Memo/Ansible

Ansible

Ansible †

http://www.ansible.com/home 公式
- Installation — Ansible Documentation インストール方法
- Best Practices Ansible Documentation ベストプラクティス
- Ansible Porting Guides — Ansible Documentation バージョン変更時の仕様変更点
- python製、サーバ構成管理ソフト。yamlに書くタイプ
- クライアントにSSHでログインできる環境であれば使える
- AWS EC2インスタンス起動もできる
- クライアント側の動作は"module"として定義。指定された入出力形式であればpython以外でも書ける
- どのサーバにmoduleを使うかなどの動作をまとめたものを "play book" と定義。yamlで書く

[EN] Ansible Code Conventions
- [JA] Ansible コーディング規約の例

記事

同様のツール
- Memo/Terraform
- Memo/Fabric

書籍

入門Ansibleを出版しましたそこはかとなく書くよん。サンプルPDFあり

↑

slurp: remoteにあるファイルを読む †

slurp – Slurps a file from remote nodes — Ansible Documentation
- remote上のファイルをbase64エンコードした状態で、変数に登録できる

localのファイルを読むにはMemo/Ansible/Lookups

例：複数のjava propertiesを読む

playbook.example.remote-props.yml

ansible-playbook -i hosts.ini playbook.example.remote-props.yml -e debug=1 -c local
...
TASK [debug] *****************************************************************************************************************************************
ok: [127.0.0.1] => {
    "props": [
        {
            "host": "localhost",
            "password": "test12345",
            "user": "test"
        },
        {
            "host": "localhost",
            "password": "test2-12345",
            "user": "test2"
        }
    ]
}

例: key=valueのconfファイルを読む。重複している項目は unique で統一している

playbook.example.remote-conf.yml

ansible-playbook -i hosts.ini playbook.example.remote-conf.yml -e debug=1 -c local
...
TASK [debug] *****************************************************************************************************************************************
ok: [127.0.0.1] => {
    "db_hosts": [
        {
            "host": "localhost",
            "password": "test12345",
            "user": "test"
        },
        {
            "host": "localhost2",
            "password": "test2-12345",
            "user": "test2"
        }
    ]
}

↑

デバッグ方法 †

Debugging tasks — Ansible Documentation

「debug: msg=」でデバッグ用メッセージを出す
「-t tag」で該当部分だけ実行する
「ANSIBLE_DEBUG=True ansible-playbook ...」でデバッグログを出力する
start および step — Ansible Documentation
- --start-at-task, --stepでステップ実行

記事
- [Ansible] 「つまずき Ansible 【Part11】トラブルシューティング手法を試す」ふりかえり - てくなべ (tekunabe)

↑

実行結果をログに残す †

ANSIBLE_LOG_PATH

ANSIBLE_LOG_PATH=ansible.log ansible-playbook -i hosts playbook.yml

ansible.cfg の log_path に追加
```
[defaults]
log_path=ansible.log
```

↑

synchronize: rsyncでファイルコピー †

ansible.posix.synchronize – A wrapper around rsync to make common tasks in your playbooks quick and easy — Ansible Documentation
- rsyncを使うため、copy moduleに較べて早い。
- 元ファイルのuser, group, mode, timeがオプションによって変わるので注意。
- 例えばmacOS上で属性を維持して実行すると、macOSの実行user, group, modeがlinuxにコピーされるため変になる。
- ansible 2.3のdocではデフォルトで属性は維持しないになっているが、実際は属性がコピーされるため注意。
- 「checksum: yes」を付けると差分がでなくなる。

記事
- Ansible の synchronize で不必要に changed になるのを防止+α - ngyukiの日記

↑

copy moduleのcontentで改行が消える。 †

Issue: copy module contents parameter does not allow for newline chars · Issue #6077 · ansible/ansible
- 書き方によってto_nice_jsonを指定しても改行が消える。スペースを入れる場所によっても挙動が変わる
- content: " {{ ...}}" 改行が残る
- content: "{{ ...}} " 改行が消える。

ansible 2.9.6

playbook.test.yml

- hosts: localhost
  connection: local
  vars:
    var1:
    - key: key1
      val: val1
    var2: "{{ var1 | to_nice_json(indent=2) }}"
  tasks:
  - copy:
      content: "{{ var1 | to_nice_json(indent=2) }}"
      dest: /tmp/example1.json
  - copy:
      content: "{{ var2 }}"
      dest: /tmp/example2.json

実行結果

cat /tmp/example1.json
[
  {
    "key": "key1",
    "val": "val1"
  }
]

cat /tmp/example2.json
[{"key": "key1", "val": "val1"}]

↑

コマンドの存在チェック †

whichはコマンド、typeはbash組み込みコマンドなので、環境に依存しない方法としてはtypeが良さそう

  - name: check if java is exists
    shell: type java
    register: result
    changed_when: no
    ignore_errors: yes

  - debug: msg="command is not exists"
    when: result is failed

記事
- Bashでコマンドの存在チェックはwhichよりhashの方が良いかも→いやtypeが最強→command -vも - Qiita

↑

ネットワーク機器の管理 †

Network modules — Ansible Documentation
- Cisco(iOS), F5(bigip)等のメジャーな機器は専用のmoduleがあり、より簡単に使える。
- マイナーな機器はssh/telnet module等で扱う事もできる。

YAMAHA RTXシリーズ。公式ansible module, docがある
- Ansibleによる運用自動化について - YAMAHA

networktocode/ntc-ansible: Multi-vendor network modules
- 一つのmoduleでマルチベンダー対応
- Supported Platforms | netmiko サポートプラットフォーム
- Ansibleのntc-ansibleモジュール群まとめ (①概要、セットアップ編) - Qiita

telnet接続を使う。暗号化されていないので、sshが望ましい。
- Ansible telnetモジュールでYamahaルータを操作 - Qiita

↑

terraform.tfstateの値を参照 †

katapultcloud/ansible_fetch_terraform_backend_outputs: Ansible module that pulls output dictionary from Terraform tfstate files from s3 backend.
- ansible v2.8.7: エラーは無いがvarsが空になった。うまく動作しない？
```
mkdir library
wget -s -O library/fetch_terraform_backend_outputs.py https://raw.githubusercontent.com/katapultcloud/ansible_fetch_terraform_backend_outputs/master/fetch_terraform_backend_outputs.py
```

↑

default値を定義する †

メジャーバージョン毎にデフォルト値が大きく変わる場合。
group_vars/以下で値をコントロールしたい。
"{{ var1 | default(omit) }}" では、var1が未定議の場合、何もしない。

group_vars/example.yml

example_major_version: 1
example_param01: example-value01

roles/example/defaults/main.yml

example_major_version: 1
# example_param01: # コメントアウトしないと、template内でvars/以下の値が使われない

roles/example/tasks/main.yml

- include_vars: "major_version1{{ example_major_version }}.yml"

roles/puppet/vars/major_version1.yml
```
example_default_param01: 1
```

roles/puppet/templates/example.conf

param01 = "{{ example_param01 | default(example_default_param01) }}"

↑

トレーニング/サンプル †

ansible/workshops: Training Course for Ansible Automation

↑

デフォルトの検索パス †

Search paths in Ansible — Ansible Documentation
role search path is rolename/{files|vars|templates}/, rolename/tasks/.

play search path is playdir/{files|vars|templates}/, playdir/.

ansible 2.7.6で検証

以下の設定では、rolesの方が使われてしまう。解決方法はどちらかのパスやファイル名を変える。

# ./foo.txt をrolesのtemplateに上書きしたい。

# group_vars/all.yaml
file1_path: ./foo.txt

# roles/example/defaults/main.yml
file1_path: foo.txt

↑

vars_prompt, vars_files, --extra-vars で配列等を渡す †

Using Variables — Ansible Documentation
- jsonで渡せる

playbook.yml

- hosts: localhost
  connection: local
  become: no
  gather_facts: no
  tasks:
  - debug: var=test_list

配列としてtest_list: ["a", "b", "c"] を渡す

ansible-playbook playbook.yml -e '{"test_list": ["a","b","c"]}'
...
TASK [debug] ****************************************************************************************************************************************************************************
ok: [localhost] => {
    "test_list": [
        "a", 
        "b", 
        "c"
    ]
}

↑

構文チェック †

playbook: playbook.ymlのみの構文チェックを行う。group_vars/やhost_vars/に構文エラーがあってもチェックしない。
```
ansible-playbook playbook.yml --syntax-check
```

