未定義エラーが出る。
cat group_vars/localhost.yml
...
cat hosts.ini
[localhost]
127.0.0.1
cat playbook.yml
- hosts: localhost
gather_facts: False
connection: local
...
ansible-playbook -i hosts.ini playbook.yml
fatal: [localhost]: FAILED! => {"failed": true, "msg": "the field 'args' has an invalid value, which appears to include a variable that is undefined. The error was: ...
PLAY RECAP *********************************************************************
127.0.0.1 : ok=2 changed=2 unreachable=0 failed=0
localhost : ok=0 changed=0 unreachable=0 failed=1
- 対策
- playbook.ymlを「- hosts: 127.0.0.1」に変更
- ansible-playbook -l 127.0.0.1 -i hosts.ini ...
LDAPの管理 †
ansible 2.1.1.0現在、classやattributeをうまく扱えるmoduleはまだ無いようだ。
- ldap_users.yml
ldap_users:
- cn: user01
dn: cn=user01,ou=users,dc=example,dc=com
sshPublicKey: ssh-rsa ...
description:
- dev
- stg
- prod
- ldapsearch, ldapmodify を使うサンプル
SSHのログからアクセスIPを列挙する †
インストール済みパッケージ一覧 †
yumモジュールではインストール済み一覧は取得できるが、一部のパッケージだけは指定できない。(nameとlistが排他指定)
- 実行結果:
ok: [127.0.0.1] => {
"result": {
"changed": false,
"results": [
{
"arch": "x86_64",
"epoch": "0",
"name": "MAKEDEV",
"nevra": "0:MAKEDEV-3.24-6.el6.x86_64",
"release": "6.el6",
"repo": "installed",
"version": "3.24",
"yumstate": "installed"
},
...
Ansible 2.1 †
SSHで接続できない場合 †
オプションとして「-vvvv」を付けると詳細なログが出る
ssh公開鍵の登録 †
現在のnameserverを取得 †
/etc/resolv.confのnameserverの値を参照したい。
- v1.9.4 未対応。
- /usr/lib/python2.6/site-packages/ansible/module_utils/facts.py の中にはself.get_dns_facts()は無いので未対応。
- ansible本体にはマージ済み
Ansible2.0 †
with_nested: 複数階層ループ †
- 実行結果
TASK: [give users access to multiple databases] *******************************
ok: [127.0.0.1] => (item=['alice', 'clientdb']) => {
"item": [
"alice",
"clientdb"
],
"var": {
"name=alice priv=clientdb": "name=alice priv=clientdb"
}
}
ok: [127.0.0.1] => (item=['alice', 'employeedb']) => {
"item": [
"alice",
"employeedb"
],
"var": {
"name=alice priv=employeedb": "name=alice priv=employeedb"
}
}
ok: [127.0.0.1] => (item=['bob', 'clientdb']) => {
"item": [
"bob",
"clientdb"
],
"var": {
"name=bob priv=clientdb": "name=bob priv=clientdb"
}
}
ok: [127.0.0.1] => (item=['bob', 'employeedb']) => {
"item": [
"bob",
"employeedb"
],
"var": {
"name=bob priv=employeedb": "name=bob priv=employeedb"
}
}
Prompts: ユーザ入力を待つ †
任意のsshオプションつけて実行 †
ansible.cfg内で「ssh_args = 」で任意のオプションを指定できる。
環境変数に ANSIBLE_SSH_ARGS があると、ansible.cfgよりも優先される。
拡張子を除いたファイル名の取得 †
tarball をインストールする †
- 環境
- CentOS 6.x 64bit
- ansible v1.9.4
- 例:phantomjs
- bitbucketのファイル実体はAWS S3にあるようで、リンクを踏むと「Location: https://xxxx.s3.amazonaws.com/...」のように返ってくる。しかし、unarchiveモジュールはそれをダウンロードできなかった。get_urlモジュールだとOK
- いまいちな点:/tmp/phantomjs.tar.bz2 をバージョンの判断に使っているので、残ったままになる。削除すると再ダウンロードから始まる
- roles/phantomjs/tasks/main.yml
- name: Download PhantomJS
