ansible的变量和机密

1. ansible的变量

​ 在ansible中使用变量,能让我们的工作变得更加灵活,在ansible中,变量的使用方式有很多种我们下面一一介绍。

1.1 变量的命名

​ 变量名应该由字母、数字、下划线组成,变量名需要以字母开头,ansible内置的关键字不能作为变量名

1.2 定义变量

​ ansible变量的定义方法也有很多,我们可以在ansible项目中的多个位置定义变量。可以大致的分为三个范围:

  • 全局范围:从命令行或Ansible配置定义的变量
  • Play范围:在play和相关结构中定义的变量
  • 主机范围:由清单、事实收集或注册的任务,在主机组和个别主机上定义的变量

如果在多个位置定义了相同名称的变量,则采用优先级别最高的变量。

在命令行上定义的变量优先级最高,其次是在play和相关结构中定义的变量,优先级最低的是在清单中定义的变量

1.3 在playbook中定义变量

​ 我们可以在playbook中直接定义变量定义的方式,定义的方式有两种:

​ 1. 使用vars来直接定义

[root@ansible playbook]# cat test.yml
---
- name: test
  hosts: all
  vars:
    user: jarry
    uid: 6000

​ 2. 使用vars_files来指定外部文件作为变量

[root@ansible playbook]# cat test.yml
---
- name: test
  hosts: all
  vars_files:
    - vars/users.yml
3. **借助with_items叠加变量**

ansible中可以借助with_items实现列表迭代的功能,作用于变量注册的行为上,就可以实现将多个结果赋值给同一个变量。

例如下面的playbook中,给出了3个item列表,并在shell模块中通过固定变量"{{item}}"分别迭代,第一次迭代的是haha,第二次迭代的是heihei,第三次迭代的是hehe,也就实现了3次循环。最后,将结果注册为变量hi_var。

---
    - hosts: all
      tasks:
        - name: test 
          shell: echo "{{item}}"
          with_items:
            - haha
            - heihei
            - hehe

指定的变量文件也需要用yaml格式来写,在这个文件中定义变量的方式如下:

[root@ansible playbook]# cat vars/users.yml
user: jarry
uid: 6000

1.4 在playbook中使用变量

​ 我们把变量放在双大括号里面。这样在我们执行任务时,ansible会自动将变量替换成我们所定义的值。

[root@ansible playbook]# cat test.yml 
---
- name: test
  hosts: all
  vars:
    user: jarry
  tasks:
    - name: create user
      user:
        name: "{{ user }}"		##像这样
        state: present
[root@ansible playbook]#

1.5 主机变量和组变量

直接用于主机清单的变量分为两种:

	1. 主机变量
	2. 组变量

主机变量优先于组变量,但playbook中定义的变量的优先级比这两者更高。

​ 定义主机和主机组的变量的首选做法是在与清单文件或目录相同的工作目录中,创建group_vars和host_vars两个目录。这两个目录分别包含用于定义组变量和主机变量的文件。

​ 建议的做法是使用host_vars和group_vars目录定义清单变量,而不直接在清单文件中定义它们。

​ 同样也是使用yaml格式来编写他们的变量

例如我们的清单文件是这样的:

[root@ansible ansible]# cat inventory 
[web1]
192.168.10.201 
1.1.1.1

[web2]
2.2.2.2
3.3.3.3

[webs:children]
web1
web2
[root@ansible ansible]#

那么我们定义他们的主机变量应该这样定义:

[root@ansible ansible]# mkdir host_vars
[root@ansible ansible]# vim host_vars/192.168.10.201
[root@ansible ansible]# cat host_vars/192.168.10.201 
user: jarry
package: httpd
[root@ansible ansible]# ls host_vars/
1.1.1.1  192.168.10.201  2.2.2.2  3.3.3.3
[root@ansible ansible]#

每一台主机定义变量的文件都需要与主机名一致

那么我们定义他们的组变量应该这样定义:

[root@ansible ansible]# vim group_vars/web1
[root@ansible ansible]# cat group_vars/web1
package: httpd
[root@ansible ansible]# ls group_vars/
web1  web2  webs
[root@ansible ansible]#

所以我们这整个的结构就是:

[root@ansible ansible]# tree 
.
├── ansible.cfg
├── group_vars
│   ├── web1
│   ├── web2
│   └── webs
├── host_vars
│   ├── 1.1.1.1
│   ├── 192.168.10.201
│   ├── 2.2.2.2
│   └── 3.3.3.3
├── inventory
└── playbook
    ├── test.yml
    └── vars
        └── users.yml

4 directories, 11 files
[root@ansible ansible]#

1.6 在命令行中定义变量

​ 变量可以在命令行中进行定义,他的优先级最高,可以覆盖已经定义过的变量,不过只是一次性的

​ 我们使用-e参数就可以实现:

[root@ansible ansible]# ansible-playbook playbook/test.yml -e "user=tom"

1.7 使用组来优化变量的定义

​ 用组来分类变量,可以让变量变得更加的可读

例如,我们有下面这些变量:

user1_first_name: Bob
user1_last_name: Jones
user1_home_dir: /users/bjones
user2_first_name: Anne
user2_last_name: Cook
user2_home_dir: /users/acook

我们可以把他优化成组:

users:
  bjones:
    first_name: Bob
    last_name: jones
    home_dir: /users/bjones
  acook:
    first_name: Anne
    last_name: Cook
    home_dir: /users/acook

则我们需要这样来引用变量:

users.bjones.first_name		##输出为Bob

users.acook.home_dir		##输出为/users/acook

也可这样来引用:

users['bjones']['first-name']		##输出为Bob

users['acook']['home_dir']			##输出为/users/acook

但是要注意,同一项目文件内要采用相同的语法,不要混用

1.8 注册变量

​ 我们可以在playbook文件中使用register来捕获命令输出输出保存在一个临时变量中,然后在playbook中可用于调试用途或者达成其他目的,例如基于命令输出的特定配置。

以下playbook演示了如何为调试用途捕获命令输出:

[root@ansible ansible]# vim playbook/test.yml 
[root@ansible ansible]# cat playbook/test.yml
---
- name: test
  hosts: all
  tasks:
    - name: create user
      user:
        name: jarry
        uid: 6000
        state: present
      register: create_user_jarry

    - debug: var=create_user_jarry
[root@ansible ansible]# 

运行该playbook:

[root@ansible ansible]# ansible-playbook  playbook/test.yml

PLAY [test] **********************************************************************************************
TASK [Gathering Facts] ***********************************************************************************ok: [192.168.10.201]

TASK [create user] ***************************************************************************************ok: [192.168.10.201]

TASK [debug] *********************************************************************************************ok: [192.168.10.201] => {
    "create_user_jarry": {
        "append": false,
        "changed": false,
        "comment": "",
        "failed": false,
        "group": 6000,
        "home": "/home/jarry",
        "move_home": false,
        "name": "jarry",
        "shell": "/bin/bash",
        "state": "present",
        "uid": 6000
    }
}

PLAY RECAP ***********************************************************************************************192.168.10.201             : ok=3    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

[root@ansible ansible]#

2. ansible管理机密

2.1 Ansible Vault

​ Ansible可能需要访问密码或API密钥等敏感数据,以便能配置受管主机。通常,此信息可能以纯文本形式存储在清单变量或其他Ansible文件中。但若如此,任何有权访问Ansible文件的用户或存储这些Ansible文件的版本控制系统都能够访问此敏感数据。这显示存在安全风险。