↑

patch: パッチを適用する †

patch – Apply patch files using the GNU patch tool — Ansible Documentation
- src: にはlocalのpatchファイルを指定する。

patchファイルの作成

diff -up <file.org> <file> > v0.1.patch

# git diffでもok
git diff origin/master > master-v0.1.patch

↑

WSL環境 †

DrvFs上に control_pathを設定すると「muxclient: master hello exchange failed」で失敗する。VolFs上のパスを使う。
- Memo/Windows/10/WSL#scbb6805

記事
- [小ネタ] WSL上でAnsibleを使う際にハマったこと｜ DevelopersIO

↑

parse_cli/parse_cli_textfsm: コマンドの結果を解析して変数に取り込む †

JSONで出力できないコマンドの結果を解析して、変数に変換してくれる。
解析用テンプレートを用意するが、メジャーな機器用のテンプレートは既にある。

Network CLI filters
- ansible 2.4以降

テンプレート
- ntc-templates/templates at master · networktocode/ntc-templates

記事
- ネットワーク機器のコマンド結果をパースする parse_cli_textfsm フィルタープラグインを試す (Ansible 2.4新機能) - てくなべ (tekunabe)

↑

local実行時のlocal userの取得 †

factで取得できる値にlocal userは無し

ansible -i hosts.ini -m setup <remote-host>
...
       "ansible_env": {
...
            "USER": "/home/remote-user01", 
...
        "ansible_user_id": "remote-user01", 
...
        "ansible_user_uid": 1000,

envからUSERを取得し、1回だけtmpディレクトリを作成。「run_once: true」で複数台のホストに実行した場合でも、1回だけ実行される。

- set_fact:
    local_user_id: "{{ lookup('env','USER') }}"

- name: create tmp dir
  local_action: file path="/tmp/ansible-tmp" state=directory owner="{{ local_user_id }}"
  become: false
  run_once: true

「whoami」コマンドでuser取得

「id」コマンドでuid,gid,groups等取得できる

↑

Terraformとの連携 †

Memo/TerraformでAWS EC2を起動して、ansible-playbookを実行したい時など。

記事
- TerraformInventory で、TerrafromとAnsibleを2コマンドで連携させる – サーバーワークスエンジニアブログ

↑

apt: Debian/Ubuntu等のパッケージ管理 †

apt - Manages apt-packages — Ansible Documentation
新しいrepoを追加したり、現在のバージョンが古い時にキャッシュの更新が必要。ただループで毎回更新は遅くなるので有効期限を追加

  apt:
    name: "{{ apt_packages  }}"
    state: "{{ item.state }}"
    update_cache: yes
    cache_valid_time: 3600

↑

vars_promptでカンマ区切り文字列を配列に展開する †

playbook: カンマ前後に空白が入力されても良いように、trimを使う

- hosts:
  - localhost
  become: False
  gather_facts: False
  connection: local
  vars_prompt:
  - name: "csv_str"
    prompt: "Please enter csv"
    private: no
  tasks:
  - set_fact:
      csv_array: "{{ csv_str.split(',')  }}"
  - debug: msg="{{ item | trim }}"
    with_items: "{{ csv_array }}"

実行結果: ansible 2.4.2.0

ansible-playbook playbook.yml
Please enter csv: aaa, bbb 

ok: [localhost] => (item=aaa) => {
    "changed": false, 
    "item": "aaa", 
    "msg": "aaa"
}

ok: [localhost] => (item= bbb ) => {
    "changed": false, 
    "item": " bbb ", 
    "msg": "bbb"
}

↑

includeの代わりにimport_tasks, include_tasksを使う †

ansible 2.4.2.0でincludeを使った場合の警告。静的と動的で明示的に分けて記述するように。

[DEPRECATION WARNING]: The use of 'include' for tasks has been deprecated. Use 'import_tasks' for static inclusions or 'include_tasks' for 
dynamic inclusions. This feature will be removed in a future release. Deprecation warnings can be disabled by setting deprecation_warnings=False 
in ansible.cfg.

Including and Importing — Ansible Documentation

import_tasks
- 静的なinclude。実行前に評価される。

include_tasks
- 動的なinclude。実行時に評価される
- includeのファイル名に変数を含む場合
- include時に変数を用いてloopする場合
- handlerにはnotifyできない
- list-tags で出力されない
- list-tasks で出力されない

記事
- AnsibleのDynamic IncludeとStatic Include - Qiita

↑

pause: 指定した秒/分だけ待つ、中断や続行を選択 †

pause - Pause playbook execution — Ansible Documentation
- 「Pausing for XX seconds」を表示して待機する。待機中にCTRL+Cで、「C」:続行、「A」:中断できる

playbook.yml

- hosts: all
  gather_facts: false
  become: no
  vars:
  - pause_seconds: 0
  tasks:
  - ping:
  - pause:
      seconds: "{{ pause_seconds }}"
    when: pause_seconds|int > 0

実行結果: 60秒待機する

time ansible-playbook -i test/hosts.ini -l localhost playbook.ping.yml -e 'pause_seconds=60'
...
TASK [ping] ***************************************************************************************************************************************
ok: [localhost]

TASK [pause] **************************************************************************************************************************************
Pausing for 60 seconds
(ctrl+C then 'C' = continue early, ctrl+C then 'A' = abort)
ok: [localhost]
PLAY RECAP ****************************************************************************************************************************************
localhost                  : ok=2    changed=0    unreachable=0    failed=0

real    1m7.318s
user    0m4.149s
sys     0m0.548s

↑

yum_repository: yumリポジトリの追加/削除 †

yum_repository - Add or remove YUM repositories — Ansible Documentation
- 1ファイル、1セクション。1ファイル、複数セクションどちらも作成できる
- /etc/yum.repos.d/external_repos.repo から [epel] セクションを消す

- name: Remove repository from a specific repo file
  yum_repository:
    name: epel
    file: external_repos
    state: absent

↑

include_role: role内の別taskをloadする †

tasks/main.yml とは別のyamlをloadできる。 tasksを分割して、普段は実行されない処理を分けられる。

include_role - Load and execute a role — Ansible Documentation
- meta/ に書いてある依存関係のroleは実行される

↑

テキストの置換 †

正規表現は7.2. re — 正規表現操作 — Python 2.7.14 ドキュメント

blockinfile - Insert/update/remove a text block surrounded by marker lines. — Ansible Documentation
- ansible 2.0以降
- ブロック単位
- maker変更は必須。デフォルトでは同一ファイルに対して、複数使ったときに重複するのでユニークになるようにする。
```
  marker: "# {mark} ANSIBLE MANAGED BLOCK raspi-config"
```

lineinfile - Ensure a particular line is in a file, or replace an existing line using a back-referenced regular expression. — Ansible Documentation
- 行単位
- 行の置換: 正規表現で複雑な置換が可能(regexp + line + state=present)
- 行の追加: lineオプションだけ指定
- 行の削除: (regexp + state=absent)
- 1ファイルで該当箇所が複数あると難しい
- コメントアウト/イン等の指定も出来る

replace - Replace all instances of a particular string in a file using a back-referenced regular expression. — Ansible Documentation
- ansible 1.6以降
- 行単位
- 1ファイルで複数箇所の置換可能
- 正規表現が使えるが、複雑な指定はできない

remove_host変数にマッチした行を削除

  - name: Remove the IP address
    replace:
      path: "{{ item }}"
      regexp: '^.*{{ remove_host }}.*[\r\n]+'
    with_items:
    - /etc/hosts.deny

↑

ansible-container: docker imageの作成 †

記事
- Ansible Containerで始めるAnsibleからのコンテナ作成(v0.9.0対応) - Qiita
- AnsibleでDocker Image作るときのあれこれ - hatappiのブログ

↑

dockerの操作 †

Docker - Cloud Modules
- リモートホストにインストールされたdockerを扱う。コンテナ内の構築は別。
- リモートホスト上の準備
```
sudo pip install docker-py docker-compose
```

Getting Started with Docker — Ansible Documentation

記事
- Ansible 2.0の新機能 Docker Connection Pluginを使ってDockerコンテナの構成管理をしてみた｜ Developers.IO
- CentOS7にDockerをインストールし、TCP経由でAPIを利用できるようにする - re:inventing the wheel

課題
- remote host上のdockerコンテナ内にansible roleを適用したいがコンテナの接続に失敗する。「connection: docker」だけでは「docker command not found in PATH」が出るので、localhostのdockerコマンドを実行しようとしている

