Posts in category: Openstack

มาเรียนรู้การใช้งาน Ansible
Ansible คือ เครื่องมือที่ใช้สำหรับการจัดการ configuration โดยจะทำงานผ่านทาง ssh พัฒนาด้วย ภาษา python การทำงานจะงานในรูปแบบที่ต้องมี management node ที่ทำหน้าเป็น server หลังที่จะทำหน้าเป็น ผู้ที่จะต้องไปติดตั้ง package บน เครื่องserverในระบบ การทำงานจะประกอบด้วยfile ที่เกี่ยวข้อง 2 file คือ inventory file และ playbook

1. inventory file ทำหน้าเก่็บรายชื่อของ server หรือ ip ของ server ที่จะใช้สำหรับเป้าหมายสำหรับการติดตั้ง โดยdefault หาไม่มีการกำหนด ใน option -i ก็จะใช้ inventory ตือ /etc/ansible/hosts เราสามารถที่จะแก้ไขค่านี้ได้โดยทำการแก้ไข file /etc/ansible/ansible.cfg
2. playbook.yml ไฟล์นี้จะเป็นตัวระบุว่า จะให้ ansible ทำอะไรบ้างในแต่ละ server การเขียนไฟล์จะใช้เป็น format ของ yaml format โดยสามารถเขียนแบบที่เป็น static และ dynamic ก็ได้โดยถ้าหาเขียนแบบ dynamic โดยใช้ jinja2 template
   ในการทดสอบการใช้งาน จะทดสอบการใช้งานผ่านทาง Vagrantfile โดยจะเป็นการสร้าง infrastructure ด้วย Vagrantfile ดังนี้ โดยสร้างบน provider virtualbox

Vagrantfile

# Defines our Vagrant environment
#
# -*- mode: ruby -*-
# vi: set ft=ruby :

Vagrant.configure("2") do |config|

  # create mgmt node
  config.vm.define :mgmt do |mgmt_config|
      mgmt_config.vm.box = "centos/7"
      mgmt_config.vm.hostname = "mgmt"
      mgmt_config.vm.network :private_network, ip: "10.0.15.10"
      mgmt_config.vm.provider "virtualbox" do |vb|
        vb.memory = "256"
      end
      mgmt_config.vm.provision :shell, path: "bootstrap-mgmt.sh"
  end

  # create load balancer
  config.vm.define :lb do |lb_config|
      lb_config.vm.box = "centos/7"
      lb_config.vm.hostname = "lb"
      lb_config.vm.network :private_network, ip: "10.0.15.11"
      lb_config.vm.network "forwarded_port", guest: 80, host: 8080
      lb_config.vm.provider "virtualbox" do |vb|
        vb.memory = "256"
      end
  end

  # create some web servers
  # https://docs.vagrantup.com/v2/vagrantfile/tips.html
  (1..2).each do |i|
    config.vm.define "web#{i}" do |node|
        node.vm.box = "centos/7"
        node.vm.hostname = "web#{i}"
        node.vm.network :private_network, ip: "10.0.15.2#{i}"
        node.vm.network "forwarded_port", guest: 80, host: "808#{i}"
        node.vm.provider "virtualbox" do |vb|
          vb.memory = "256"
        end
    end
  end
end

bootstrap-mgmt.sh

#!/bin/bash
yum -y update
yum -y install epel-release
yum -y install ansible
yum -y install git

cat << EOF >> /etc/hosts
10.0.15.10  mgmt
10.0.15.11  lb
10.0.15.21  web1
10.0.15.22  web2
10.0.15.23  web3
10.0.15.24  web4
10.0.15.25  web5
10.0.15.26  web6
10.0.15.27  web7
10.0.15.28  web8
10.0.15.29  web9
EOF

inventory.ini

[lb]
lb

[web]
web1
web2

โดยให้สร้าง bootstrap-mgmt.sh และ inventory.ini ไว้ระดับเดียวกับ Vagrantfile

$ tree .
.
├── Vagrantfile
└── bootstrap-mgmt.sh
└── inventory.ini

ผลที่ได้ จะได้ infrastructure ดังนี้

$ vagrant up
$ vagrant up
Bringing machine 'mgmt' up with 'virtualbox' provider...
Bringing machine 'lb' up with 'virtualbox' provider...
Bringing machine 'web1' up with 'virtualbox' provider...
Bringing machine 'web2' up with 'virtualbox' provider...
==> mgmt: Checking if box 'centos/7' is up to date...
==> mgmt: Clearing any previously set forwarded ports...
==> mgmt: Clearing any previously set network interfaces...
==> mgmt: Preparing network interfaces based on configuration...
...
==> web2: Setting hostname...
==> web2: Configuring and enabling network interfaces...
==> web2: Rsyncing folder: /Users/newton/Vagrant/c7_ansible/ => /vagrant
==&gt; web2: Machine already provisioned. Run <code>vagrant provision</code> or use the <code>--provision</code>
==&gt; web2: flag to force provisioning. Provisioners marked to run always will still run.

