Ansible基于Windows的管理架構(gòu)

一、前言

如《第1章Ansible發(fā)展史》介紹,作為關(guān)注度最高的集中化管理工具,Ansible同樣支持Windows系統(tǒng),只是相對Linux發(fā)行版無論在配置還是管理方式都有較大差別,本章來為大家詳細(xì)介紹。

二、Windows下Ansible工作原理

Ansible 從1.7+版本開始支持Windows,但前提是管理機(jī)必須為Linux系統(tǒng),遠(yuǎn)程主機(jī)的通信方式也由SSH變更為PowerShell,基于Kerberos認(rèn)證方式,同時(shí)管理機(jī)必須預(yù)安裝Python的Winrm模塊,方可和遠(yuǎn)程Windows主機(jī)正常通信,但PowerShell需3.0+版本且Management Framework 3.0+版本,實(shí)測Windows 7 SP1和Windows Server 2008 R2及以上版本系統(tǒng)經(jīng)簡單配置可正常與Ansible通信。簡單總結(jié)如下:

  • 管理機(jī)必須為Linux系統(tǒng)且需預(yù)安裝Python Winrm模塊
  • 底層通信基于PowerShell,認(rèn)證基于Kerberos
  • 遠(yuǎn)程主機(jī)PowerShell版本為3.0+,Management Framework版本為3.0+。

如上條件滿足后,方可正常和Ansible通信,下面章節(jié)我們逐步深入。

三、 Ansible管理機(jī)(linux)部署安裝

如上節(jié)介紹,基于Windows管理但管理機(jī)系統(tǒng)需為Linux系統(tǒng),且需預(yù)先安裝Python 的Winrm模塊:

pip install "pywinrm>=0.1.1"

如遠(yuǎn)程Windows主機(jī)是基于Active Directory(后文統(tǒng)一簡稱為AD)的管理方式,管理機(jī)和遠(yuǎn)程主機(jī)基于Kerbero認(rèn)證,需額外安裝python-kerbero和MIT krb5依賴庫。

步驟1、 安裝python-kerberos依賴,命令如下:

Yum方式(Centos,RedHat,Fedora)

yum -y install python-devel krb5-devel krb5-libs krb5-workstation

Apt方式 (Ubuntu)

sudo apt-get install python-dev libkrb5-dev

Portage方式 (Gentoo)

emerge -av app-crypt/mit-krb5emerge -av dev-python/setuptools

pkg 方式(FreeBSD)

sudo pkg install security/krb5

OpenCSW方式 (Solaris)

pkgadd -d http://get.opencsw.org/now/opt/csw/bin/pkgutil -U/opt/csw/bin/pkgutil -y -i libkrb5_3

Pacman方式 (Arch Linux)

pacman -S krb5
步驟2 、安裝python-kerberos,OSX和Linux發(fā)行版均默認(rèn)安裝,安裝命令如下:
pip install Kerberos
步驟3、配置Kerberos,配置/etc/krb5.conf,添加如下內(nèi)容
[realms] MY.DOMAIN.COM = {  kdc = domain-controller1.my.domain.com  kdc = domain-controller2.my.domain.com }

之后于 [domain_realm] 后添加如下內(nèi)容:

[domain_realm]    .my.domain.com = MY.DOMAIN.COM

通過以下命令驗(yàn)證域賬戶認(rèn)證情況:

kinit user@MY.DOMAIN.COM
步驟4、同理配置Inventory主機(jī)信息和group_vars/windows.yml變量信息,Inventory添加如下信息:
[windows]win1.magedu.comwin2.magedu.com

group_vars/windows.yml添加如下信息:

ansible_user: Administratoransible_password: magedu@beijingansible_port: 5986ansible_connection: winrmansible_winrm_server_cert_validation: ignore

若windows使用本地賬號連接,則可直接在/etc/ansible/hosts上配置(如下 ):

xw-win ansible_user="Administrator" ansible_password="0" ansible_port="5986" ansible_connection="winrm" ansible_winrm_server_cert_validation="ignore"

至此,服務(wù)端配置完畢,如需和遠(yuǎn)程Windows正常通信仍需對Windows做一定配置修改。詳細(xì)如下

四、Windows系統(tǒng)預(yù)配置

(使用ansible官方自動配置腳本ConfigureRemotingForAnsible.ps1和自動升級powershell的腳本upgrade_to_ps3.ps1即可完成配置,記錄要允許powershell執(zhí)行腳本:set-executionpolicy -executionpolicy unrestricted)
和Linux發(fā)版版稍有區(qū)別,遠(yuǎn)程主機(jī)系統(tǒng)如為Windows需預(yù)先如下配置:

  • 安裝Framework 3.0+
  • 設(shè)置PowerShell本地腳本運(yùn)行權(quán)限為remotesigned
  • 升級PowerShell至3.0+
  • 自動設(shè)置Windows遠(yuǎn)端管理,英文全稱WS-Management(WinRM)

我們逐一介紹:

安裝Framework 3.0+

下載鏈接為:http://download.microsoft.com/download/B/A/4/BA4A7E71-2906-4B2D-A0E1-80CF16844F5F/dotNetFx45_Full_x86_x64.exe。 下載至本地后雙擊左鍵安裝即可,期間可能會多次重啟,電腦需正常連接Internet。

設(shè)置PowerShell本地腳本運(yùn)行權(quán)限為remotesigned

因Windows系統(tǒng)默認(rèn)不允許非Adminitor外的普通用戶執(zhí)行SP腳本,即使是管理員,如下開放P腳本執(zhí)行權(quán)限。
步驟1 打開CMD輸入regedit.exe 如下圖打開注冊表。


步驟2 設(shè)置SP腳本系統(tǒng)可運(yùn)行。

依次打開注冊表目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell
如圖下圖修改SP腳本可執(zhí)行權(quán)限為remotesigned。


或者,打開PowerShell執(zhí)行命令:set-executionpolicy -executionpolicy unrestricted 返回結(jié)果如圖


這里共4種權(quán)限:

  • Restricted—默認(rèn)的設(shè)置, 不允許任何script運(yùn)行;
  • AllSigned—只能運(yùn)行經(jīng)過數(shù)字證書簽名的script;
  • RemoteSigned—運(yùn)行本地的script不需要數(shù)字簽名,但是運(yùn)行從網(wǎng)絡(luò)上下載的script就必須要有數(shù)字簽名;
  • Unrestricted—允許所有的script運(yùn)行。
升級PowerShell至3.0+

PowerShell 3.0+ 需基于Windows 7 Sp1安裝,Windows7系統(tǒng)Sp1補(bǔ)丁升級請參考http://windows.microsoft.com/installwindows7sp1,這里不作詳細(xì)介紹。Window 7和Windows Server 2008 R2默認(rèn)安裝的有PowerShell,但版本號一般為2.0版本,所以我們需升級至3.0+,如下圖中數(shù)字1部分表示PowerShell版本過低需3.0+版本,數(shù)字2部分表示當(dāng)前PowerShell版本為2.0

PowerShell至3.0+版本,下載地址如下:
https://github.com/cchurch/ansible/blob/devel/examples/scripts/upgrade_to_ps3.ps1。下載至本地后,如圖10-5右鍵選擇“使用PowerShell運(yùn)行”,執(zhí)行完畢重啟系統(tǒng)后,在PowerShell執(zhí)行Get-Host命令結(jié)果如下圖所示PowerShell版本為3.0為正常。


步驟4、自動設(shè)置Windows遠(yuǎn)端管理(WS-Management,WinRM)

下載補(bǔ)丁腳本

https://github.com/ansible/ansible/blob/devel/examples/scripts/ConfigureRemotingForAnsible.ps1,下載至本地,右擊后選擇“使用PowerShell運(yùn)行”,執(zhí)行結(jié)果沒有返回錯誤即為正常。
如執(zhí)行出現(xiàn)“由于此計(jì)算機(jī)上的網(wǎng)絡(luò)連接類型之一設(shè)置為公用,因此 WinRM防火墻例外將不運(yùn)行”類似報(bào)錯,請?jiān)赑owerShell中執(zhí)行命令嘗試解決。

Enable-PSRemoting – SkipNetworkProfileCheck –Force

好了,遠(yuǎn)程Windows主機(jī)配置到此結(jié)束,我們驗(yàn)證配置的是否有問題,在Master機(jī)做如下設(shè)置:
步驟1、配置Inventory 添加/etc/ansible/hosts配置。

[windows]192.168.37.146 ansible_ssh_user="Administrator" ansible_ssh_pass="magedu@beijing" ansible_ssh_port=5986 ansible_connection="winrm"

步驟2、在Master上執(zhí)行命令:

ansible windows -m win_ping

返回結(jié)果如下圖所示:



注意:Windows系統(tǒng)建議使用Administrator用戶,避免不可預(yù)知的問題。命令運(yùn)行前請?jiān)O(shè)置Administrator可登錄且登錄密碼為magedu@beijjing。