↑

playbook中に再起動 †

サンプルコードはいくつもあるが、うまく動作しない

Reboot and Wait for · Issue #14413 · ansible/ansible · GitHub
- ansible 2.3.1.0 + Raspbian 8では、「wait for SSH port down」でタイムアウトし失敗。
- 「port down」をコメントアウトしても、「port up」で成功になり、pingで失敗する。stateがうまく機能していない可能性

playbook.reboot.yml

hosts: all
  become: True
  gather_facts: True
  tasks:
    - name: debug
      debug:
        msg: "ansible_host={{ ansible_host }}"
    - name: test connection (before reboot)
      ping:
    - name: reboot
      shell: sleep 2 && shutdown -r now "Ansible reboot"
      async: 1
      poll: 0
      ignore_errors: "{{ ansible_check_mode }}"
    - name: wait for SSH port down
      wait_for:
        host: "{{ ansible_host }}"
        port: 22
        state: stopped
        delay: 1
        timeout: 60
      delegate_to: 127.0.0.1
      become: no
    - name: wait for SSH port up
      wait_for:
        host: "{{ ansible_host }}"
        port: 22
        state: started
        delay: 30
        timeout: 300
      delegate_to: 127.0.0.1
      become: no
    - name: test connection (after reboot)
      ping:

↑

block: 複数のタスクのブロック化 †

Blocks ― Ansible Documentation
- ansible 2.0以降で使える
- 複数のタスクに同じtagを付ける、whenでの分岐、エラーハンドリング(例外処理)等に使える

↑

factの再取得 †

「setup」の再実行で良い動的にNICを追加した後に、factにも反映させたい場合など。

CentOS 7

  tasks:
    - debug: var=ansible_interfaces
    - yum: name=docker
    - setup:
    - debug: var=ansible_interfaces

↑

group_by: 動的にgroupを変更する †

例えば「connection: local」だが、複数の「group_vars/env.yml」を環境毎に切り替えたい時に使える。
指定したgroup_vars内の変数が参照できるようになる。

group_by - Create Ansible groups based on facts — Ansible Documentation

  vars_prompt:
    - name: "inventory_group"
      prompt: "Please enter inventory_group"
      private: no

  tasks:
    - group_by: key="{{ inventory_group }}"
      changed_when: False

↑

assemble: 複数の設定ファイルから一つの設定を作る †

assemble - Assembles a configuration file from fragments ― Ansible Documentation

/etc/app/conf.d/*.conf から /etc/app.conf を作成する
アプリがconf.d/形式をサポートしていない場合に使う

↑

uri: HTTPリクエストの送信 †

uri - Interacts with webservices — Ansible Documentation
curlコマンドの代わりに使える。curlをshell moduelで実行すると、以下の警告が出る。
```
[WARNING]: Consider using get_url or uri module rather than running curl
```

↑

jenkinsからansibleの実行 †

Ansible Plugin - Jenkins - Jenkins Wiki

↑

no_log: ログを出力しない †

「-v」オプションを付けたときにもパスワード等はコンソールに表示したくない場合等。

How do I keep secret data in my playbook?
複雑な変数をwith_itemで処理するとき、全て表示したくない場合
set_factで表示したい変数だけwith_itemsで作る時にも使える
- ログの表示: コマンドオプションに「-e 'show_log=true'」
- playbook.yml

  vars:
    - show_log: false
  tasks:
    - debug: msg="{{ item }}"
      with_items: "{{ huge_var }}"
      no_log: "{{ not show_log|bool }}"

↑

fetch: リモートファイルをローカルにコピー †

fetch - Fetches a file from remote nodes — Ansible Documentation

複数のリモートホストから、ローカルにコピーできる。ツリー構造の維持もできる。ツリー構造が不要な場合は「flat=yes」

ansible -i hosts.ini -m fetch -a 'src=/etc/hosts dest=/tmp/backup/' web*

tree -A /tmp/backup/
/tmp/backup/
├── web01
│   └── etc
│       └── hosts
└── web02
    └── etc
        └── hosts

"msg": "unable to calculate the checksum of the remote file" の場合、接続に失敗しているので、-m ping等で確認する。

↑

expect: 対話処理の自動化 †

↑

wait_for: 処理が完了するまで待機する †

wait_for - Waits for a condition before continuing. — Ansible Documentation
- host, portを指定して、サービスが起動するまで待機する事もできる。

記事
- Ansible：さらにPlaybookをきわめる | Think IT（シンクイット）

↑

localにあるrpmファイルをインストールする †

環境：ansible 2.1.1.0
yum name=/tmp/example-1.0.0-1.rpm state=present or installedでは、rpmファイルのバージョンが変わってもインストールされない。
state=latestだと、リポジトリを検索しに行くので使えない。(yumドキュメント通り)

rpmコマンドでバージョンを取得して、異なるならばアンインストール後にインストールする

- name: Find rpm
  shell: ls -t $(find /tmp/ -type f -name example-1.0.0-1.rpm) | head -1
  register: find_result
  changed_when: false

- name: Get version of installed rpm
  shell: "rpm -q example | grep -o -P '[\\d\\.\\-]+' | head -n 1"
  register: installed_version
  changed_when: false
  ignore_errors: yes

- name: Get version of local rpm
  shell: "rpm -qp {{ find_result.stdout }} | grep -o -P '[\\d\\.\\-]+' | head -n 1"
  register: local_version
  changed_when: false
  ignore_errors: yes

- name: Uninstall package
  yum: name=example state=absent
  when:
    installed_version.rc == 0
    and local_version.rc == 0
    and installed_version.stdout != local_version.stdout

- name: Install package
  yum: name={{ find_result.stdout }} state=present
  ignore_errors: "{{ ansible_check_mode }}"

- name: Start/stop service
  service: name=example state={{ example_state }} enabled={{ example_enabled }}
  ignore_errors: "{{ ansible_check_mode }}"

↑

既存ファイルを空(サイズ0)にする †

copy - Copies files to remote locations — Ansible Documentation

/var/spool/mail/user01 を空にする

ansible -i hosts.ini -m copy -a 'content="" dest=/var/spool/mail/user01' --become localhost --check --diff
ansible -i hosts.ini -m copy -a 'content="" dest=/var/spool/mail/user01' --become localhost

↑

空ファイルの作成 †

file - Sets attributes of files — Ansible Documentation

- file:
    path: /tmp/dummy
    state: touch

lineinfile

/tmp/dummyが存在すれば、バックアップ後、空にする。ファイルが無ければ何もしない。

    - lineinfile:
        dest: /tmp/dummy
        state: absent
        regexp: "^.+$"
        line: ""
        backup: yes

「backup: yes」で「/tmp/dummy.YYYY-mm-dd@HH:MM:SS~」のようなバックアップファイルが出来る
「create: yes」を付けると、存在しなければ作成する

↑

LDAPの管理 †

ldap_users.yml

ldap_users:
- cn: user01
  dn: cn=user01,ou=users,dc=example,dc=com
  sshPublicKey: ssh-rsa ...
  description:
  - dev
  - stg
  - prod

ldapsearch, ldapmodify を使うサンプル

psagers / ansible-ldap — Bitbucket

ansible-ldap is very simple and useful — ペンギンと愉快な機械の日々
playbookと同じディレクトリに、library/ldap_entry となるように配置する
objectClass: ldapPublicKey, sshPublicKey: ... で試してみたが、OKとなるものの、登録されない
同名の属性を複数登録したい場合、description: [dev, stg, prod] のようになってしまう。

サンプル

    - name: ldapPublicKey
      ldap_entry:
        server_uri: "{{ uri }}"
        bind_dn: "{{ binddn }}"
        bind_pw: "{{ bindpw }}"
        dn: "{{ item.dn }}"
        state: present
        objectClass: ldapPublicKey
        sshPublicKey: "{{ item.sshPublicKey }}"
      with_items: "{{ ldap_users }}"

    - name: override description exactly
      ldap_attr:
        server_uri: "{{ uri }}"
        bind_dn: "{{ binddn }}"
        bind_pw: "{{ bindpw }}"
        dn: "{{ item.dn }}"
        name: description
        state: exact
        values: "{{ item.description }}"
      with_items: "{{ ldap_users }}"

↑

SSHのログからアクセスIPを列挙する †

2016-07,08月のログから、ログインしたIPを列挙

ansible -i hosts.ini -m shell -a "zgrep Accepted /var/log/secure-20160[7,8]*.gz | grep -o -P 'from ([^\s]+)' | sort | uniq -c | sort -nr" --sudo localhost

localhost | SUCCESS | rc=0 >>
     79 from 192.168.10.1
     22 from 192.168.10.128
     22 from 127.0.0.1

↑

インストール済みパッケージ一覧 †

yumモジュールではインストール済み一覧は取得できるが、一部のパッケージだけは指定できない。(nameとlistが排他指定)

playbook.yml

  tasks:
    - name: yum list installed
      yum: list=installed
      register: result
      ignore_errors: yes
      changed_when: False

    - debug: var=result

実行結果:

ok: [127.0.0.1] => {
    "result": {
        "changed": false, 
        "results": [
            {
                "arch": "x86_64", 
                "epoch": "0", 
                "name": "MAKEDEV", 
                "nevra": "0:MAKEDEV-3.24-6.el6.x86_64", 
                "release": "6.el6", 
                "repo": "installed", 
                "version": "3.24", 
                "yumstate": "installed"
            }, 
            ...

