一、配置管理概述
1.1 配置管理的重要性
在大规模 IT 环境中,服务器数量众多且用途各异,若缺乏有效的配置管理,极易出现环境混乱问题。例如,不同服务器的软件版本不一致、安全设置参差不齐,这不仅会增加运维复杂度,还可能引发系统故障与安全风险。配置管理旨在通过标准化、自动化手段,确保所有服务器具备相同的基础配置与运行环境,提升系统稳定性与可维护性。
1.2 Ansible 的优势
与传统手动配置或脚本配置方式相比,Ansible 具有显著优势。其基于 YAML 的 Playbook 编写简洁直观,易于理解与维护;无需在目标主机安装代理,通过 SSH 即可通信,降低部署成本;模块化设计支持丰富的配置任务,从系统基础设置到复杂应用部署均可轻松应对,且能实现幂等性操作,即多次执行同一 Playbook 不会对已正确配置的环境造成额外改变,有效保障配置一致性。
二、服务器基础配置
2.1 操作系统初始化配置
以 CentOS 系统为例,使用 Ansible 进行操作系统初始化配置的 Playbook 如下:
- name: OS Initialization for CentOShosts: all_centos_serversbecome: yestasks:- name: Set hostnamehostname:name: "{{ inventory_hostname }}"- name: Configure networklineinfile:path: /etc/sysconfig/network-scripts/ifcfg-eth0line: "IPADDR=192.168.1.{{ item }}"insertafter: "^BOOTPROTO=static"with_items:- 10- 11- 12- name: Update system packagesyum:name: "*"state: latest解释:
- hosts: all_centos_servers:指定该 Playbook 作用于主机清单中名为all_centos_servers的主机组,可在/etc/ansible/hosts文件中提前定义。
- become: yes:获取 root 权限执行后续任务。
- Set hostname任务:使用hostname模块,将主机名设置为清单中的主机名变量{{ inventory_hostname }}。
- Configure network任务:通过lineinfile模块修改网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0,在BOOTPROTO=static行后插入指定 IP 地址(通过with_items循环为不同主机设置不同 IP)。
- Update system packages任务:利用yum模块更新所有系统软件包至最新版本。
2.2 用户管理
以下 Playbook 用于创建用户并设置权限:
- name: User Managementhosts: all_serversbecome: yestasks:- name: Create useruser:name: appusercomment: "Application user"createhome: yesshell: /bin/bash- name: Set user password (using encrypted password)user:name: appuserpassword: "$6$rounds=656000$H6a9rFfX$t2dXW7Lm9pT3ZvGJf1sJ5bF6Xm1p9Qj5y3eT1dN4Z7R1b1V6u2h7m4K2t1R4V2m3c"- name: Add user to groupuser:name: appusergroups: wheelappend: yes解释:
- Create user任务:创建名为appuser的用户,生成用户主目录并设置默认 Shell 为/bin/bash。
- Set user password任务:设置用户密码,密码为加密后的字符串(可通过mkpasswd -m sha - 512等工具生成)。
- Add user to group任务:将appuser添加到wheel组(以 CentOS 为例,该组用户可获取 sudo 权限),append: yes表示追加到组,不覆盖原有组设置。
2.3 安全配置
以防火墙与 SSH 密钥管理为例:
- name: Security Configurationhosts: all_serversbecome: yestasks:- name: Configure firewall (using firewalld)firewalld:service: sshpermanent: yesstate: enabled- name: Disable root login via SSHlineinfile:path: /etc/ssh/sshd_configline: "PermitRootLogin no"insertafter: "^#PermitRootLogin yes"backup: yes- name: Distribute SSH public keyauthorized_key:user: appuserkey: "{{ lookup('file', '/home/user/.ssh/id_rsa.pub') }}"解释:
- Configure firewall任务:使用firewalld模块启用 SSH 服务并永久生效。
- Disable root login via SSH任务:修改/etc/ssh/sshd_config文件禁止 root 通过 SSH 登录,backup: yes保留原文件备份。
- Distribute SSH public key任务:将指定的公钥文件内容添加到appuser的授权密钥列表,实现免密登录。
三、软件安装与配置
3.1 Web 服务器安装(以 Apache 为例)
- name: Install and Configure Apachehosts: web_serversbecome: yestasks:- name: Install Apacheyum:name: httpdstate: present- name: Start Apache serviceservice:name: httpdstate: startedenabled: yes- name: Configure virtual hosttemplate:src: httpd - vhosts.conf.j2dest: /etc/httpd/conf.d/httpd - vhosts.conf解释:
- Install Apache任务:通过yum模块安装 Apache 软件包。
- Start Apache service任务:启动 Apache 服务并设置开机自启。
- Configure virtual host任务:使用template模块,将httpd - vhosts.conf.j2模板文件渲染后复制到目标路径,用于配置虚拟主机(模板文件可包含动态变量,如域名、文档根目录等)。
3.2 数据库服务器配置(以 MySQL 为例)
- name: Install and Configure MySQLhosts: db_serversbecome: yestasks:- name: Install MySQLyum:name: mariadb - serverstate: present- name: Start MySQL serviceservice:name: mariadbstate: startedenabled: yes- name: Secure MySQL installationshell: mysql_secure_installation --set - password=password '{{ mysql_root_password }}'vars:mysql_root_password: "MySecureP@ss123"- name: Create database and usermysql_db:name: mydbstate: presentlogin_user: rootlogin_password: "{{ mysql_root_password }}"mysql_user:name: myuserhost: "%"password: "MyUserP@ss456"priv: "mydb.*:ALL"state: presentlogin_user: rootlogin_password: "{{ mysql_root_password }}"解释:
- Install MySQL任务:安装 MariaDB(MySQL 分支)服务器软件包。
- Secure MySQL installation任务:执行mysql_secure_installation脚本设置 root 密码(通过变量传递)。
- Create database and user任务:分别使用mysql_db与mysql_user模块创建数据库mydb及用户myuser,并分配权限。
四、配置管理的版本控制与回滚
4.1 纳入版本控制系统
将 Ansible 配置文件(如ansible.cfg、主机清单、Playbook 及模板文件)添加到 Git 仓库进行版本管理。在项目根目录执行:
git init
git add.
git commit -m "Initial Ansible configuration commit"后续修改配置后,按常规 Git 流程提交与推送,便于追踪配置变更历史。
4.2 回滚操作
若配置出现问题,可通过 Git 回滚至之前稳定版本。例如,回滚至上一个提交版本:
git reset --hard HEAD^然后重新执行正确版本的 Playbook,快速恢复环境一致性。
