Infra/Ansible の履歴(No.51)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Infra/Ansible へ行く。
  • 1 (2015-04-24 (金) 07:23:15)
  • 2 (2015-04-24 (金) 09:14:24)
  • 3 (2015-04-27 (月) 01:37:42)
  • 4 (2015-04-27 (月) 05:46:14)
  • 5 (2015-04-27 (月) 10:04:32)
  • 6 (2015-05-15 (金) 10:54:23)
  • 7 (2015-05-18 (月) 08:28:59)
  • 8 (2015-05-18 (月) 09:08:11)
  • 9 (2015-05-19 (火) 02:19:48)
  • 10 (2015-05-20 (水) 08:47:50)
  • 11 (2015-05-21 (木) 11:07:56)
  • 12 (2015-05-22 (金) 08:30:32)
  • 13 (2015-05-26 (火) 06:46:38)
  • 14 (2015-05-26 (火) 13:12:44)
  • 15 (2015-05-27 (水) 01:13:57)
  • 16 (2015-05-28 (木) 00:00:41)
  • 17 (2015-05-28 (木) 06:47:39)
  • 18 (2015-05-28 (木) 12:06:03)
  • 19 (2015-05-29 (金) 01:23:34)
  • 20 (2015-05-29 (金) 08:19:05)
  • 21 (2015-05-30 (土) 06:09:38)
  • 22 (2015-05-31 (日) 09:34:42)
  • 23 (2015-06-01 (月) 07:36:21)
  • 24 (2015-06-01 (月) 22:27:57)
  • 25 (2015-06-03 (水) 09:26:55)
  • 26 (2015-06-09 (火) 10:51:49)
  • 27 (2015-06-09 (火) 13:50:05)
  • 28 (2015-06-10 (水) 06:03:46)
  • 29 (2015-06-10 (水) 09:09:12)
  • 30 (2015-06-10 (水) 21:59:53)
  • 31 (2015-06-12 (金) 08:18:50)
  • 32 (2015-06-15 (月) 06:50:36)
  • 33 (2015-06-19 (金) 00:08:43)
  • 34 (2015-06-22 (月) 05:49:27)
  • 35 (2015-06-29 (月) 07:17:12)
  • 36 (2015-07-01 (水) 02:00:01)
  • 37 (2015-07-04 (土) 14:13:44)
  • 38 (2015-07-07 (火) 10:27:05)
  • 39 (2015-07-14 (火) 01:13:10)
  • 40 (2015-07-16 (木) 09:25:17)
  • 41 (2016-02-17 (水) 08:42:46)
  • 42 (2016-04-25 (月) 11:39:38)
  • 43 (2016-06-15 (水) 09:00:10)
  • 44 (2016-07-25 (月) 04:12:51)
  • 45 (2016-07-25 (月) 23:25:27)
  • 46 (2016-09-20 (火) 12:28:16)
  • 47 (2016-10-29 (土) 14:07:57)
  • 48 (2016-10-30 (日) 09:12:54)
  • 49 (2017-06-02 (金) 16:41:16)
  • 50 (2018-03-06 (火) 09:34:14)
  • 51 (2018-10-25 (木) 07:52:41)
  • 52 (2019-08-12 (月) 15:33:57)
  • 53 (2020-04-07 (火) 00:08:01)
  • 54 (2020-05-21 (木) 19:44:28)
  • 55 (2020-05-31 (日) 10:33:01)
  • 56 (2020-08-22 (土) 13:14:02)
  • 57 (2020-12-28 (月) 19:52:06)
  • 58 (2022-10-14 (金) 13:16:53)

---

• プロビジョニングツール

自作Ansible対応状況†

VPS†

自宅†

Ansible完全読本†

• ansible-pullを使うとpull型アーキテクチャにも対応できる。
• rawモジュールを利用するとpythonなしでも利用できる。python自体をリモートにインストールするとか！

最新版はつかわないこと†

• 2.3.1.0にてs3のアップロードに失敗するバグに遭遇

2.0への移行†

2.0が2016/01にリリースされたが随所で変更が必要。

Block†

複数の処理をまとめることができる。さらにrescue,alwaysを組み合わせるときり戻しに近いことができる。

インベントリなどのsudo†

playbookのsudo†

playbookの変数†

[DEPRECATION WARNING]: Using bare variables is deprecated. Update your playbooks so that the environment value uses the full variable syntax ('{{yum_basic_items}}').This feature will be removed in a future release. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg.