五、Windows下可用模塊

  • Windows下可用模塊雖不及Linux豐富,但基礎(chǔ)功能均包括在內(nèi),如下介紹日常工作常用到的模塊,請參考。
  • win_acl (E) —設(shè)置文件/目錄屬主屬組權(quán)限;
  • win_copy—拷貝文件到遠(yuǎn)程Windows主機(jī);
  • win_file —創(chuàng)建,刪除文件或目錄;
  • win_lineinfile—匹配替換文件內(nèi)容;
  • win_package (E) —安裝/卸載本地或網(wǎng)絡(luò)軟件包;
  • win_ping —Windows系統(tǒng)下的ping模塊,常用來測試主機(jī)是否存活;
  • win_service—管理Windows Services服務(wù);
  • win_user —管理Windows本地用戶。

更多模塊及詳細(xì)功能介紹請參考官網(wǎng):http://docs.ansible.com/ansible/list_of_windows_modules.html除win開頭的模塊外,scripts,raw,slurp,setup模塊在Windows 下也可正常使用。

六、Windows Ansible模塊使用實(shí)戰(zhàn)

本節(jié)通過幾個(gè)實(shí)戰(zhàn)案例為大家演示一些常用模塊用法。

案例1: 傳輸/etc/passwd文件至遠(yuǎn)程E:\file\目錄下

執(zhí)行命令:

ansible windows -m win_copy -a 'src=/etc/passwd dest=E:\file\passwd'

返回結(jié)果:

192.168.37.146 | success >> {    "changed": true,    "checksum": "896d4c79f49b42ff24f93abc25c38bc1aa20afa0",    "operation": "file_copy",    "original_basename": "passwd",    "size": 2563}

部分返回結(jié)果詮釋:

  • “operation”: “file_copy”—執(zhí)行的操作為 file_copy;
  • “original_basename”: “passwd”—件名為 passwd;
  • “size”: 2563—文件大小為 2563 bytes。

Playbook寫法如下:

---- name: windows module example  hosts: windows  tasks:     - name: Move file on remote Windows Server from one location to another       win_file: src=/etc/passwd dest=E:\file\passwd
案例2: 刪除案例1中的E:\file\passwd。

執(zhí)行命令:

ansible windows -m win_file -a "path=E:\file\passwd state=absent"

返回結(jié)果:

192.168.37.146 | success >> {    "changed": true}
案例3: 新增用戶stanley,密碼為magedu@123,屬組為Administrators。

執(zhí)行命令:

ansible windows -m win_user -a "name=stanley passwd=magedu@123 group=Administrators"

返回結(jié)果:

192.168.37.146 | success >> {    "account_disabled": false,    "account_locked": false,    "changed": true,    "description": "",    "fullname": "stanley",    "groups": [        {            "name": "Administrators",            "path": "WinNT://WORKGROUP/LINUXLST/Administrators"        }    ],    "name": "stanley",    "password_expired": true,    "password_never_expires": false,    "path": "WinNT://WORKGROUP/LINUXLST/stanley",    "sid": "S-1-5-21-3965499365-1200628009-3594530176-1004",    "state": "present", "user_cannot_change_password": false}

部分返回結(jié)果詮釋:

  • account_disabled—禁用用戶登錄;
  • account_locked—解鎖用戶;
  • groups—用戶所屬組;
  • name—用戶名;
  • password_expired—下次登錄修改密碼;
  • user_cannot_change_password—用戶是否可修改密碼。
案例4:重啟Windows spooler服務(wù)

執(zhí)行命令:

ansible windows -m win_service -a "name=spooler state=restarted"

返回結(jié)果:

192.168.37.146 | success >> {    "changed": true,    "display_name": "Print Spooler",    "name": "spooler",    "start_mode": "auto",    "state": "running"}

本章小結(jié)

本章為大家介紹了當(dāng)遠(yuǎn)程主機(jī)為Windows時(shí)Ansible的管理機(jī)制,從整體配置復(fù)雜程度上相對Linux要麻煩些,現(xiàn)如今服務(wù)器市場Linux大為流行的背景下,各軟件對Windows的支持力度確實(shí)不如預(yù)期,也曾收到業(yè)界Windows應(yīng)用者反饋Ansible管理Windows期間存在意想不到的問題,其實(shí)何止Ansible,現(xiàn)流行的集中化管理工具對Windows的支持力度均一般。筆者Windows的維護(hù)經(jīng)歷提醒各位:珍愛生命,遠(yuǎn)離Windows。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 227,702評論 6 531
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 98,143評論 3 415
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 175,553評論 0 373
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,620評論 1 307
  • 正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 71,416評論 6 405
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 54,940評論 1 321
  • 那天,我揣著相機(jī)與錄音,去河邊找鬼。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,024評論 3 440
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 42,170評論 0 287
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 48,709評論 1 333
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 40,597評論 3 354
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 42,784評論 1 369
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,291評論 5 357
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 44,029評論 3 347
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,407評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,663評論 1 280
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 51,403評論 3 390
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 47,746評論 2 370

推薦閱讀更多精彩內(nèi)容