get_url: url={{ phantomjs_url[0].url }} sha256sum={{ phantomjs_url[0].sha256sum }} dest=/tmp/phantomjs.tar.bz2 force=no
register: new_archive
tags:
- phantomjs
- name: Unarchive PhantomJS
unarchive: src=/tmp/phantomjs.tar.bz2 dest=/tmp copy=no creates=yes
when: new_archive|changed
tags:
- phantomjs
- name: Install PhantomJS
shell: cp -f /tmp/{{ phantomjs_url[0].url | basename | regex_replace('\.tar\.bz2|\.tar\.gz$', '') }}/bin/phantomjs {{ phantomjs_install_dir }}/
when: new_archive|changed
tags:
- phantomjs
registerの結果を使って複数回ループする †
pipelining=TrueでSSHが失敗する場合 †
- 「sorry, you must have a tty to run sudo」エラーで失敗する場合
- pipelining pipelining=Trueだと、高速化にはなるが、ttyが使えないと失敗する
1.9からsudoが必要な時はbecomeを使う †
root権限が必要な場合、1.9から「become: yes」が推奨。
「sudo: true」は非推奨になった。
長い行を改行する †
YAML構文を使って分割する
パフォーマンスチューニング †
- SSH
- OpenSSH 5.5以下の場合(CentOS6/openssh-5.3p1-118.1.el6_8.x86_64)
- paramikoライブラリが使用される。ansible_connectionオプションでsshを明示的に指定できる。
- record_host_keys=False にする。 record_host_keys
- OpenSSH 5.6以上(CentOS7/openssh-6.6.1p1-25.el7_2.x86_64)
- OpenSSH 6.7以降
- copyモジュールの代わりに、synchronizeモジュールを使う
- 複数ファイル時、CentOS6だとparamikoライブラリが使われ非常に遅いかタイムアウトする。
- synchronizeモジュールは、内部でrsyncを使うため数秒ですむ。
- copyモジュールと違い、ownerやgroupが変わらないので、fileモジュールで変える
- ansible.cfgでssh_argsオプションを使用している場合は、「use_ssh_args=yes」にする
validate:設定ファイル等の検証してから更新 †
- template, lineinfile, blockinfileはvalidate='command %s'で検証を行って、成功した場合(exit code=0)のみ更新する事ができる。
- sshd_configの例
validate='sshd -t -f %s'
- visudoの例
validate='visudo -cf %s'
- phpの例
alidate='php -l %s'
error while evaluating conditional †
- 変数が未定義の場合でも出る
- 例:libselinux-python がインストールされていない場合
- -m setupの結果
"ansible_selinux": false
- when: ansible_selinux.status == "disabled" の部分で発生する
yum groupinstall相当 †
Extras Modulesを使う †
- 独自ライブラリの指定はいくつかある
- playbook.ymlと同じ階層に library ディレクトリを作成する
- export ANSIBLE_LIBRARY=...
- --module-path=...
sshで繋がずlocalで実行 †
パッケージがインストール済みかのチェック †
- rpmコマンドを使うと「[WARNING]: Consider using yum, dnf or zypper module rather than running rpm」が出るので、「warn: no」で無視している。
変更扱いにしない †
handlers †
- whenの条件に注意。サービスを止めたままにしたくとも、notifyが発生するとhandlerが実行されるため、設定ファイルが書き換わった場合など、予期せずサービスが起動する事がある。そのため変数(例:iptables_state)を用意して条件に入れておく。
roles †
- rolesではtagsオプションでrole内のタグを上書きできる。指定のタグのみ実行するものでは無い。
依存関係 †
自作モジュール †
Developing Modules — Ansible Documentation
コマンドのjson出力を変数として取り込む †
環境変数の指定 †
コマンドの実行 †
local_action: localhostで実行する †
- --sudo を付けて実行した場合、local_action の結果もrootユーザで実行した事になる
- 例えば実行時のユーザの設定ファイル(/home/user01/.aws/config) を参照するが、--sudoを付けたい場合に問題が起きる。/root/.aws/configを探そうとする
- playbook.yml
- hosts: 127.0.0.1
gather_facts: False
tasks:
- name: pwd
local_action: shell echo $HOME
register: result
- debug: var=result.stdout
- --sudo を付けて実行した場合
ansible-playbook -i hosts.ini -l localhost --sudo playbook.yml
...