with_items:
  yum_epel_items → '{{ yum_epel_items }}'に変更

定義済み変数の確認†

ansible -m setup localhost
ansible -m setup -i hoset HOSTNAME

インストール前に†

コントロールされる側に以下のパッケージが必要。

python-simplejson

Install†

• Pythonのパッケージ管理であるpipを使うと楽。python-develとgccが必要。

yum install python27-devel
pip-2.7 install ansible

• EPEL から yum でもインストール可能。

yum install ansible --enablerepo=epel

CentOS 6.x†

yum install python-pip.noarch
yum install python-devel.x86_64
pip install PyCrypto==2.3
pip install ansible

yumかaptかの判定†

when: ansible_pkg_mgr == 'apt' or 'yum'

Windows/CygwinでAnsible†

• 以下のパッケージが必要

1. gcc-core
2. openssh
3. python
4. python-setuptools

• cygwinで以下のコマンド実施して入れる

easy_install-2.7 pip
pip2.7 install ansible

• sshパスワードログインするにはsshpassが必要。

　http://server-setting.info/blog/sshpass-cygwin-autologin.html#sshpass_1

設定ファイル†

ansible.cfgファイルの探す順番は以下の通り。

1. カレントディレクトリ
2. 環境変数の ANSIBLE_CONFIG or ~/ansible.cfg
3. /etc/ansible/ansible.cfg

カレントにおいておけばそこが一番に読み込まれる。以下のように記載しておけば-iでインベントリを指定しなくてよい。

[defaults]
hostfile       = hosts

インベントリ(操作対象ホスト)†

# local
localhost ansible_connection=local
# SSHポート 10022でユーザーはremote_user
remote.example.com  ansible_ssh_port=10022  ansible_ssh_user=remote_user ansible_ssh_private_key_file=~/.ssh/KEY_FILE  ansible_ssh_host=192.168.1.50

クラウド向けにはDynamic Inventoryという概念がある。詳細は公式HPで収集せよ。

パラメータ†

変数定義†

hoge: value
hogearray:
  - one
  - two
  - three

ワンラインで簡易実行†

• インベントリを用意を用意して以下のように実行する。

文法チェックと空実行(dry run)†

• 文法チェック

ansible-playbook -i hosts simple-playbook.yml --syntax-check

• タスク一覧の表示

ansible-playbook -i hosts simple-playbook.yml --list-tasks

• 空実行(dry run)

ansible-playbook -i hosts simple-playbook.yml -C

推奨ディレクトリ構成†

TOP
  -vars
  -roles
  hosts

Role†

• 公式サイトによればRoleは非常に便利とのこと

Playbook†

- hosts: all
  user: hoge
  tasks:
    - script: /home/hoge/test.sh

インクルード(条件分岐あり)†

---
- include: setup-web.yml
  when: type == "WEB"
- include: setup-db.yml
  when: type== "DB"

yum まとめてインスコ†

- name: yum install
  yum:
    name={{ item }}
  with_items:
   - httpd
   - php

httpd,openjdkインストール(分割推奨)†

- hosts: web03
  user: ec2-user
  tasks:
    - name: Install httpd
      yum: name=httpd state=latest
      sudo: yes
    - name: apacheが起動していることを確認
      action: service name=httpd state=started
      sudo: yes
    - name: "設定の修正(1)"
      lineinfile: >-
        dest='/etc/httpd/conf/httpd.conf'
        state=present
        backrefs=yes
        regexp='^#?\s*ServerTokens'
        line='ServerTokens Prod'
      sudo: yes
      notify: apache restart
    - name: Install openJDK
      yum: name=java-1.8.0-openjdk-devel state=latest
      sudo: yes
  handlers:
    - name: apache restart
      service:
        name=httpd
        state=restarted
      sudo: yes

• セキュリティ周りの設定tag名称をsecurityにしている。

ansible-playbook -i hosts tcp_wrapper.yml --tags "security"

- hosts: web03
  user: ec2-user
  tasks:
    - name: deny all service
      lineinfile: >-
        dest='/etc/hosts.deny'
        state=present
        line='ALL: ALL'
      sudo: yes
      tags:
        - security
    - name: enable ssh for limited ip
      lineinfile: >-
        dest='/etc/hosts.allow'
        state=present
        line='sshd: 172.20.128.'
      tags:
        - security
        - othertag
      sudo: yes

