ansible的变量和机密

1. ansible的变量

在ansible中使用变量，能让我们的工作变得更加灵活，在ansible中，变量的使用方式有很多种我们下面一一介绍。

1.1 变量的命名

变量名应该由字母、数字、下划线组成，变量名需要以字母开头，ansible内置的关键字不能作为变量名

1.2 定义变量

ansible变量的定义方法也有很多，我们可以在ansible项目中的多个位置定义变量。可以大致的分为三个范围：

全局范围：从命令行或Ansible配置定义的变量
Play范围：在play和相关结构中定义的变量
主机范围：由清单、事实收集或注册的任务，在主机组和个别主机上定义的变量

如果在多个位置定义了相同名称的变量，则采用优先级别最高的变量。

在命令行上定义的变量优先级最高，其次是在play和相关结构中定义的变量，优先级最低的是在清单中定义的变量

1.3 在playbook中定义变量

我们可以在playbook中直接定义变量定义的方式，定义的方式有两种：

1. 使用vars来直接定义

[root@ansible playbook]# cat test.yml
---
- name: testhosts: allvars:user: jarryuid: 6000

2. 使用vars_files来指定外部文件作为变量

[root@ansible playbook]# cat test.yml
---
- name: testhosts: allvars_files:- vars/users.yml

3. 借助with_items叠加变量

ansible中可以借助with_items实现列表迭代的功能，作用于变量注册的行为上，就可以实现将多个结果赋值给同一个变量。

例如下面的playbook中，给出了3个item列表，并在shell模块中通过固定变量"{{item}}"分别迭代，第一次迭代的是haha，第二次迭代的是heihei，第三次迭代的是hehe，也就实现了3次循环。最后，将结果注册为变量hi_var。

---- hosts: alltasks:- name: test shell: echo "{{item}}"with_items:- haha- heihei- hehe

指定的变量文件也需要用yaml格式来写，在这个文件中定义变量的方式如下:

[root@ansible playbook]# cat vars/users.yml
user: jarry
uid: 6000

1.4 在playbook中使用变量

我们把变量放在双大括号里面。这样在我们执行任务时，ansible会自动将变量替换成我们所定义的值。

[root@ansible playbook]# cat test.yml
---
- name: testhosts: allvars:user: jarrytasks:- name: create useruser:name: "{{ user }}"        ##像这样state: present
[root@ansible playbook]#

1.5 主机变量和组变量

直接用于主机清单的变量分为两种：

 1. 主机变量2. 组变量

主机变量优先于组变量，但playbook中定义的变量的优先级比这两者更高。

定义主机和主机组的变量的首选做法是在与清单文件或目录相同的工作目录中，创建group_vars和host_vars两个目录。这两个目录分别包含用于定义组变量和主机变量的文件。

建议的做法是使用host_vars和group_vars目录定义清单变量，而不直接在清单文件中定义它们。

同样也是使用yaml格式来编写他们的变量

例如我们的清单文件是这样的：

[root@ansible ansible]# cat inventory
[web1]
192.168.10.201
1.1.1.1[web2]
2.2.2.2
3.3.3.3[webs:children]
web1
web2
[root@ansible ansible]#

那么我们定义他们的主机变量应该这样定义：

[root@ansible ansible]# mkdir host_vars
[root@ansible ansible]# vim host_vars/192.168.10.201
[root@ansible ansible]# cat host_vars/192.168.10.201
user: jarry
package: httpd
[root@ansible ansible]# ls host_vars/
1.1.1.1  192.168.10.201  2.2.2.2  3.3.3.3
[root@ansible ansible]#

每一台主机定义变量的文件都需要与主机名一致

那么我们定义他们的组变量应该这样定义：

[root@ansible ansible]# vim group_vars/web1
[root@ansible ansible]# cat group_vars/web1
package: httpd
[root@ansible ansible]# ls group_vars/
web1  web2  webs
[root@ansible ansible]#

所以我们这整个的结构就是：

[root@ansible ansible]# tree
.
├── ansible.cfg
├── group_vars
│   ├── web1
│   ├── web2
│   └── webs
├── host_vars
│   ├── 1.1.1.1
│   ├── 192.168.10.201
│   ├── 2.2.2.2
│   └── 3.3.3.3
├── inventory
└── playbook├── test.yml└── vars└── users.yml4 directories, 11 files
[root@ansible ansible]#

1.6 在命令行中定义变量

变量可以在命令行中进行定义，他的优先级最高，可以覆盖已经定义过的变量，不过只是一次性的

我们使用-e参数就可以实现：

[root@ansible ansible]# ansible-playbook playbook/test.yml -e "user=tom"

1.7 使用组来优化变量的定义

用组来分类变量，可以让变量变得更加的可读

例如，我们有下面这些变量：

user1_first_name: Bob
user1_last_name: Jones
user1_home_dir: /users/bjones
user2_first_name: Anne
user2_last_name: Cook
user2_home_dir: /users/acook

我们可以把他优化成组：

users:bjones:first_name: Boblast_name: joneshome_dir: /users/bjonesacook:first_name: Annelast_name: Cookhome_dir: /users/acook

则我们需要这样来引用变量：

users.bjones.first_name      ##输出为Bobusers.acook.home_dir        ##输出为/users/acook

也可这样来引用：

users['bjones']['first-name']        ##输出为Bobusers['acook']['home_dir']          ##输出为/users/acook