TASK: [debug var=result.stdout] ***********************************************
ok: [127.0.0.1] => {
"result.stdout": "/root"
}
SELinux †
- 標準で selinux モジュールがある
- state=disabledに設定後、getenforceすると"Enforcing(有効)"だった。 (ansible-1.7-1.el6.noarchで確認)
- "setenforce 0" するか、再起動する必要があった
target uses selinux but python bindings (libselinux-python) aren't installed! †
- /etc/hostsを変更しようとしたところ以下のエラーが出た
msg: Aborting, target uses selinux but python bindings (libselinux-python) aren't installed!
- 対象ホストにログインしてSElinuxを確認すると Permissive だった
getenforce
Permissive
- CentOS 6/7: libselinux-pythonをインストール後、正常に動作した
sudo yum install libselinux-python -y
- Ubuntu
sudo apt install python-selinux
split: 文字列の分割 †
- ansible-1.7-1.el6.noarch
- test.yml
- hosts: 127.0.0.1
gather_facts: False
vars:
keys: ""
tasks:
- name: split
debug: var="{{ item }}"
with_items: "{{ keys.split(',') }}"
- 実行
ansible-playbook -i hosts.ini test.yaml --extra-vars 'pub_keys=aaa,bbb,ccc'
TASK: [split] *****************************************************************
ok: [127.0.0.1] => (item=aaa) => {
"aaa": "{{ aaa }}",
"item": "aaa"
}
ok: [127.0.0.1] => (item=bbb) => {
"bbb": "{{ bbb }}",
"item": "bbb"
}
ok: [127.0.0.1] => (item=ccc) => {
"ccc": "{{ ccc }}",
"item": "ccc"
}
ansible galaxy †
Ansible Galaxyへ登録 †
- 例: lirc roleを作成。
ansible-galaxy init lirc
--check時に挙動を変更する †
以下のように、shell: の結果を元に判定するような場合、「--check」では、チェックtaskが実行されないため、エラーとなるのを回避する。
ansible-playbookオプション †
- --check: dry-runモード
- --diff: 変更点を表示。--checkと同時に指定すると良い
- -v: verbose mode, 例えばcommandが成功した時のログは通常でてこないが、このオプションを付けると見える
- e, --extra-vars 'var1=val1 var2=val2': 変数名と値をコマンドラインから渡す。vars_promptの変数名を指定すれば、promptの表示が無くなるため便利
Windowsの操作 †
ファイル/ディレクトリのコピー †
実行順序 †
- 基本的には上から下だが、pre_tasks > roles > tasks > handlers > post_tasks 順序で実行される
- ホストが複数ある場合は、1タスクをすべてのホストに実行してから、次のタスクへ。
- 全てのホストで失敗した場合、中断する
- 例: ansible 1.9.4
- hosts.ini
[web]
web01.example.com
web02.example.com
- test.yml
- hosts: web
gather_facts: True
vars:
pre_tasks:
- debug: msg="pre_tasks01"
roles:
- role01
tasks:
- name: task01
file: path=/tmp/task01 state=touch
notify: handler01
handlers:
- name: handler01
debug: msg="handler01"
post_tasks:
- debug: msg="post_tasks01"
- 実行
ansible-playbook -i hosts.ini test.yml
...
