目录

一、创建 Ansible 清单：

1、清单定义：

2、使用静态清单指定受管主机：

（1）主机名称指定：

（2）IP 地址指定：

3、验证清单：

（1）以交互方式浏览清单和组：

（2）列出组中的主机：

（3）列出清单中的主机：

4、覆盖清单的位置：

二、管理 Ansible 配置文件：

1、Ansible 配置文件：

（1）ansible.cfg ：

（2）ansible-navigator.yml ：

（3）查看当前配置文件： 

（4）配置文件注释：

2、管理 Ansible 设置（ ansible.cfg ）：

3、查看 Ansible 配置：

4、管理自动化内容导航（ ansible-navigator.yml ）：

（1）查找顺序：

（2）ansible-navigator.yml 文件常见配置：

5、配置连接：

---

一、创建 Ansible 清单：

1、清单定义：

        主机清单（ inventory ）定义 Ansible 所管理的主机。主机可以从属于组，组通常用于标识主机的角色，一个主机可以属于多个组。

        可以通过两种方式定义主机清单。

（1）通过文本文件定义静态主机清单；

（2）从外部 provider 生成动态主机清单。

2、使用静态清单指定受管主机：

        静态清单文件可指定 Ansible 目标受管主机的文本文件。

        Ansible 静态主机清单在 INI 或 YAML 格式文本文件中定义，每一部分的开头由方括号 [ ] 括起的部分是主机组的名称，其后是主机条目，它们列出组中的每一台受管主机，每个受管主机占一行。主机条目由受管主机的主机名称或 IP 地址组成，可定义 Ansible 与受管主机的通信方式，其中包含传输和用户帐户信息。

        用户可以指定主机名称或 IP 地址的范围来简化 Ansible 主机清单。

（1）主机名称指定：

        server[01:20].example.com 匹配名称为 server01.example.com 到 server20.example.com 的所有主机。

注：多个主机组也可构成主机组，通过 :children 后缀来实现，见上图绿色方框处。

（2）IP 地址指定：

        192.168.[4:7].[0:255] 匹配 192.168.4.0 到 192.168.7.255 这一网段中的所有 IP 地址。

3、验证清单：

        如有疑问，可使用 ansible-navigator inventory 命令验证计算机是否存在于清单之中。

（1）以交互方式浏览清单和组：

        运行 ansible-navigator inventory 命令，以交互式方式浏览清单主机和组。

注：若清单中有相同名称的主机和主机组，ansible-navigator inventory 命令将显示警告。

（2）列出组中的主机：

         ansible-navigator inventory -m stdout --graph us 命令将绘制 us 组中的所有受管主机。

        --graph 后加 ungrouped 可绘制出不属于某个组的所有受管主机（下图中的清单文件中不存在未分组的受管主机）。

（3）列出清单中的主机：

        使用 ansible-navigator inventory -m stdout --list 命令可列出清单中的所有主机。

4、覆盖清单的位置：

        /etc/ansible/hosts 文件是默认的静态 inventory 文件，但是通常不直接使用它，而是指定其他位置获取清单文件，通常定义到工作目录中。

        运行 playbook 时使用的 ansible-navigator 命令可通过 --inventory PATHNAME 或 –i PATHNAME 选项在命令行中指定清单文件的位置，其中 PATHNAME 是所需清单文件的路径。

注：也可在 Ansible 配置文件中将其他位置指定为获取清单文件的默认位置。

        Ansible inventory 内容可以动态生成，动态清单信息的来源包括公共 / 私有云提供商、Cobbler 系统信息和 LDAP 数据库，以及配置管理数据库（ CMDB ）。

注：Ansible 含有处理来自最常见提供商的动态主机、主机组和变量信息的脚本，如 Amazon EC2 、Cobbler 、Rackspace Cloud 和 OpenStack 等提供商。

二、管理 Ansible 配置文件：

1、Ansible 配置文件：

        用户可在每个 Ansible 项目目录中创建和编辑两个文件，用于配置 Ansible 的行为和 ansible-navigator 命令的选项。

（1）ansible.cfg ：

        ansible.cfg 文件用于配置多个 Ansible 工具的行为。

（2）ansible-navigator.yml ：

        ansible-navigator.yml 文件用于配置 ansible-navigator 命令的默认选项。

（3）查看当前配置文件： 

       由于 Ansible 配置文件有多种，当前使用哪一个配置文件可能令人困惑，用户可使用 ansible --version 命令，显示安装的 Ansible 版本以及当前生效的配置文件。