↑

ssh公開鍵の登録 †

authorized_key - Adds or removes an SSH authorized key Ansible Documentation

www01ホストのuser01に~/.ssh/id_rsa.pubを登録する

ansible -i hosts.ini -m authorized_key -a 'user=user01 key="{{lookup("file","~/.ssh/id_rsa.pub")}}" state=present' --sudo www01

↑

現在のnameserverを取得 †

/etc/resolv.confのnameserverの値を参照したい。

CentOS6.x EPEL: ansible 2.1.0.0 では以下のように取得できる。

ansible -m setup localhost
...
        "ansible_dns": {
            "nameservers": [
                "192.168.1.1"
            ], 
            "search": [
                "localdomain"
            ]
        },

v1.9.4 未対応。
- /usr/lib/python2.6/site-packages/ansible/module_utils/facts.py の中にはself.get_dns_facts()は無いので未対応。
ansible本体にはマージ済み
- Add several DNS-related facts by parsing /etc/resolv.conf #9195

↑

Ansible2.0 †

Porting Guide 1.9 => 2.0への移行ガイド

記事

↑

Prompts: ユーザ入力を待つ †

Prompts Ansible Documentation

playbook

- hosts: all
  gather_facts: False
  connection: local
  vars_prompt:
    - name: "user_name"
      prompt: "Please enter name"
      private: no
  tasks:
    - debug: var=user_name

実行

ansible-playbook -i hosts.ini test.yml
Please enter name: hoge

TASK: [debug var=user_name] *************************************************** 
ok: [localhost] => {
    "var": {
        "user_name": "hoge"
    }
}

-e "var1=value1 var2=value2" の様に実行時に値を渡せる。この場合はプロンプトは表示されない。

ansible-playbook -i hosts.ini test.yml -e "user_name=hogehoge"

TASK: [debug var=user_name] *************************************************** 
ok: [localhost] => {
    "var": {
        "user_name": "hogehoge"
    }
}

例：削除確認。"no"なら中止

  vars_prompt:
    - name: "confirm"
      prompt: "Do you really want to delete ? [yes/no]"
      private: no

  tasks:
    - name: confirm
      fail: msg="aborted"
      when: confirm != "yes"

↑

任意のsshオプションつけて実行 †

ansible.cfg内で「ssh_args = 」で任意のオプションを指定できる。
デフォルトのオプションは上書きされるため、デフォルトのオプション+追加のオプションと書いた方が良さそう。
環境変数に ANSIBLE_SSH_ARGS があると、ansible.cfgよりも優先される。

記事
- ANSIBLE_SSH_ARGS

playbookと同じディレクトリに ansible.cfg を置く。

[defaults]
forks = 5
timeout = 30
# CentOS6でparamikoを使う場合、Falseにする事で早くなる
record_host_keys = False

[ssh_connection]
ansible_connection = ssh
ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -F ssh-config
# Trueにすると高速化するが、/etc/sudoersでrequirettyをコメントアウトする必要がある
pipelining = True

↑

拡張子を除いたファイル名の取得 †

Jinja2 filters Ansible Documentation

v1.9.4で実現する。v2.0以降では「splitext 」が使える。

- debug: msg="{{ '/etc/httpd/conf/httpd.conf' | basename | regex_replace('\.conf$', '') }}" # httpd

v2.0以降

- debug: msg="{{ '/etc/httpd/httpd.conf' | basename | splitext }}" # httpd
- debug: msg="{{ '/etc/httpd/httpd.conf.j2' | basename | splitext | first }}" # httpd.conf

↑

tarball をインストールする †

環境
- CentOS 6.x 64bit
- ansible v1.9.4

例：phantomjs
- bitbucketのファイル実体はAWS S3にあるようで、リンクを踏むと「Location: https://xxxx.s3.amazonaws.com/...」のように返ってくる。しかし、unarchiveモジュールはそれをダウンロードできなかった。get_urlモジュールだとOK
- いまいちな点：/tmp/phantomjs.tar.bz2 をバージョンの判断に使っているので、残ったままになる。削除すると再ダウンロードから始まる

roles/phantomjs/defaults/main.yml

phantomjs_install_dir: /usr/local/bin
phantomjs_url:
  - url: https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-1.9.8-linux-x86_64.tar.bz2
    sha256sum: "a1d9628118e270f26c4ddd1d7f3502a93b48ede334b8585d11c1c3ae7bc7163a" # sha256sum phantomjs-1.9.8-linux-x86_64.tar.bz2

roles/phantomjs/tasks/main.yml

- name: Download PhantomJS
  get_url: url={{ phantomjs_url[0].url }} sha256sum={{ phantomjs_url[0].sha256sum }} dest=/tmp/phantomjs.tar.bz2 force=no
  register: new_archive
  tags:
    - phantomjs

- name: Unarchive PhantomJS
  unarchive: src=/tmp/phantomjs.tar.bz2 dest=/tmp copy=no creates=yes
  when: new_archive|changed
  tags:
    - phantomjs

- name: Install PhantomJS
  shell: cp -f /tmp/{{ phantomjs_url[0].url | basename | regex_replace('\.tar\.bz2|\.tar\.gz$', '') }}/bin/phantomjs {{ phantomjs_install_dir }}/
  when: new_archive|changed
  tags:
    - phantomjs

↑

registerの結果を使って複数回ループする †

Using register with a loop

例：user01がmysqlのログを見えるように、またwheelグループにも追加

- hosts: all
  gather_facts: true
  become: yes
  vars:
    - user_name: user01
    - user_groups:
      - wheel
      - mysql
    - debug: 0

  pre_tasks:

  roles:

  tasks:
    - name: Check if user exists
      shell: /usr/bin/id -u {{ item }}
      register: result_id
      with_items: user_groups
      ignore_errors: yes
      changed_when: False

    - debug: var=result_id
      when: debug != 0

    - name: Modify user groups
      user: name={{ user_name }} groups={{ item.item }} append=yes
      when: item.rc == 0
      with_items: "{{ result_id.results }}"

  handlers:

  post_tasks:

↑

1.9からsudoが必要な時はbecomeを使う †

root権限が必要な場合、1.9から「become: yes」が推奨。
「sudo: true」は非推奨になった。

Ansible Privilege Escalation

記事
- Ansible1.9からはsudo/suの代わりにbecomeを使う - Qiita

↑

長い行を改行する †

YAML構文を使って分割する。

'>' : folded block記法。改行を半角スペースに置換。最終行の改行は保存。1行として実行される。
```
# "echo foo var\n"として実行される
- shell: >
    echo foo
    var
```

'|' : literal block記法。改行は保存される。

# "echo foo\n echo var"として実行される
- shell: |
    echo foo
    echo var

↑

パフォーマンスチューニング †

Configuration file — Ansible Documentation

記事
- Ansibleパフォーマンスチューニング - Qiita
- RHEL6系でansibleを使うならrecord_host_keysをFalseにすると速くなる still deeper

SSH

OpenSSH 5.5以下の場合(CentOS6/openssh-5.3p1-118.1.el6_8.x86_64)
- paramikoライブラリが使用される。ansible_connectionオプションでsshを明示的に指定できる。
- record_host_keys=False にする。 record_host_keys

OpenSSH 5.6以上(CentOS7/openssh-6.6.1p1-25.el7_2.x86_64)

自動的にsshが使われる。

ansible.cfg

[defaults]
# 明示的にsshを使う
transport      = ssh

[ssh_connection]
# ssh接続の再利用をする。タイムアウトの時間を延ばす
ssh_args = -C -o ControlMaster=auto -o ControlPersist=60s -F ssh-config
# ホスト名が長い時にエラーになるのを防ぐ
control_path = %(directory)s/%%h-%%r
# Trueにしたい場合、全クライアントの/etc/sudoersのrequirettyを無効にする必要がある。sudo時にエラーになる。
pipelining = True