但是要注意，同一项目文件内要采用相同的语法，不要混用

1.8 注册变量

我们可以在playbook文件中使用register来捕获命令输出输出保存在一个临时变量中，然后在playbook中可用于调试用途或者达成其他目的，例如基于命令输出的特定配置。

以下playbook演示了如何为调试用途捕获命令输出：

[root@ansible ansible]# vim playbook/test.yml
[root@ansible ansible]# cat playbook/test.yml
---
- name: testhosts: alltasks:- name: create useruser:name: jarryuid: 6000state: presentregister: create_user_jarry- debug: var=create_user_jarry
[root@ansible ansible]#

运行该playbook：

[root@ansible ansible]# ansible-playbook  playbook/test.ymlPLAY [test] **********************************************************************************************
TASK [Gathering Facts] ***********************************************************************************ok: [192.168.10.201]TASK [create user] ***************************************************************************************ok: [192.168.10.201]TASK [debug] *********************************************************************************************ok: [192.168.10.201] => {"create_user_jarry": {"append": false,"changed": false,"comment": "","failed": false,"group": 6000,"home": "/home/jarry","move_home": false,"name": "jarry","shell": "/bin/bash","state": "present","uid": 6000}
}PLAY RECAP ***********************************************************************************************192.168.10.201             : ok=3    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   [root@ansible ansible]#

2. ansible管理机密

2.1 Ansible Vault

Ansible可能需要访问密码或API密钥等敏感数据，以便能配置受管主机。通常，此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。但若如此，任何有权访问Ansible文件的用户或存储这些Ansible文件的版本控制系统都能够访问此敏感数据。这显示存在安全风险。

Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault，可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件，或者Ansible角色中定义的变量。

2.2 创建加密文件

创建加密文件我们可以用下面这个命令：

[root@ansible ansible]# ansible-vault create test1.yml
New Vault password:
Confirm New Vault password:

我们也可以将密码放入一个文件内，然后指定那个文件作为密码，而不通过标准输入的方式来输入密码：

[root@ansible ansible]# ansible-vault create --vault-password-file=vault-pass test2.yml

2.3 加密现有文件

加密现有文件我们可以用下面这个命令：

[root@ansible ansible]# ansible-vault encrypt test3.yml
New Vault password:
Confirm New Vault password:
Encryption successful

2.4 更改加密文件的密码

更改加密文件的密码可以用这个命令：

[root@ansible ansible]# ansible-vault rekey test3.yml
Vault password:             ##输入旧密码
New Vault password:             ##输入新密码
Confirm New Vault password:         ##再次输入新密码
Rekey successful
[root@ansible ansible]#

也可使用–new-vault-password-file选项来指定需要设置的新密码存放的文件：

[root@ansible ansible]# ansible-vault rekey --new-vault-password-file=vault-pass test3.yml
Vault password:           ##只需输入旧密码
Rekey successful
[root@ansible ansible]#

2.5 查看加密的文件内容

我们加密过后的文件不能直接用cat命令查看，可以使用ansible-vault view filename命令查看Ansible Vault加密的文件

[root@ansible ansible]# ansible-vault view test3.yml
Vault password:
nihao
hello world
[root@ansible ansible]#

2.6 编辑现有的加密文件

我们加密过后的文件不能直接用vi命令查看，可以使用ansible-vault edit filename命令来对加密文件进行编辑。

[root@ansible ansible]# ansible-vault edit test3.yml
Vault password:
[root@ansible ansible]#

2.7 解密现有文件

现有的加密文件可以通过ansible-vault decrypt filename命令来进行解密

[root@ansible ansible]# ansible-vault decrypt test3.yml
Vault password:
Decryption successful
[root@ansible ansible]# cat test3.yml
nihao
hello world
[root@ansible ansible]#

2.8 使用加密文件

我们在为清单文件或playbook进行加密后再需要去使用他们时会报错：

[root@ansible ansible]# ansible all -m ping
[WARNING]:  * Failed to parse /etc/ansible/inventory with yaml plugin: Attempting to decrypt but no vault
secrets found
[WARNING]:  * Failed to parse /etc/ansible/inventory with ini plugin: Attempting to decrypt but no vault
secrets found
[WARNING]: Unable to parse /etc/ansible/inventory as an inventory source
[WARNING]: No inventory was parsed, only implicit localhost is available
[WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost
does not match 'all'
[root@ansible ansible]#

那么我们使用他们时需要使用–vault-id选项来告诉ansible他们的密码

注意，–vault-id是指定存放密码的文件，格式是 ”–vault-id one@密码文件“ 那个one可以自定义，也就是说该选项可以指定多个密码文件，对于不同文件有不同的面。

[root@ansible ansible]# ansible --vault-id @vault-pass all -m ping
192.168.10.201 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"
}
[root@ansible ansible]#

也可使用–vault-password-file选项指定以纯文本存储加密密码的文件

和–vault-id选项是一样的,但是现在官方推荐使用–vault-id选项代替–vault-password-file选项指定密码文件

[root@ansible ansible]# ansible-playbook --vault-password-file=vault-pass playbook/test.yml

上面都是指定密码文件的方式，也可以直接使用交互式输入的方式告诉ansible密码

使用–ask-vault-pass进行交互式输入的方式告诉ansible密码

[root@ansible ansible]# ansible-playbook --ask-vault-pass playbook/test.yml
Vault password:

以上就是ansible的变量与机密