TASK: [debug msg="pre_tasks01"] ***********************************************
ok: [web01.example.com] => {
"msg": "pre_tasks01"
}
ok: [web02.example.com] => {
"msg": "pre_tasks01"
}
TASK: [role01 | debug msg="role01"] *******************************************
ok: [web02.example.com] => {
"msg": "role01"
}
ok: [web01.example.com] => {
"msg": "role01"
}
TASK: [task01] ****************************************************************
changed: [web02.example.com]
changed: [web01.example.com]
NOTIFIED: [handler01] *********************************************************
ok: [web01.example.com] => {
"msg": "handler01"
}
ok: [web02.example.com] => {
"msg": "handler01"
}
TASK: [debug msg="post_tasks01"] **********************************************
ok: [web01.example.com] => {
"msg": "post_tasks01"
}
ok: [web02.example.com] => {
"msg": "post_tasks01"
}
PLAY RECAP ********************************************************************
web01.example.com : ok=6 changed=1 unreachable=0 failed=0
web02.example.com : ok=6 changed=1 unreachable=0 failed=0
Validation †
ファイル/ディレクトリの存在チェック †
- ローカルマシン上のチェックは "local_action: stat path=/tmp/test.log" のようにする
変数が未定義、空のチェック †
if †
Module モジュール †
file †
Conditionals 条件分岐 †
- 変数が未定義の場合: var1 is not defined
- 変数が空("")の場合: var1 == None
- 'yes', 'no', 'True', 'False'をbool値として比較したい場合
when: is_enabled|bool
- result変数の中に「str1」文字が含まれるかのチェック。否定は「not in」
when: '"str1" in result'
Error Handling エラーハンドリング †
- デフォルト(v1.7.1)では、同じコマンドが全てのホストで失敗した場合に停止するようだ
- failed_when: コマンドが失敗した時に何かする
新規ファイルを作る †
Magic Variables マジック変数 †
- Magic Variables
- 定義済み変数
- varsも参照できる
- gather_facts: Falseでも参照できる
- group_names: ホストが所属するグループ一覧
- groups: グループとホスト
- inventory_hostname: インベントリに書かれたホスト名
- inventory_hostname_short: inventory_hostnameの初めの"."まで
- play_hosts: Playbook対象のホスト
- inventory_dir: インベントリ(hosts.ini)のディレクトリ
- inventory_file: インベントリ(hosts.ini)のフルパス
Variables 変数 †
- group_varsやhost_varsはグループ名やホスト名のディレクトリを作って、それ以下に複数のymlを入れると全て読み込む。長いymlを分割したい場合に便利
- group_vars/web/var1.yml
- host_vars/web01/var1.yml
- 結合した後にフィルタ
"{{ ('/etc/sysconfig/network-scripts/ifcfg-' + item) | dirname }}"
- フィルターが使える。例: test.yml
- hosts: 127.0.0.1
gather_facts: False
vars:
test_list: [ aaa, bbb, ccc ]
test_path: /tmp/parent1/child1/child2/test.txt
tasks:
- name: join
debug: var="{{ test_list | join(' ') }}"
- name: basename
debug: var={{ test_path | basename }}
- name: dirname
debug: var={{ test_path | dirname }}
- name: expanduser
debug: var={{ '~/test' | expanduser }}
- var1: 0010 と定義すると先頭の0が省略され "10"になる。文字列として解釈させるには var1: "0010" とする必要がある
- roleにデフォルト変数を設定する時は、varsではなく、defaultsを使った方が良い。varsだと、group_varsより優先度が高いため、varsの値が優先される。
- roles/x/defaults/main.yml
x_val1: default1
長い変数の分割 †
- Memo/yaml参照。アンカー/エイリアスを使う
- 1 yamlファイル内のみ。複数のyamlファイルに分割すると使えなかった。(ansible 2.5.3)
変数の動的参照 †
ある変数を元に別の変数を参照したい場合。
eval()のような使い方 †
TASK [debug] **********************************
ok: [localhost] => {