OpenSSH 6.7以降:
- ansible.cfg
```
[ssh_connection]
# '%C' by a hash of the concatenation: %l%h%p%r.
control_path=%(directory)s/%%C
```
- ssh-config内で「HostName」に同名ホストを指定しないように注意。同じセッションが使い回され、誤ったホストへ接続される事がある

factキャッシュ
- Fact Caching memcached/redis/json へキャッシュ可能

copyモジュールの代わりに、synchronizeモジュールを使う
- 複数ファイル時、CentOS6だとparamikoライブラリが使われ非常に遅いかタイムアウトする。
- synchronizeモジュールは、内部でrsyncを使うため数秒ですむ。
- copyモジュールと違い、ownerやgroupが変わらないので、fileモジュールで変える
- ansible.cfgでssh_argsオプションを使用している場合は、「use_ssh_args=yes」にする

↑

validate:設定ファイル等の検証してから更新 †

template, lineinfile, blockinfileはvalidate='command %s'で検証を行って、成功した場合(exit code=0)のみ更新する事ができる。
sshd_configの例
```
validate='sshd -t -f %s'
```
visudoの例
```
validate='visudo -cf %s'
```

httpdの例：httpd.confのみ対応。conf.d/以下のファイルを指定するとエラーになる
```
validate: 'apachectl -t -f %s'
```

phpの例
```
alidate='php -l %s'
```

↑

yum groupinstall相当 †

yum groupinstall相当をしたい

sudo yum groupinstall "Japanese Support"

yum - Manages packages with the yum package manager Ansible Documentation
- "@group name" または "@group-id" を指定する。
- "@group name" を指定する場合は、スペースが含まれるので yum: name="{{ item }}" のようにダブルクォートで括る

yum group-idを調べる。「group name (group-id)」のように表示される

LANG=C yum grouplist -v
...
   Japanese Support (japanese-support) [ja]
...

with_itemsで指定する場合

- hosts: all
  sudo: True
  tasks:
    - name: yum groupinstall
      yum: name="{{ packages }}" state=present
      vars:
        packages:
        - "@japanese-support"

↑

Extras Modulesを使う †

Extras Modules
- stableではないモジュールが入っている。うまく動作しない可能性がある。

独自ライブラリの指定はいくつかある
- playbook.ymlと同じ階層に library ディレクトリを作成する
- export ANSIBLE_LIBRARY=...
- --module-path=...

例： ansible 1.9から pam_limits(v2.0向け) を使う

git clone https://github.com/ansible/ansible-modules-extras.git
export ANSIBLE_LIBRARY=ansible-modules-extras
ansible-playbook -i hosts.ini playbook.yml

↑

sshで繋がずlocalで実行 †

Local Playbooks

playbook.yml: connection: local を指定する

- hosts: localhost
  gather_facts: True
  sudo: False
  connection: local

↑

パッケージがインストール済みかのチェック †

yum/rpmを使わずにインストールしている場合(yum repo等)、statでファイルの有無等で判断した方が良さそう

- name: Check if Package is installed
  stat:
    path: /etc/yum.repos.d/epel.repo
  register: result
  ignore_errors: yes
  changed_when: False

# パッケージが無かった場合の処理
- debug: var=result
  when: result.stat.exists == false

rpmコマンドを使うと「[WARNING]: Consider using yum, dnf or zypper module rather than running rpm」が出るので、「warn: no」で無視している。
- 「yum: list=installed」でインストール済みパッケージ一覧が取得できるが、全て列挙されるため遅い&使いにくい。
```
- name: Check if Package is installed
  shell: rpm -q {{ package }} > /dev/null; echo $?
  args:
    warn: no
  register: result
  ignore_errors: yes
  changed_when: False

# パッケージが無かった場合の処理
- debug: var=result
  when: result.stdout == "0"
```

remote hostの /home/<user> を40回ループした結果(存在しているuser: 20, 不在user: 20)
- ファイルの存在チェック(stat.exists)のみで良い場合は、遅くなるオプションは無効化できる。
- get_checksumは巨大なファイルを対象にすると特に遅い
- ansible 2.9.6
  statのオプション秒数
  pathのみ 67
  get_attributes: no 61
  get_checksum: no 63
  get_mime: no 67
  get_attributes: no
  get_checksum: no 59

↑

変更扱いにしない †

changed_when: False
毎回実行するが、変更扱いにしない。インストールされているかのチェック等に便利

- name: Check if git v1 is installed
  shell: rpm -q git > /dev/null
  ignore_errors: yes
  register: result
  changed_when: False

↑

handlers †

Intro to Playbooks
- 一番最後に実行される
- 設定ファイルを複数書き換えた後にサービスの再起動が必要な時などに使える

whenの条件に注意。サービスを止めたままにしたくとも、notifyが発生するとhandlerが実行されるため、設定ファイルが書き換わった場合など、予期せずサービスが起動する事がある。そのため変数(例：iptables_state)を用意して条件に入れておく。
- handlers/main.yml
```
- name: restart iptables
  service: name=iptables state=restarted
  when: ansible_os_family in [ "RedHat" ] and iptables_state == "started"
```

↑

roles †

Roles — Ansible Documentation

tagが付いていないroleにtagを付けて実行。「-t terraform」で指定ロールだけ実行できる。role内の指定のタグのみ実行するオプションでは無い。
```
  roles:
  - { role: andrewrothstein.terraform, tags: terraform }
```
rolesの前後で実行したい場合は「pre_tasks」「post_tasks」を使う

role-dependencies
- roleの依存関係を設定できる。依存先のroleが先に実行される。
- 複数のroleから依存があっても1回だけ実行される。「meta/main.yml」で「allow_duplicates: true」とすると、重複実行される。
- role間で変数を設定する時は「vars」を使う
- roles/zabbix_agent/meta/main.yml
```
dependencies:
- role: epel
  vars:
    epel_enabled: yes
```

指定のディストリビューション、バージョンの場合のみroleを実行する。例：CentOS7の場合のみfirewalldのroleを使う
```
- hosts: webservers
  roles:
  - { role: firewalld, when: "ansible_os_family == 'RedHat' and ansible_distribution_major_version|int >= 7" }
```

playbook実行時、rolesの中の変数(例：roles/foo/defaults/main.yml)を条件文に使うと全てスキップする。予めhosts, group_vars, host_vars等で定義すれば正常に動作する
```
- hosts: webservers
  roles:
    - { role: some_role, when: "some_role_enabled == 'yes'" }
```

↑

開発 †

記事
- git-flowを利用したAnsibleロールのテスト駆動開発の流れ - Qiita
- AnsibleロールのユニットテストからTravis CIまで - Qiita

↑

依存関係 †

Playbook Roles and Include Statements Ansible Documentation
- roles/myapp/meta/main.yml に書いたroleが先に実行される

↑

自作モジュール †

Developing Modules — Ansible Documentation

記事
- 自作Ansibleモジュールをライブラリ化するときのディレクトリ構成 - Qiita
- Ansibleで自作モジュールを作成してplaybookと一緒に配布 - Qiita hostnameモジュールを作成し、ansible本体へマージしている

↑

コマンドのjson出力を変数として取り込む †

例：awscliのjson出力を変数に取り込む。

  - name: list-hosted-zones
    local_action: shell aws --profile {{ aws_profile }} route53 list-hosted-zones --output json
    register: route53_result

  - set_fact:
      route53_hostedzone: "{{ (route53_result.stdout|from_json).HostedZones }}"
  - debug: var=route53_hostedzone

↑

環境変数の指定 †

コマンド実行時に /opt/bin を追加する

- hosts: all
  gather_facts: True
  tasks:
  - shell: test.sh
    environment:
      PATH: "/opt/bin:{{ ansible_env.PATH }}"
    register: result
  - debug: var=result.stdout

タイムゾーンを変更する

    - shell: date
      environment:
        TZ: "{{ lookup('env', 'TZ') }}"

タイムゾーンを変更して実行

TZ=JST ansible-playbook -l 127.0.0.1 -i hosts.ini playbook.yml
TZ=UTC ansible-playbook -l 127.0.0.1 -i hosts.ini playbook.yml

↑

shell:/command: コマンドの実行 †

command
- 環境変数は無効
- パイプ"|", リダイレクト"><"は使用不能

shell
- shell(デフォルト:/bin/sh)を経由して実行される
- パイプ"|", リダイレクト"><"が使用可能
- 環境変数は有効
- 複数行の場合、";"で区切る事ができる
```
  - shell: >
      echo foo;
      echo var;
```
- /.bashrc等は読み込まれない。~/.bashrc の中でPATHが設定されている場合、1行で実行する必要があった。
```
# 成功
shell:
  cmd: "/bin/bash -l -c 'tfenv install latest'"

# 失敗
shell:
  cmd: "tfenv install latest"
  executable: "/bin/bash -l"
```