​ Ansible提供的Ansible Vault可以加密和解密任何由Ansible使用的结构化数据文件。若要使用Ansible Vault,可通过一个名为ansible-vault的命令行工具创建、编辑、加密、解密和查看文件。Ansible Vault可以加密任何由Ansible使用的结构化数据文件。这可能包括清单变量、playbook中含有的变量文件、在执行playbook时作为参数传递的变量文件,或者Ansible角色中定义的变量。

2.2 创建加密文件

​ 创建加密文件我们可以用下面这个命令:

[root@ansible ansible]# ansible-vault create test1.yml
New Vault password: 
Confirm New Vault password:

​ 我们也可以将密码放入一个文件内,然后指定那个文件作为密码,而不通过标准输入的方式来输入密码:

[root@ansible ansible]# ansible-vault create --vault-password-file=vault-pass test2.yml

2.3 加密现有文件

​ 加密现有文件我们可以用下面这个命令:

[root@ansible ansible]# ansible-vault encrypt test3.yml 
New Vault password: 
Confirm New Vault password: 
Encryption successful

2.4 更改加密文件的密码

​ 更改加密文件的密码可以用这个命令:

[root@ansible ansible]# ansible-vault rekey test3.yml 
Vault password: 			##输入旧密码
New Vault password: 			##输入新密码
Confirm New Vault password: 		##再次输入新密码
Rekey successful
[root@ansible ansible]#

​ 也可使用–new-vault-password-file选项来指定需要设置的新密码存放的文件:

[root@ansible ansible]# ansible-vault rekey --new-vault-password-file=vault-pass test3.yml 
Vault password:           ##只需输入旧密码
Rekey successful
[root@ansible ansible]#

2.5 查看加密的文件内容

​ 我们加密过后的文件不能直接用cat命令查看,可以使用ansible-vault view filename命令查看Ansible Vault加密的文件

[root@ansible ansible]# ansible-vault view test3.yml 
Vault password: 
nihao 
hello world
[root@ansible ansible]#

2.6 编辑现有的加密文件

​ 我们加密过后的文件不能直接用vi命令查看,可以使用ansible-vault edit filename命令来对加密文件进行编辑。

[root@ansible ansible]# ansible-vault edit test3.yml 
Vault password: 
[root@ansible ansible]#

2.7 解密现有文件

​ 现有的加密文件可以通过ansible-vault decrypt filename命令来进行解密

[root@ansible ansible]# ansible-vault decrypt test3.yml 
Vault password: 
Decryption successful
[root@ansible ansible]# cat test3.yml 
nihao 
hello world
[root@ansible ansible]#

2.8 使用加密文件

​ 我们在为清单文件或playbook进行加密后再需要去使用他们时会报错:

[root@ansible ansible]# ansible all -m ping
[WARNING]:  * Failed to parse /etc/ansible/inventory with yaml plugin: Attempting to decrypt but no vault
secrets found
[WARNING]:  * Failed to parse /etc/ansible/inventory with ini plugin: Attempting to decrypt but no vault
secrets found
[WARNING]: Unable to parse /etc/ansible/inventory as an inventory source
[WARNING]: No inventory was parsed, only implicit localhost is available
[WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost
does not match 'all'
[root@ansible ansible]#

​ 那么我们使用他们时需要使用–vault-id选项来告诉ansible他们的密码

注意,–vault-id是指定存放密码的文件,格式是 ”–vault-id one@密码文件“ 那个one可以自定义,也就是说该选项可以指定多个密码文件,对于不同文件有不同的面。

[root@ansible ansible]# ansible --vault-id @vault-pass all -m ping
192.168.10.201 | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/libexec/platform-python"
    },
    "changed": false,
    "ping": "pong"
}
[root@ansible ansible]#

​ 也可使用–vault-password-file选项指定以纯文本存储加密密码的文件

和–vault-id选项是一样的,但是现在官方推荐使用–vault-id选项代替–vault-password-file选项指定密码文件

[root@ansible ansible]# ansible-playbook --vault-password-file=vault-pass playbook/test.yml