        执行 ansible 命令时使用 -v 选项也可以显示当前有效的 Ansible 配置文件。Ansible 只使用最高优先级配置文件中的设置，忽略其它配置文件的设置。

（4）配置文件注释：

        Ansible 配置文件中支持通过 # 和 ; 的方式进行注释。

        1）# 只支持行首注释，不支持行间注释；

        2）; 支持行间注释，左侧为有效内容，右侧为注释。

2、管理 Ansible 设置（ ansible.cfg ）：

        ansible.cfg 由几个部分（ section ）组成，每一 section 的内容以键值对形式定义，section 的标题用方括号括起。

        ansible.cfg 文件的基本配置包括以下两个部分：

（1）[defaults] ：设置 Ansible 的默认值；

（2）[privilege_escalation] ：配置 Ansible 如何在受管主机上执行特权升级。

注：参数说明如下表：

指令	描述
inventory	指定清单文件的路径
remote_user	指定 Ansible 用于连接受管主机的用户名，若未指定，则使用当前用户的名称 （注：在由 ansible-navigation 运行的基于容器自动化执行环境中，此参数始终为 root )
ask_pass	指示是否提示输入 SSH 密码 （注：若使用 SSH 公钥身份验证，默认值为 false ）
become	指定连接后是否在受管主机上自动切换用户
become_method	指定如何切换用户（注：默认为 sudo ）
become_user	指定要在受管主机上切换到哪个用户（注：默认为 root ）
become_ask_pass	指示是否提示输入 become_method 参数密码（注：默认为 false ）

3、查看 Ansible 配置：

        ansible-navigator config 命令将显示当前 Ansible 配置，每一行描述一个 Ansible 配置参数。

注：（1）如果项目目录中不含 ansible.cfg 文件，Ansible 会查询用户主目录中的 ~/.ansible.cfg 文件，如果该也文件不存在，则会尝试使用 /etc/ansible/ansible.cfg 文件；

       （2）如果使用 ansible-navigator ，则 ansible-navigator 命令会在自动化执行环境中查找以上这些文件。但在红帽支持的当前执行环境中，这些文件不存在或为空。

4、管理自动化内容导航（ ansible-navigator.yml ）：

        用户可为 ansible-navigator 创建配置文件，以覆盖设置的默认值。文件可采用 JSON（ .json ） 或 YAML（ .yml 或 .yaml ）格式。

（1）查找顺序：

        自动化内容导航（ Automation Content Navigator ）按以下顺序查找配置文件，并使用它找到的第一个文件：

        1）如果设置了 ANSIBLE_NAVIGATOR_CONFIG 环境变量，则使用所指定位置处的配置文件；

        2）当前 Ansible 项目目录中的 ansible-navigator.yml 文件；

        3）~/.ansible-navigator.yml 文件(主目录中)。

（2）ansible-navigator.yml 文件常见配置：

        1）execution-environment 部分配置 ansible-navigator 命令所用的执行环境的设置；

        2）定义执行环境要使用的容器镜像名称；

        3）只有在本地机器上不存在容器镜像时，才需要拉取容器镜像；

        4）enable 部分可禁用在使用 ansible-navigator run 命令时生成 playbook 工件（ artifact ）。如果运行 playbook 时需要提示输入密码，则必须禁用 playbook artifact 。

5、配置连接：

        Ansible 需要知道如何与受管主机通信，而这可以在配置文件（ ansible.cfg ）中设置，包括如下内容：

（1）inventory 的地址。

（2）与受管主机的连接方式，默认为 SSH 。

注：1）Ansible 默认尝试连接与控制节点相同的用户，除非在 remote_user 参数中定义。

       2）如果控制节点用户 SSH 到受管主机不需要输入密码，Ansible 将自动登录。如果不能，则需要 Ansbile 提示管理员输入密码（ ask_pass = true ）；

       3）建议提前为控制节点和受管主机建立 SSH password-less 连接。

（3）受管主机上的远程用户名，可能是 root，也可能是普通用户。

注：基于安全考虑，Ansible 需连接到受管主机的普通用户，然后进行提权获得 root 权限。

（4）如果是普通用户，需要知道如何提权成为 root（ sudo ）。

注：为了安全考虑，建议在 playbook 中设置 become: true ，而不是在 ansible.cfg 中设置 become = true（按需提权）。

（5）提权时是否需要提示输入 sudo 密码。