↑

shell:やcommand:内で複雑な処理 †

jinja2テンプレート構文が使えるので、複雑な事ができる。しかし、見難くなるのでお勧めはしない
例：dict_var1.option2.valueが空の場合、command実行時のオプションを省略する
- File not found: "playbook.jinja2-example1.zip" at page "Memo/Ansible"[添付]

↑

shell:中でreadコマンドがあっても待機しない †

例えば script.shの中で「read -p "(y/n)"」等の記述があった場合、playbook実行すると、プロンプトの表示はなく、中断するが成功扱いとなり、失敗に気づきにくい。
```
shell: /path/to/script.sh
```

↑

localhostで実行する †

Delegation
- playbook全体をlocalに対して実行したい場合、「-c local」、「connection: local」、「hosts: localhost」のいずれか。
- playbookの一部taskをlocalに対して実行したい時、「local_action:」が使える
- local_action:を複数行に分けて書きたい場合、module:とmoduleのパラメータに分けて書く
```
  tasks:
    - name: Send summary mail
      local_action:
        module: mail
        subject: "Summary Mail"
        to: "{{ mail_recipient }}"
        body: "{{ mail_body }}"
      run_once: True
```

例:uptime コマンドを localhost で実行

- hosts: localhost
  gather_facts: False
  tasks:
  - name: uptime
    local_action: command uptime
    register: result
  - debug: var=result

--sudo を付けて実行した場合、local_action の結果もrootユーザで実行した事になる
- 例えば実行時のユーザの設定ファイル(/home/user01/.aws/config) を参照するが、--sudoを付けたい場合に問題が起きる。/root/.aws/configを探そうとする
- 「local_action:」だけlocal userを使いたい場合、taskに「become: false」を付ける
- playbook.yml
```
- hosts: localhost
  gather_facts: False
  tasks:
  - name: pwd
    local_action: shell echo $HOME
    register: result
  - debug: var=result.stdout
```
- --sudo を付けて実行した場合
```
ansible-playbook -i hosts.ini -l localhost --sudo playbook.yml
...
TASK: [debug var=result.stdout] ***********************************************
ok: [127.0.0.1] => {
    "result.stdout": "/root"
}
```

↑

SELinux †

標準で selinux モジュールがある
state=disabledに設定後、getenforceすると"Enforcing(有効)"だった。 (ansible-1.7-1.el6.noarchで確認)
- "setenforce 0" するか、再起動する必要があった

↑

target uses selinux but python bindings (libselinux-python) aren't installed! †

/etc/hostsを変更しようとしたところ以下のエラーが出た

msg: Aborting, target uses selinux but python bindings (libselinux-python) aren't installed!

対象ホストにログインしてSElinuxを確認すると Permissive だった
```
getenforce
Permissive
```
CentOS 6/7: libselinux-pythonをインストール後、正常に動作した
```
sudo yum install libselinux-python -y
```
Ubuntu
```
sudo apt install python-selinux
```

↑

split: 文字列の分割 †

ansible-1.7-1.el6.noarch

test.yml

- hosts: 127.0.0.1
  gather_facts: False
  vars:
    keys: ""
  tasks:
    - name: split
      debug: var="{{ item }}"
      with_items: "{{ keys.split(',') }}"

実行

ansible-playbook -i hosts.ini test.yaml --extra-vars 'pub_keys=aaa,bbb,ccc'

TASK: [split] *****************************************************************
ok: [127.0.0.1] => (item=aaa) => {
    "aaa": "{{ aaa }}",
    "item": "aaa"
}
ok: [127.0.0.1] => (item=bbb) => {
    "bbb": "{{ bbb }}",
    "item": "bbb"
}
ok: [127.0.0.1] => (item=ccc) => {
    "ccc": "{{ ccc }}",
    "item": "ccc"
}

↑

--check時に挙動を変更する †

以下のように、shell: の結果を元に判定するような場合、「--check」では、チェックtaskが実行されないため、エラーとなるのを回避する。

サンプル

- name: check if epel exists
  shell: rpm -q epel-release > /dev/null; echo $?
  args:
    warn: no
  register: result
  changed_when: False

- name: install epel repository
  yum:
    name="http://ftp.riken.jp/Linux/fedora/epel/epel-release-latest-{{ ansible_distribution_major_version }}.noarch.rpm"
    state=present
  when: result.stdout != "0"
  ignore_errors: "{{ ansible_check_mode }}" # ansible 2.1

Check Mode (“Dry Run”) — Ansible Documentation
- shellやcommand moduleはcheck mode時(--check)は実行されないため、registerで登録された変数を、debug moduleで表示しようとするとエラーになる。
- ansible 2.2: check_mode: が追加された。
  - no: 常にnormal modeとして実行。command moduleに付けた場合、--checkでも実行される。
  - yes: 常にcheck modeとして実行。実行されないため、moduleのテスト時に使える？
```
check_mode: no
```
- ansible 2.1: ansible_check_mode を使う。--check時のエラーを無視するようにはできる
```
ignore_errors: "{{ ansible_check_mode }}"
```

↑

ansible-playbookオプション †

--check: dry-runモード
--diff: 変更点を表示。--checkと同時に指定すると良い

-v: verbose mode, 例えばcommandが成功した時のログは通常でてこないが、このオプションを付けると見える
- e, --extra-vars 'var1=val1 var2=val2': 変数名と値をコマンドラインから渡す。vars_promptの変数名を指定すれば、promptの表示が無くなるため便利

↑

ファイル/ディレクトリのコピー †

copy - Copies files to remote locations. Ansible Documentation

ローカルファイルをリモートにコピー

ansible -i hosts.ini -m copy -a "copy: src=/src/myfiles/foo.conf dest=/etc/foo.conf" --user <username> --ask-pass --sudo <hostname>

ローカルディレクトリをリモートディレクトリにコピー

ansible -i hosts.ini -m copy -a "copy: src=/src/myfiles/ dest=/tmp/myfiles/" --user <username> --ask-pass --sudo <hostname>

↑

実行順序 †

基本的には上から下だが、pre_tasks > roles > tasks > handlers > post_tasks 順序で実行される
ホストが複数ある場合は、1タスクをすべてのホストに実行してから、次のタスクへ。
全てのホストで失敗した場合、中断する

例: ansible 1.9.4

hosts.ini

[web]
web01.example.com
web02.example.com

test.yml

- hosts: web
  gather_facts: True
  vars:

  pre_tasks:
    - debug: msg="pre_tasks01"

  roles:
    - role01

  tasks:
    - name: task01
      file: path=/tmp/task01 state=touch
      notify: handler01

  handlers:
    - name: handler01
      debug: msg="handler01"

  post_tasks:
    - debug: msg="post_tasks01"

実行

ansible-playbook -i hosts.ini test.yml
...
TASK: [debug msg="pre_tasks01"] ***********************************************
ok: [web01.example.com] => {
    "msg": "pre_tasks01"
}
ok: [web02.example.com] => {
    "msg": "pre_tasks01"
}

TASK: [role01 | debug msg="role01"] *******************************************
ok: [web02.example.com] => {
    "msg": "role01"
}
ok: [web01.example.com] => {
    "msg": "role01"
}

TASK: [task01] ****************************************************************
changed: [web02.example.com]
changed: [web01.example.com]

NOTIFIED: [handler01] *********************************************************
ok: [web01.example.com] => {
    "msg": "handler01"
}
ok: [web02.example.com] => {
    "msg": "handler01"
}

TASK: [debug msg="post_tasks01"] **********************************************
ok: [web01.example.com] => {
    "msg": "post_tasks01"
}
ok: [web02.example.com] => {
    "msg": "post_tasks01"
}

PLAY RECAP ********************************************************************
web01.example.com          : ok=6    changed=1    unreachable=0    failed=0
web02.example.com          : ok=6    changed=1    unreachable=0    failed=0

↑

Module モジュール †

Module Index Ansible Documentation

↑

file †

file - Sets attributes of files Ansible Documentation

ディレクトリとsymlinkを作る

  - name: Create directory
    file: path=/tmp/test_dir state=directory owner=root group=root mode=0755

  - name: Create symlink
    file: src=/tmp/test_dir dest=/tmp/test_link state=link

↑

Conditionals: 条件分岐 †

変数が未定義の場合: var1 is not defined
変数が空("")の場合: var1 == None

when: で文字列と数値を比較する場合は、'|int'が必要
```
when: ansible_distribution_major_version|int >= 7
```

'yes', 'no', 'True', 'False'をbool値として比較したい場合
```
when: is_enabled|bool
```

result変数の中に「str1」文字が含まれるかのチェック。否定は「not in」

# ansible 2.9.6 では when全体をダブルクオートで囲むと、常に成功になってしまったので不用
when: 'str1' in result

# それ以前では、ダブルクオートで括らないとエラーになるはず
when: "'str1' in result"

配列

when: ansible_distribution in [ 'CentOS', 'Red Hat Enterprise Linux' ]