​ 上面都是指定密码文件的方式,也可以直接使用交互式输入的方式告诉ansible密码

使用–ask-vault-pass进行交互式输入的方式告诉ansible密码

[root@ansible ansible]# ansible-playbook --ask-vault-pass playbook/test.yml 
Vault password:

以上就是ansible的变量与机密

热门文章

暂无图片
编程学习 ·

Java输出数组的内容

Java输出数组的内容_一万个小时-CSDN博客_java打印数组内容1. 输出内容最常见的方式// List<String>类型的列表List<String> list new ArrayList<String>();list.add("First");list.add("Second");list.add("Third");list.ad…
暂无图片
编程学习 ·

母螳螂的“魅惑之术”

在它们对大蝗虫发起进攻的时候&#xff0c;我认认真真地观察了一次&#xff0c;因为它们突然像触电一样浑身痉挛起来&#xff0c;警觉地面对限前这个大家伙&#xff0c;然后放下自己优雅的身段和祈祷的双手&#xff0c;摆出了一个可怕的姿势。我被眼前的一幕吓到了&#xff0c;…
暂无图片
编程学习 ·

疯狂填词 mad_libs 第9章9.9.2

#win7 python3.7.0 import os,reos.chdir(d:\documents\program_language) file1open(.\疯狂填词_d9z9d2_r.txt) file2open(.\疯狂填词_d9z9d2_w.txt,w) words[ADJECTIVE,NOUN,VERB,NOUN] str1file1.read()#方法1 for word in words :word_replaceinput(fEnter a {word} :)str1…
暂无图片
编程学习 ·

HBASE 高可用

为了保证HBASE是高可用的,所依赖的HDFS和zookeeper也要是高可用的. 通过参数hbase.rootdir指定了连接到Hadoop的地址,mycluster表示为Hadoop的集群. HBASE本身的高可用很简单,只要在一个健康的集群其他节点通过命令 hbase-daemon.sh start master启动一个Hmaster进程,这个Hmast…
暂无图片
编程学习 ·

js事件操作语法

一、事件的绑定语法 语法形式1 事件监听 标签对象.addEventListener(click,function(){}); 语法形式2 on语法绑定 标签对象.onclick function(){} on语法是通过 等于赋值绑定的事件处理函数 , 等于赋值本质上执行的是覆盖赋值,后赋值的数据会覆盖之前存储的数据,也就是on…
暂无图片
编程学习 ·

Photoshop插件--晕影动态--选区--脚本开发--PS插件

文章目录1.插件界面2.关键代码2.1 选区2.2 动态晕影3.作者寄语PS是一款栅格图像编辑软件&#xff0c;具有许多强大的功能&#xff0c;本文演示如何通过脚本实现晕影动态和选区相关功能&#xff0c;展示从互联网收集而来的一个小插件&#xff0c;供大家学习交流&#xff0c;请勿…
暂无图片
编程学习 ·

vs LNK1104 无法打开文件“xxx.obj”

写在前面&#xff1a; 向大家推荐两本新书&#xff0c;《深度学习计算机视觉实战》和《学习OpenCV4&#xff1a;基于Python的算法实战》。 《深度学习计算机视觉实战》讲了计算机视觉理论基础&#xff0c;讲了案例项目&#xff0c;讲了模型部署&#xff0c;这些项目学会之后可以…
暂无图片
编程学习 ·

工业元宇宙的定义与实施路线图

工业元宇宙的定义与实施路线图 李正海 1 工业元宇宙 给大家做一个关于工业元宇宙的定义。对于工业&#xff0c;从设计的角度来讲&#xff0c;现在的设计人员已经做到了普遍的三维设计&#xff0c;但是进入元宇宙时代&#xff0c;就不仅仅只是三维设计了&#xff0c;我们的目…
暂无图片
编程学习 ·