• こちらはユーザーの作成。パスワードはハッシュ化したものを指定する。以下のコマンドで作成できる。

  python -c 'import crypt; print crypt.crypt("YOURPASSWORD", "$1$SomeSalt$")'

- hosts: web03
  user: ec2-user
  vars:
    user_name: normaluser
    user_pass: '$6$P0ky3YE5$JNFD0EuY52rXeVtNVypSMkB3chjHWu9z3o.8KMANeblkEe8p7ZOD0HSuPGT0pbzgHW2kP.xo4zE17tM6wy.1Y1'
  tasks:
    - name: Add a new user
      user: name={{user_name}} password={{user_pass}} groups=wheel state=present
      sudo: yes

- hosts: web03
  user: ec2-user
  tasks:
    - name: touch
      shell: touch /var/tmp/{{ item.path }}
      with_items:
        - { path: 'hoge' }
        - { path: 'fuga' }
    - name: result test
      shell: echo "hoge"
      register: result
      failed_when: result.rc not in [0, 1]
    - name: catしたものをcontents変数に入れる
      shell: cat /etc/passwd
      register: contents
    - name: contents変数の標準出力にrootが含まれるときは実施
      shell: ls
      when: contents.stdout.find('root') != -1
    - name: 日付変数を作成してそのファイルを作る
      shell: date +'%Y%M%d%I%M%S'
      register: datestring
    - name: 日付のフォルダ作成
      shell: touch /var/tmp/{{ datestring.stdout }}
    - name: symlink作成
      file: src=/var/tmp/{{ datestring.stdout }} dest=/var/tmp/latest state=link

• 公開鍵を設定

- name: setup authorized_key
  authorized_key: user=user1 key="{{ item }}"
  with_file:
    - id_rsa.pub

• ディレクトリを列挙して、それを消す

   - name: 古いディレクトリを特定する。
     shell: ls -t1 | tail -n +5
     args:
       chdir: /var/tmp
     register: old_dirs
   - name: 古いディレクトリ削除
     file: path={{ item }}
     with_items: old_dirs.stdout_lines

• Jenkins.warがなければダウンロードさせる(ファイル存在チェックとダウンロード)

- name: jenkins exists check
  stat: path=/var/cache/ansible/jenkins.war
  register: jenkins
- name: Jenkinsをダウンロードする
  get_url:
    url: http://mirrors.jenkins-ci.org/war/latest/jenkins.war
    dest: /var/cache/ansible/
  when: jenkins.stat.exists == False

Taskモジュール†

• 出来合いのモジュールがたくさんある

一覧†

変数の出力†

-name: debug
 debug: var=p

MySQL操作†

リモート側にMySQL-pythonモジュールが必要。場合によってはyumではなくpipで入れないと認識しないので注意。

- name: MySQL DB 設定
  mysql_db: name=DB_NAME state=present
- name: MySQL user hoge 追加(ローカル限定のユーザ)
  mysql_user: name=hoge password=hoge priv=DB_NAME.*:ALL state=present
- name: MySQL user hoge 追加(どこからでもOKユーザー)
  mysql_user: name=hoge host=% password=hoge priv=DB_NAME.*:ALL state=present

EC2作成†

- name: ec2インスタンスを作成する
  ec2:
    aws_access_key: アクセスキー
    aws_secret_key: シークレットキー
    region: ap-northeast-1
    instance_type: t2.micro
    keypair: キーペア名称
    group: セキュリティグループ（複数ある場合はカンマ区切り)
    image: AMIイメージID
    vpc_subnet_id: サブネットID
    assign_public_ip: yes
    wait: yes
    instance_tags:
     Name: 名前
    volumes:
      - device_name: /dev/xvda
        snapshot: snap-07b5593c→AMIが利用しているsnapshot IP
        volume_size: 100
  register: ec2_status
  tags: create

EC2作成後.ssh/configにIP記載†

- name: .ssh/configに追記
  shell: >-
    echo Host awshost >> ~/.ssh/config;
    echo User ec2-user >> ~/.ssh/config;
    echo HostName {{ ec2_status.instances[0].public_ip }} >> ~/.ssh/config;
    echo IdentityFile ~/.ssh/YOUR_KEY.pem >> ~/.ssh/config;
  tags: ssh_config