"changed": false,
"hash1": {
"key1": [
"aaa",
"bbb",
"ccc"
]
}
}
TASK [debug] ***********************************
ok: [localhost] => {
"changed": false,
"msg": [
"aaa",
"bbb",
"ccc"
]
}
変数のマージ †
- array型はマージできない
common: &_common
- aaa
- bbb
development: *_common # 成功
development: *_common &_development # エラー。&_developmentアンカーが使えなくて困る
&_development: *_common # null
development: &_allow_login_full_admin
- <<: *_common # エラー
<<: *_common # エラー
<<: *_common # エラー
development: &_allow_login_full_admin
- *_common # 成功だが [ [ aaa, bbb ] ] になる
development: &_allow_login_full_admin [ *_common ] # 上と同じ
hash変数のマージ †
hash型変数の場合、通常はreplaceなので全て置き換わる。
hash内の一部だけ変えたい(マージ)場合、ansible.cfgで「hash_behaviour = merge」にする必要がある。
- web.yml
example_conf:
var1: hoge
- playbookの実行結果: デフォルトは「hash_behaviour = replace」なので「var2」が消える。
特定ユーザだけリモートsshからsudoできるように †
デフォルトではttyなしのsshでは、sudoできないように設定されている場合が多い。
ping moduleで接続テスト †
多段ssh環境で実行 †
接続にsshを使うようにし、ssh側で多段設定をする。
ホストの接続には名前を使う。DNSは付けなくても良い。
- 多段sshは以下のように設定済みで、client.hostから直接sshでother.hostへ接続できるものとする。
- client.hostから other.host にコマンドを実行させたい場合
- CentOS 6.x, ansible 1.9.4
- 環境変数に ANSIBLE_SSH_ARGS="-F $HOME/.ssh/config" があると、ansible.cfgよりも優先されるので「unset ANSIBLE_SSH_ARGS」で無効にしておく
- カレントディレクトリに ansible.cfg を用意
vim ansible.cfg
----
[defaults]
[ssh_connection]
ansible_connection = ssh
control_path = %(directory)s/%%h-%%r
ssh_args = -F ssh_config
----
- ssh_config
Host *
StrictHostKeyChecking=no
UserKnownHostsFile=/dev/null
LogLevel ERROR
ForwardAgent yes
Host gateway.host
HostName 192.168.1.10
User gw_user
IdentityFile ~/.ssh/id_rsa
ProxyCommand none
Host other.host
HostName 192.168.1.11
User other_user
IdentityFile /.ssh/id_rsa
ProxyCommand ssh -F ssh_config -W %h:%p gateway.host
- sshコマンドで接続確認
ssh -F ssh_config other.host
- ansible pingで接続確認
ansible hosts.ini -m ping other.host
- ssh-agentで秘密鍵を複数登録できる。その場合はssh_config「IdentityFile?」の指定は不要になる。
ssh-agent bash
ssh-add ~/.ssh/id_rsa
複数サーバのrpmバージョンの調査と更新 †
- 例: bashのバージョン調査と更新
- 調査
ansible -i stg.hosts -m shell -a 'rpm -qv bash' stg
stg-web-01.example.com | success | rc=0 >>
bash-4.1.2-9.el6_2.x86_64
stg-web-02.example.com | success | rc=0 >>
bash-4.1.2-15.el6_5.2.x86_64
- 更新
ansible --sudo -i stg.hosts -m shell -a 'yum -y update bash' stg
YAML中でコロン(:)を入れると Syntax Error †
YAML中で"foo: bar"の文字列だとSyntax Errorが発生する。"foo:bar"は問題ない。
- ansible 1.9.4
- colon.yml
- hosts: 127.0.0.1
vars:
colon: ':'
tasks:
# - debug: msg="foo: bar" # Syntax Error
- debug: msg="foo:bar" # OK
- debug: msg="foo{{ colon }} bar" # OK
- debug: msg="foo"":"" bar" # OK(1.9) / NG(2.0)
- debug: msg="foo{{':'}} bar" # OK(1.9) / OK(2.0)
- 実行
ansible-playbook colon.yml
TASK: [debug msg="foo:bar"] ***************************************************
ok: [127.0.0.1] => {
"msg": "foo:bar"
}
TASK: [debug msg="foo{{ colon }} bar"] ****************************************
ok: [127.0.0.1] => {
"msg": "foo: bar"
}