正規表現

# パスワードに数字が入ってない場合をチェック
when: password is not regex('\d+')

# 先頭一致。"| match(str)" はv2.9で廃止予定。
when: ansible_hostname is match("^web")

# 部分一致
when: ansible_hostname is search("web")

# それ以外の正規表現
when: ansible_hostname is regex("web")

when: result is failed
when: result is succeeded
when: result is skipped

# 否定は 
when: var1 is not skipped

result.var1が未定義な時、default()を使うと条件を増やさずにシンプルに書ける
```
when: (result.var1 | default("")) != "foo"
```

↑

Error Handling エラーハンドリング †

Error Handling In Playbooks Ansible Documentation

デフォルト(v1.7.1)では、同じコマンドが全てのホストで失敗した場合に停止するようだ

failed_when: コマンドが失敗した時に何かする

Controlling What Defines Failure

終了コード > 2の時に失敗とする

- hosts: 127.0.0.1
  gather_facts: False
  tasks:
  - name: test
    local_action: shell exit 2
    register: result
    failed_when: result.rc > 2
  - debug: var=result

ignore_errors: yes / エラーが起きても、スキップする

  - name: Stop services
    service: name="{{ item }}" state=stopped enabled=no
    with_items:
      - cups
    ignore_errors: yes

↑

新規ファイルを作る †

copy - Copies files to remote locations. — Ansible Documentation contentが指定できる

- copy:
    dest: /var/www/html/test.html
    content: |
      <html lang="ja">
      <head><meta charset="UTF-8"><title>test title</title></head>
      <body>test body</body>
      </html>

blockinfileは複数行も扱える。ansible v2.0以降

lineinfile を使って、1行だけのファイルを作る。例：sudo用に /etc/sudoers.d/user01 を作る

- name: Add user to the sudoers
    lineinfile: dest="/etc/sudoers.d/user01"
      owner=root
      group=root
      mode=0440
      state=present
      create=yes
      regexp="^user01 .*"
      line="user01 ALL=(ALL) NOPASSWD{{':'}} ALL"
      validate='visudo -cf %s'

↑

特定ユーザだけリモートsshからsudoできるように †

デフォルトではttyなしのsshでは、sudoできないように設定されている場合が多い。

rootユーザだけttyなしでもsudo許可

sudo visudo
--
Defaults    requiretty
Defaults:root    !requiretty
--

特定のuser, groupだけを指定する場合
- /etc/sudoers.d/<user or group name>
```
sudo visudo
--
user: !requiretty
%group: !requiretty
--
```

記事
- rootだけtty無しのsudoを許可 - Qiita

↑

ping moduleで接続テスト †

ping - Try to connect to host and return pong on success. Ansible Documentation
```
ansible -i hosts -m ping all
```

↑

多段ssh環境で実行 †

接続にsshを使うようにし、ssh側で多段設定をする。
ホストの接続には名前を使う。DNSは付けなくても良い。

記事
- 最強のSSH踏み台設定 - Qiita
- 踏み台サーバを経由した多段SSHのやり方 - Qiita AWSでは踏み台サーバを(bastion host 要塞ホストと呼んでいるようだ)

多段sshは以下のように設定済みで、client.hostから直接sshでother.hostへ接続できるものとする。
- client.host(アクセス元) => gw_user@gateway.host(踏み台) => other_user@other.host(アクセス先)

client.hostから other.host にコマンドを実行させたい場合
- CentOS 6.x, ansible 1.9.4
- 環境変数に ANSIBLE_SSH_ARGS="-F $HOME/.ssh/config" があると、ansible.cfgよりも優先されるので「unset ANSIBLE_SSH_ARGS」で無効にしておく
- カレントディレクトリに ansible.cfg を用意
- ssh-config
```
Host *
  StrictHostKeyChecking=no
  UserKnownHostsFile=/dev/null
  LogLevel ERROR
  ForwardAgent yes

Host gateway.host
  HostName     192.168.1.10
  User         gw_user
  IdentityFile ~/.ssh/id_rsa
  ProxyCommand none

Host other.host
  HostName     192.168.1.11
  User         other_user
  IdentityFile /.ssh/id_rsa
  ProxyCommand ssh -F ssh-config -W %h:%p gateway.host
```
- sshコマンドで接続確認
```
ssh -F ssh-config other.host
```
- ansible pingで接続確認
```
ansible hosts.ini -m ping other.host
```
- ssh-agentで秘密鍵を複数登録できる。その場合はssh-config「IdentityFile」の指定は不要になる。
```
ssh-agent bash
ssh-add ~/.ssh/id_rsa
```

「Connection timed out during banner exchange」エラーが出る場合、ssh並列度が高すぎるので落とす

# 残っているansible sshプロセスを終了
killall ansible

vi ansible.cfg
----
[defaults]
forks = 5
----

↑

複数サーバのrpmバージョンの調査と更新 †

対象ホストを列挙した設定ファイルを作る

vim stg.hosts
----
[stg:children]
stg_web

[stg_web]
stg-web-[01:02].example.com

[stg_web:vars]
ansible_ssh_user=ec2-user
ansible_ssh_private_key_file=~/.ssh/stg-web.pem
----

例: bashのバージョン調査と更新

調査

ansible -i stg.hosts -m shell -a 'rpm -qv bash' stg

stg-web-01.example.com | success | rc=0 >>
bash-4.1.2-9.el6_2.x86_64

stg-web-02.example.com | success | rc=0 >>
bash-4.1.2-15.el6_5.2.x86_64

更新

ansible --sudo -i stg.hosts -m shell -a 'yum -y update bash' stg

↑

YAML中でコロン(:)を入れると Syntax Error †

YAML中で"foo: bar"の文字列だとSyntax Errorが発生する。"foo:bar"は問題ない。

YAML Syntax Ansible Documentation Gotchas にコロンについて書いてある。

ansible 1.9.4

colon.yml

- hosts: 127.0.0.1
  vars:
    colon: ':'
  tasks:
#    - debug: msg="foo: bar" # Syntax Error
    - debug: msg="foo:bar" # OK
    - debug: msg="foo{{ colon }} bar" # OK
    - debug: msg="foo"":"" bar" # OK(1.9) / NG(2.0)
    - debug: msg="foo{{':'}} bar" # OK(1.9) / OK(2.0)

実行

ansible-playbook colon.yml

TASK: [debug msg="foo:bar"] ***************************************************
ok: [127.0.0.1] => {
    "msg": "foo:bar"
}

TASK: [debug msg="foo{{ colon }} bar"] ****************************************
ok: [127.0.0.1] => {
    "msg": "foo: bar"
}

TASK: [debug msg="foo"":"" bar"] **********************************************
ok: [127.0.0.1] => {
    "msg": "foo\"\":\"\" bar"
}

TASK: [debug msg="foo: bar"] **************************************************
ok: [127.0.0.1] => {
    "msg": "foo: bar"
}

↑

debug : デバッグメッセージの出力 †

debug - Print statements during execution Ansible Documentation デバッグメッセージを出力できる
- 文字列の改行、タブが自動的に「\n, \t」にエスケープされる。
- 変数はjsonとして出力される。
- regsiterで取得した結果がJSONの場合、「reg | from_json」とすると綺麗に表示される。

記事
- Ansibleのplaybookで`with_items`等でループ処理したすべての実行結果を`register`してdebugで取り出す方法 - Qiita

コマンド実行結果をdebugモジュールで表示する場合、改行が\nに置換されて、1行表示になるため見難い。「result.stdout_lines」だと改行がそのままなので見やすい。

stdout_lines中にタブがあると「\t」と表示されてしまうため、スペース等に置換すると見やすい
```
-  debug:
     msg: "{{ item.stdout_lines | replace('\\t',' ') }}"
```

playbook.yml

---
- hosts: localhost
  connection: local
  gather_facts: false
  become: false
  vars:
  - msg1: |
         first line.
         second line, inventory_hostname: {{ inventory_hostname }}
  - users:
      - user: user1
        email: user1@example.com
      - user: user2
        email: user2@example.com

  tasks:
  - debug:
      var: msg1
  - debug:
      msg:
        - first line
        - second line
  - debug:
      msg: "{{ msg1.split('\n') }}"
  - debug:
      msg: "{{ _msg.split('\n') }}"
    with_items: "{{ users }}"
    vars:
      _msg: |
        User: {{ item.user }}
        Email: {{ item.email }}

実行

ansible-playbook playbook.yml
...
TASK [debug] *******************************************************************************************************************************************************
ok: [localhost] => {
    "msg1": "first line.\nsecond line, inventory_hostname: localhost\n"
}

TASK [debug] *******************************************************************************************************************************************************
ok: [localhost] => {
    "msg": [
        "first line", 
        "second line"
    ]
}

TASK [debug] *******************************************************************************************************************************************************
ok: [localhost] => {
    "msg": [
        "first line.", 
        "second line, inventory_hostname: localhost", 
        ""
    ]
}

TASK [debug] *******************************************************************************************************************************************************
ok: [localhost] => (item={u'user': u'user1', u'email': u'user1@example.com'}) => {
    "msg": [
        "User: user1", 
        "Email: user1@example.com", 
        ""
    ]
}
ok: [localhost] => (item={u'user': u'user2', u'email': u'user2@example.com'}) => {
    "msg": [
        "User: user2", 
        "Email: user2@example.com", 
        ""
    ]
}
...