• 結果の変数から取得できる値

s3アップロード/ダウンロード†

• get

- name: S3からMasterのIPをダウンロードする
  s3:
    aws_access_key: 
    aws_secret_key: 
    region: ap-northeast-1
    bucket: バケット名
    dest: /var/tmp/任意のパス
    object: /バケット名以下のパス/ファイル名
    mode: get

lineinfile†

置換に便利なモジュール

• 無条件で以下の一行を追加する（二度実行しても大丈夫）

- name: tomcat memory setting
  lineinfile:
    dest: /etc/tomcat8/tomcat8.conf
    line: JAVA_OPTS="-server"

• 正規表現に引っかかる行を置換する（複数の場合は最後に一致した行)

• name: tomcat javahome setting

   lineinfile:
     dest: /etc/tomcat8/tomcat8.conf
     regexp: ^JAVA_HOME
     line: JAVA_HOME="/usr/local/java/jdk1.8.0"

Command Module†

リモートでOSコマンドを実施する。

# Example from Ansible Playbooks.
- command: /sbin/shutdown -t now

# createsに指定されたファイルがない場合はcommandの処理を実行
- command: /usr/bin/make_database.sh arg1 arg2 creates=/path/to/database

# somedir以下に移動し、かつ
# createsに指定されたファイルがない場合はcommandの処理を実行
- command: /usr/bin/make_database.sh arg1 arg2
  args:
    chdir: somedir/
    creates: /path/to/database

#繰り返し処理のサンプル。変数定義済みであればwith_items:{{users}}でもOK
- name: add several users
  user: name={{ item }} state=present groups=wheel
  with_items:
     - testuser1
     - testuser2

#コンパイルのタスクだが、実際にはシェルが実行できるのでなんでもＯＫ
- name: Apacheコンパイル
  shell:
    make
      chdir=/usr/local/src/httpd-2.4.12
      creates=/usr/local/apache/2.4.12/bin/httpd

Script Module†

操作先にShellを送り込んで実行。操作先にpythonが必要ないのもメリット

Shell Module†

Ansibleの実行サーバー先にあるshファイルをリモートに送り込んで実行できる。

Tips†

途中から実施†

• start-at="taskのname"

一ステップずつ確認†

• step

外部変数(extra_vars)†

http://d.hatena.ne.jp/akishin999/20130818/1376824640

• 実行時に変数を指定する(extra-varsで指定したもの場すべてに優先する)

ansible-playbook -i hosts setup.yml --extra-vars "admintool_seup=true" --tags=admintool

SSH接続時のキーチェック無効化†

• 新規のサーバーだとそこで処理が止まってしまうので、鍵のチェックを無効化する。configに記載する方法はダメだったっぽい

Playbookがまったく実行されない†

- name: OK
-name: NG

謎のエラー†

ローカルのパーミッションがNGだと内部モジュールでエラーがでてわかりづらい。コピー元はtemplateディレクトリに入れておくべき！

roleの条件の変数を勝手に書き換えたらroleの残りがスキップされた†

考えてみりゃそりゃーそうだ。というわけで条件に使っている変数はグローバルなので変に共有しないこと！

条件†

変数は{{}}で囲まないので注意

- user: root
  hosts: all
  tasks:
    - name: install mlocate
      yum: name=mlocate state=installed
      when: install == "y"

初接続時の注意†

公開鍵が保持されていないとエラー。以下の記事を参考に自動化できぬものか！

http://qiita.com/kawaz/items/20983ec286088a1ae5c7

SSHパスワード接続時の注意†

--ask-passオプションをつけるとSSHパスワード接続で実行できるが、sshpass.x86_64をyumインストールしておく必要がある。パスワードだとキーチェックが入るので一回接続しておくか、下記で無効にしておく。

export ANSIBLE_HOST_KEY_CHECKING=False

Selinux有効だとエラー†

target uses selinux but python bindings (libselinux-python) aren't installed!

無効にしてしまう！

MysqlDB作成できない†

• 以下のエラー・・・。クライアント側にインストールが必要！

the python mysqldb module is required

マルチバイトのファイル名をunarchiveするとエラー。†

マルチバイトがあるのが残念なので、以下のコマンドで見つけて治す。

find . | grep \[^\ a-zA-Z0-9_:/@,%\\=\;\'\&\\\[\\+\\\(\\\)\\!\\.\\\-\]

proxy利用†

接続先がproxy必須の場合、Linuxの設定としてproxyをセットするのがよいかも！

• /etc/environment

ansible完全読本メモ†

• YAML 1.2には対応していないが、他のライブラリとの互換性で1.2に対応した記述をすると良い。特にBooleanの記載はtrue/falseにしておくこと