TASK: [debug msg="foo"":"" bar"] **********************************************
ok: [127.0.0.1] => {
"msg": "foo\"\":\"\" bar"
}
TASK: [debug msg="foo: bar"] **************************************************
ok: [127.0.0.1] => {
"msg": "foo: bar"
}
debug : デバッグメッセージの出力 †
- 記事
- コマンド実行結果をdebugモジュールで表示する場合、改行が\nに置換されて、1行表示になるため見難い。「result.stdout_lines」だと改行がそのままなので見やすい。
tags : タグを付けて実行するタスクを指定する †
- tags.yml
- hosts: 127.0.0.1
tasks:
- name: job1
debug: msg="job1"
tags:
- job1
- name: job2
debug: msg="job2"
tags:
- job2
- name: job2
debug: msg="job3"
tags:
- job3
- 実行
# job1, job2だけ実行
ansible-playbook -t job1,job2 tags.yml
# job2 以外を実行
ansible-playbook --skip-tags job2 tags.yml
特別なタグ †
例えばpre_task:でチェック処理をしている場合、-t でタグ指定した場合実行されない。
Inventory ファイル †
- コメント行は、行頭 '#'
- ホスト名単体、グループ名をコマンドから指定できる
- ホスト名が連番の場合は [01:50], [a:f] 等指定できる
- 実行時には web* 等のワイルドカードも使える
ホストを指定して実行 †
- Patterns Ansible Documentation
- すべて
ansible -i hosts.ini -m ping all
- 複数のグループ指定。':'区切りで複数指定
ansible -i hosts.ini -m ping webservers:dbservers
- webserversグループのweb03だけ除外
ansible -i hosts.ini -m ping webservers:\!web03
IPアドレスに名前を付ける †
- DNSを付けていなくとも名前でアクセスできるようになる
vim hosts.ini
----
[web]
web01 ansible_ssh_host=192.168.61.101
----
ansible -i hosts.ini -m ping web01
グループ毎に異なる変数を使う †
ホストのグループ化 †
- [prod:children] のように ":children"を付ける
- hosts
[stg:children]
stg_web
stg_DB
[prod:children]
prod_web
prod_db
[stg_web]
stg_web_01
[stg_DB]
stg_db_01
[prod_web]
prod_web_01
[prod_db]
prod_db_01
- stg_web_01 ホスト単体にコマンドを実行
ansible stg_web_01 -i hosts -m shell -a 'uname -a'
- stg_webグループにコマンドを実行
ansible stg_web -i hosts -m shell -a 'uname -a'
- prodグループにplaybookを実行
ansible-playbook -l prod -i hosts playbook.yml
- ワイルドカードで指定
ansible-playbook *_web_01 -i hosts playbook.yml
実行条件を指定する †
- ディストリビューション毎にインストール方法を指定する(ansible_os_family, ansible_distribution)
tasks:
# OSファミリー毎に指定
- include: RedHat.yml
when: ansible_os_family in [ "RedHat" ]
- include: Debian.yml
when: ansible_os_family in [ "Debian" ]
# ディストリビューション毎に指定
- yum: name={{ item }} state=installed
with_items:
- ntp
when: ansible_distribution in [ 'CentOS', 'Red Hat Enterprise Linux' ]
- apt: name={{ item }} state=installed
with_items:
- ntp
when: ansible_distribution in [ 'Debian', 'Ubuntu' ]
- service: name=ntpd state=started enabled=yes
Vault: 変数のyamlファイルを暗号化 †
- 暗号化
ansible-vault encrypt foo.yml bar.yml baz.yml
- 複合化
ansible-vault decrypt foo.yml bar.yml baz.yml
- playbookから実行する場合に、パスワードを聞く
ansible-playbook site.yml --ask-vault-pass
特定行のコメントアウト †
fact : 環境の情報を取得 †
環境の情報を取得してansibleで利用できる。
puppetだとfacterに相当。facterが入っているとその値も取ってくるようだ。
- 127.0.0.1 を指定した例。JSON形式で取得できる
ansible -m setup localhost
127.0.0.1 | success >> {
"ansible_facts": {
"ansible_all_ipv4_addresses": [
"192.168.61.128"
],
"ansible_all_ipv6_addresses": [],
"ansible_architecture": "x86_64",
"ansible_bios_date": "07/02/2012",
"ansible_bios_version": "6.00",
"ansible_cmdline": {
...
![[PukiWiki]](image/owl.png "[PukiWiki]")