↑

tags : タグを付けて実行するタスクを指定する †

Tags Ansible Documentation

tags.yml

- hosts: 127.0.0.1
  tasks:
  - name: job1
    debug: msg="job1"
    tags:
    - job1
  - name: job2
    debug: msg="job2"
    tags:
    - job2
  - name: job2
    debug: msg="job3"
    tags:
    - job3

実行

# job1, job2だけ実行
ansible-playbook -t job1,job2 tags.yml

# job2 以外を実行
ansible-playbook --skip-tags job2 tags.yml

↑

特別なタグ †

例えばpre_task:でチェック処理をしている場合、-t でタグ指定した場合実行されない。

http://docs.ansible.com/ansible/latest/playbooks_tags.html#special-tags
- always: 常時実行
- tagged: タグ付き
- untagged: タグ無し
- all: 全て

例: RHEL/CentOS以外は中止

  pre_tasks:
  - block:
    - name: Validate OS
      fail: msg="Unsupported OS{{':'}} {{ ansible_os_family }}"
      when: ( ansible_os_family not in [ "RedHat" ] )
    tags:
    - always
    - validate

↑

Inventory ファイル †

Inventory Ansible Documentation
Patterns
yaml – Uses a specific YAML file as an inventory source — Ansible Documentation
- yaml形式でも書ける

ini形式の場合
- コメント行は、行頭 '#'
- ホスト名単体、グループ名をコマンドから指定できる
- ホスト名が連番の場合は [01:50], [a:f] 等指定できる
- 実行時には web* 等のワイルドカードも使える

記事
- AnsibleのInventory Groupで環境毎に異なるlocalhostを構築する｜ Developers.IO

↑

ホストを指定して実行 †

Patterns Ansible Documentation
すべて
```
ansible -i hosts.ini -m ping all
```
複数のグループ指定。':'区切りで複数指定
```
ansible -i hosts.ini -m ping webservers:dbservers
```

webserversグループのweb03だけ除外

ansible -i hosts.ini -m ping webservers:\!web03

↑

IPアドレスに名前を付ける †

DNSを付けていなくとも名前でアクセスできるようになる

vim hosts.ini
----
[web]
web01 ansible_ssh_host=192.168.61.101
----

ansible -i hosts.ini -m ping web01

↑

グループ毎に異なる変数を使う †

stg_web グループに sshユーザ、秘密鍵を指定する

[stg_web]
stb_web_[01:02]

[stg_web:vars]
ansible_ssh_user=ec2-user
ansible_ssh_private_key_file=~/.ssh/ec2-user.pem

ホスト、グループ毎にファイルに分割もできる
```
group_vars/stg_web
host_vars/stb_web_01
```

↑

ホストのグループ化 †

[prod:children] のように ":children"を付ける

hosts

[stg:children]
stg_web
stg_DB

[prod:children]
prod_web
prod_db

[stg_web]
stg_web_01

[stg_DB]
stg_db_01

[prod_web]
prod_web_01

[prod_db]
prod_db_01

stg_web_01 ホスト単体にコマンドを実行

ansible stg_web_01 -i hosts -m shell -a 'uname -a'

stg_webグループにコマンドを実行

ansible stg_web -i hosts -m shell -a 'uname -a'

prodグループにplaybookを実行

ansible-playbook -l prod -i hosts playbook.yml

ワイルドカードで指定

ansible-playbook *_web_01 -i hosts playbook.yml

↑

実行条件を指定する †

条件判断に使う変数は fact も使える。
package - Generic OS package manager — Ansible Documentation
- OSを問わないパッケージ管理もある。インストール時に特別なオプションが不要な場合はこちら。

ディストリビューション毎にインストール方法を指定する(ansible_os_family, ansible_distribution)

  tasks:
  # OSファミリー毎に指定
  - include: RedHat.yml
    when: ansible_os_family in [ "RedHat" ]
  - include: Debian.yml
    when: ansible_os_family in [ "Debian" ]
  # ディストリビューション毎に指定
  - yum: name=ntp state=installed
    when: ansible_distribution in [ 'CentOS', 'Red Hat Enterprise Linux' ]

  - apt: name=ntp state=installed
    when: ansible_distribution in [ 'Debian', 'Ubuntu' ]

  - service: name=ntpd state=started enabled=yes

↑

特定行のコメントアウト †

記事
- lineinfile - Ensure a particular line is in a file, or replace an existing line using a back-referenced regular expression. Ansible Documentation

ansible 1.7.1で動作確認

/etc/sudoers の "Defaults requiretty" をコメントアウトしたい場合。もし構文エラーがあれば中止してくれる

- name: disable Defaults requiretty
  lineinfile: dest=/etc/sudoers regexp='^(Defaults\s+requiretty)$' line='#\1' backrefs=true  validate='visudo -cf %s' backup=true

コメントアウトを元に戻す。'#key=value', 'key='の場合でも'key=value'に置き換える
```
  - lineinfile: dest=test.txt regexp='^#?\s*key=' line='key=value' state=present
```

Software

Programming

Game

雑記

連絡先

TreeView

人気の10件

最新の10件

Ansible †

slurp: remoteにあるファイルを読む †

デバッグ方法 †

実行結果をログに残す †

synchronize: rsyncでファイルコピー †

copy moduleのcontentで改行が消える。 †

コマンドの存在チェック †

ネットワーク機器の管理 †

terraform.tfstateの値を参照 †

default値を定義する †

トレーニング/サンプル †

デフォルトの検索パス †

vars_prompt, vars_files, --extra-vars で配列等を渡す †

構文チェック †

patch: パッチを適用する †

WSL環境 †

parse_cli/parse_cli_textfsm: コマンドの結果を解析して変数に取り込む †

local実行時のlocal userの取得 †

package: OS毎のパッケージ管理を一元化 †

run_once: ホストが複数台あっても1回しか実行しない †

ini_file: iniファイルの書き換え †

Terraformとの連携 †

apt: Debian/Ubuntu等のパッケージ管理 †

vars_promptでカンマ区切り文字列を配列に展開する †

includeの代わりにimport_tasks, include_tasksを使う †

pause: 指定した秒/分だけ待つ、中断や続行を選択 †

yum_repository: yumリポジトリの追加/削除 †

include_role: role内の別taskをloadする †

テキストの置換 †

ansible-container: docker imageの作成 †

dockerの操作 †

playbook中に再起動 †

block: 複数のタスクのブロック化 †

factの再取得 †

group_by: 動的にgroupを変更する †

assemble: 複数の設定ファイルから一つの設定を作る †

uri: HTTPリクエストの送信 †

jenkinsからansibleの実行 †

no_log: ログを出力しない †

fetch: リモートファイルをローカルにコピー †

expect: 対話処理の自動化 †

wait_for: 処理が完了するまで待機する †

localにあるrpmファイルをインストールする †

既存ファイルを空(サイズ0)にする †

空ファイルの作成 †

LDAPの管理 †

SSHのログからアクセスIPを列挙する †

インストール済みパッケージ一覧 †

ssh公開鍵の登録 †

現在のnameserverを取得 †

Ansible2.0 †

Prompts: ユーザ入力を待つ †

任意のsshオプションつけて実行 †

拡張子を除いたファイル名の取得 †

tarball をインストールする †

registerの結果を使って複数回ループする †

1.9からsudoが必要な時はbecomeを使う †

長い行を改行する †

パフォーマンスチューニング †

validate:設定ファイル等の検証してから更新 †

yum groupinstall相当 †

Extras Modulesを使う †

sshで繋がずlocalで実行 †

パッケージがインストール済みかのチェック †

変更扱いにしない †

handlers †

roles †

開発 †

依存関係 †

自作モジュール †

コマンドのjson出力を変数として取り込む †