【leectode 2022.1.15】完成一半题目

有 N 位扣友参加了微软与力扣举办了「以扣会友」线下活动。主办方提供了 2*N 道题目&#xff0c;整型数组 questions 中每个数字对应了每道题目所涉及的知识点类型。 若每位扣友选择不同的一题&#xff0c;请返回被选的 N 道题目至少包含多少种知识点类型。 示例 1&#xff1a…
暂无图片
编程学习 ·

js 面试题总结

一、js原型与原型链 1. prototype 每个函数都有一个prototype属性&#xff0c;被称为显示原型 2._ _proto_ _ 每个实例对象都会有_ _proto_ _属性,其被称为隐式原型 每一个实例对象的隐式原型_ _proto_ _属性指向自身构造函数的显式原型prototype 3. constructor 每个prot…
暂无图片
编程学习 ·

java练习代码

打印自定义行数的空心菱形练习代码如下 import java.util.Scanner; public class daYinLengXing{public static void main(String[] args) {System.out.println("请输入行数");Scanner myScanner new Scanner(System.in);int g myScanner.nextInt();int num g%2;//…
暂无图片
编程学习 ·

RocketMQ-什么是死信队列?怎么解决

目录 什么是死信队列 死信队列的特征 死信消息的处理 什么是死信队列 当一条消息初次消费失败&#xff0c;消息队列会自动进行消费重试&#xff1b;达到最大重试次数后&#xff0c;若消费依然失败&#xff0c;则表明消费者在正常情况下无法正确地消费该消息&#xff0c;此时…
暂无图片
编程学习 ·

项目 cg day04

第4章 lua、Canal实现广告缓存 学习目标 Lua介绍 Lua语法 输出、变量定义、数据类型、流程控制(if..)、循环操作、函数、表(数组)、模块OpenResty介绍(理解配置) 封装了Nginx&#xff0c;并且提供了Lua扩展&#xff0c;大大提升了Nginx对并发处理的能&#xff0c;10K-1000K Lu…
暂无图片
编程学习 ·

输出三角形

#include <stdio.h> int main() { int i,j; for(i0;i<5;i) { for(j0;j<i;j) { printf("*"); } printf("\n"); } }
暂无图片
编程学习 ·

stm32的BOOTLOADER学习1

序言 最近计划学习stm32的BOOTLOADER学习,把学习过程记录下来 因为现在网上STM32C8T6还是比较贵的,根据我的需求flash空间小一些也可以,所以我决定使用stm32c6t6.这个芯片的空间是32kb的。 #熟悉芯片内部的空间地址 1、flash ROM&#xff1a; 大小32KB&#xff0c;范围&#xf…
暂无图片
编程学习 ·

通过awk和shell来限制IP多次访问之学不会你打死我

学不会你打死我 今天我们用shell脚本&#xff0c;awk工具来分析日志来判断是否存在扫描器来进行破解网站密码——限制访问次数过多的IP地址&#xff0c;通过Iptables来进行限制。代码在末尾 首先我们要先查看日志的格式&#xff0c;分析出我们需要筛选的内容&#xff0c;日志…
暂无图片
编程学习 ·

Python - 如何像程序员一样思考

在为计算机编写程序之前&#xff0c;您必须学会如何像程序员一样思考。学习像程序员一样思考对任何学生都很有价值。以下步骤可帮助任何人学习编码并了解计算机科学的价值——即使他们不打算成为计算机科学家。 顾名思义&#xff0c;Python经常被想要学习编程的人用作第一语言…
暂无图片
编程学习 ·

蓝桥杯python-数字三角形

问题描述 虽然我前后用了三种做法&#xff0c;但是我发现只有“优化思路_1”可以通过蓝桥杯官网中的测评&#xff0c;但是如果用c/c的话&#xff0c;每个都通得过&#xff0c;足以可见python的效率之低&#xff08;但耐不住人家好用啊&#xff08;哭笑&#xff09;&#xff09…