《Ansible权威指南 》一Ansible命令用法详解

本节书摘来自华章出版社《Ansible权威指南 》一书中的第2章，第2.3节，李松涛　魏　巍　甘　捷　著更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3　Ansible命令用法详解

Ansible命令行执行方式有Ad-Hoc、Ansible-playbook两种方式，Web化执行方式其官方提供了付费产品Tower（10台以内免费），个人的话可以基于其提供的API开发类似的Web化产品。关于命令行执行的两种方式Ad-Hoc和Ansible-playbooks、什么是Ad-Hoc及Ad-Hoc与Ansible-playbook的区别我们在第3章有详细介绍，这里不再赘述。需简要说明的是两者没有本质上的区别，Ad-Hoc主要用于临时命令的执行，Ansibel-playbook可以理解为Ad-Hoc的集合，通过一定的规则编排在一起。两者的操作也极其简便，且提供了如with_items、failed_when、changed_when、until、ignore_errors等丰富的逻辑条件和Dry-run的Check Mode。但在Chceck Mode下并不真正执行命令，即将执行的操作不会对端服务器产生任何影响，只模拟命令的执行过程是否能正常执行。
通过第1章的学习我们知道，Ansible的通信默认基于SSH，因此我们需要对主机先进行认证。Ansible认证方式有密码认证和公私钥认证两种方式，其实完全等同于SSH的认证，所以这里关于这两种认证方式不做过多介绍。Ansible默认使用（笔者也建议各位使用）公私钥认证方式，究其原因无非是出于安全的考虑，密码不用明文存放。以本机为例，执行如下命令即可添加本机认证信息。

// 随机生成公私钥对，ssh-keygen是Linux下认证密钥生成、管理和转换工具，详细用法可参考其man文档
ssh-keygen  -N "" -b 4096 -t rsa -C "stanley@magedu.com" -f /root/.ssh/stanley.rsa
// 为本机添加密钥认证
ssh-copy-id –i /root/.ssh/stanley.rsa root@localhost
输入的时候会有如下提示：
Are you sure you want to continue connecting (yes/no)?
输入全小写的英文字母yes即可。
而后会有类似如下提示输入对应root用户的密码信息：
root@localhost's password:
输入正确的密码信息后结果认证，随后在当前命令行输入如下命令尝试免密码登录：
ssh -i /root/.ssh/stanley.rsa root@localhost

如不提示输入密码即可直接登录则表示密钥验证成功。当然，这里只是为大家简要演示密钥认证的过程，实际应用中为方便起见，一般会使用非root用户生成默认文件名为id_rsa、id_rsa.pub的密钥对，在使用时通过sudo的方式获取权限。
Ansible的命令使用格式如下：

ansible <host-pattern> [options]

是Inventory中定义的主机或主机组，可以为ip、hostname、Inventory中的group组名、具有“.”或“*”或“：”等特殊字符的匹配型字符串，<>表示该选项是必须项，不可忽略。
[options]是Ansible的参数选项，[]表示该选项中的参数任选其一。
Ansible命令可用选项非常多，这里列举如下会用到的选项，详细选项可参考man或第3章。

-m NAME, --module-name=NAME：指定执行使用的模块。
-u USERNAME, --user=USERNAME：指定远程主机以USERNAME运行命令。
-s, --sudo：相当于Linux系统下的sudo命令。
-U SUDO_USERNAME, --sudo-user=SUDO_USERNAME：使用sudo，相当于Linux下的sudo命令。

具体示例如下：

// 以bruce用户执行ping存活检测
ansible all -m ping -u bruce
// 以bruce sudo至root执行ping存活检测
ansible all -m ping -u bruce --sudo
// 以bruce sudo至batman用户执行ping存活检测
ansible all -m ping -u bruce --sudo --sudo-user batman

但在新版本中Ansible的sudo命令废弃，改为--become或-b，如上命令需改为如下：

// 以bruce sudo至root执行ping存活检测
ansible all -m ping -u bruce -b
// 以bruce sudo至batman用户执行ping存活检测
ansible all -m ping -u bruce -b --become-user batman

Ansible-playbook的命令用法和Ansible略有不同，虽然参数选项与Ansible有很多相同的地方，但也新增了针对Ansible-playbook特有的参数。
Ansible-playbook的命令使用格式如下：

ansible-playbook playbook.yml
``
ansible-playbook命令后跟事先编辑好的playbook.yml文件即可。本节只简单介绍其用法，在第4、5、6章有大量内容介绍其写法、高级用法及优化方向。Ansible-playbook新增的功能参数如下：

--ask-vault-pass：加密playbook文件时提示输入密码。
-D, --diff：当更新的文件数及内容较少时，该选项可显示这些文件不同的地方，该选项结合-C用会有较好的效果。
-e EXTRA_VARS, --extra-vars=EXTRA_VARS：在Playbook中引入外部变量。
--f?lush-cache：将fact清除到的远程主机缓存。
--force-handlers：强制运行handlers的任务，即使在任务失败的情况下。
-i INVENTORY：指定要读取的Inventory文件。
--list-tags：列出所有可用的tags。
--list-tasks：列出所有即将被执行的任务。
--skip-tags=SKIP_TAGS：跳过指定的tags任务。
--start-at-task=START_AT_TASK：从第几条任务开始执行。
--step：逐步执行Playbook定义的任务，并经人工确认后继续执行下一步任务。
--syntax-check：检查Playbook中的语法书写。
-t TAGS, --tags=TAGS：指定执行该tags的任务。