$ vagrant status
Current machine states:

mgmt                      running (virtualbox)
lb                        running (virtualbox)
web1                      running (virtualbox)
web2                      running (virtualbox)   

## ตรวจสอบ ip
$ vagrant ssh mgmt -c &quot;ip a&quot;
$ vagrant ssh lb -c &quot;ip a&quot;
$ vagrant ssh web1 -c &quot;ip a&quot;
$ vagrant ssh web2 -c &quot;ip a&quot;

หมายเหตุ ถ้าไม่ได้ ip ให้ลองไปปรับ ค่าของ network adapter โดยไปยัง setting > Network ดังนี้
Adapter Type: Tserver(82543GC)
Promiscuous Mode: Allow All

การเชื่อมต่อไปยัง vagrant

## connect to vagrant on node mgmt
$ vagrant ssh mgmt 

$ cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)

$ hosts="lb web1 web2"
$ for h in $hosts;do ping -c 4 $h; done

$ ansible --version
ansible 2.1.1.0
  config file = /etc/ansible/ansible.cfg
  configured module search path = Default w/o overrides               

การเชื่อมต่อ ระหว่างโหนดด้วย ssh

เนื่องจาก Ansible จะเชื่อมต่อไปยังเครื่อง remote ด้วย ssh โดยที่การเชื่อมต่อไม่มีprograme ที่ไปทำงานอยู่บน เครื่อง remote หรือที่มีจะเรียกว่า agent
เมื่อทำการเชื่อมต่อไปยัง เครื่องปลายทางครั้งแรกด้วย ssh เครื่องปลายทางจะทำการส่ง key มาให้กับเราเพื่อทำ ssh authentication เพื่อยอมรับการเชื่อมต่อ ยกตัวอย่างเช่นเมื่อ mgmt node ต้องการ ssh ไปยัง web1 ในครั้งแรก

$ ssh web1
The authenticity of host 'web1 (10.0.15.21)' can't be established.
ECDSA key fingerprint is d1:2d:26:9d:9b:92:e9:0c:02:53:59:8b:b9:6a:c7:8f.
Are you sure you want to continue connecting (yes/no)?  no

## go to /vagrant
$ cd /vagrant
$ ls

$ ansible web1 -i inititial.ini -m ping
The authenticity of host 'web1 (10.0.15.21)' can't be established.
ECDSA key fingerprint is d1:2d:26:9d:9b:92:e9:0c:02:53:59:8b:b9:6a:c7:8f.
Are you sure you want to continue connecting (yes/no)? yes
web1 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}
 

เมื่อทำการยืนยันด้วยการตอบ yes ค่า publickey ของ web1 จะมาเก็บไว้ในfile ~/.ssh/known_hosts

$ cat ~/.ssh/known_hosts
web1,10.0.15.21 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLK8riXRk1/Gyzggg6u+R41F+CBR1ZB7j3dOgBPqOn2H6jGfi0CC5W934OM6OQzKboXTZkny2Q2hrRopCQvJGCg=

เราสามารถเรียกดู public key ได้ใช้คำสั่ง ssh-keyscan

$ ssh-keyscan web1
# web1 SSH-2.0-OpenSSH_6.6.1
web1 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDxFTURY5TNjR2YliYth1qf2JL++rhuDu8bAdX3cJ/uMmheUEk2Ay3a5n3Fwc64jOTIoFWfIRlKNjogdtAU0xNEb+ksLGDXoNZATM9i08AT/RsenZ1RMDt/R9AA+Q6cptw9TzM/MQLBzGKqannZnHqF7iYc6BXnmzly3lO9t10mc4CV7K0xm3sZT17cOuxUHIc+/Jh63JJJpd2MEXB933zjJFHLdlD/GDIlmOy+HZEjLs6VETwL1UDryvIXqQFa0al7gylS6phWiHa807rRV+luKQM662RP8X7EcAI0bSHxYkRopqL8EVXgWwYOkHOTk21EhDRDb52goLjdE5OmPDz9
# web1 SSH-2.0-OpenSSH_6.6.1
web1 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLK8riXRk1/Gyzggg6u+R41F+CBR1ZB7j3dOgBPqOn2H6jGfi0CC5W934OM6OQzKboXTZkny2Q2hrRopCQvJGCg=

อ่านค่า key มาเก็บไว้ใน ~/.ssh/known_hosts

$ ssh-keyscan lb web1 web2 >> ~/.ssh/known_hosts
# web1 SSH-2.0-OpenSSH_6.6.1
# lb SSH-2.0-OpenSSH_6.6.1
# lb SSH-2.0-OpenSSH_6.6.1
# web1 SSH-2.0-OpenSSH_6.6.1
# web2 SSH-2.0-OpenSSH_6.6.1
# web2 SSH-2.0-OpenSSH_6.6.1

เมื่อใช้คำสั่ง ansible ก็จะไม่ถามให้ยอมรับ keyอีก

$ ansible lb  -i inititial.ini -m ping
lb | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true 

$ ansible web1 -i inititial.ini -m ping
web1 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}

$ ansible web2 -i inititial.ini -m ping
web2 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}

Ansible Ad-hoc
การใช้คำสั่ง ansible ที่ผ่านมา เรียกว่าเป็นการสั่งแบบ ad-hoc เหมือนกับเราสั่งด้วยทีละคำสั่งเหมือนกับการสั่งใน commandline แต่เป็นการสั่งผ่าน ansible เท่านั้น ที่ผ่านมาจะเห็นว่า ansible บอกว่ายังไม่สามารถเชื่อมต่อผ่าน ssh ได้
-m เป็นการบอกว่า จะให้ module ใดทำงาน เช่น -m ping คือ ต้องการที่ใช้ module ping โดยที่ module ที่พูดถึงคือ python module นั้นเอง ความสามารถของ ansible สามารถขยายความสามารถได้ด้วย module และ module จะแบ่งออกเป็น 2 ส่วนได้แก่ core และ extra ซึ่งมีมากกว่า 250 module

## work on current user = vagrant
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/vagrant/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/vagrant/.ssh/id_rsa.
Your public key has been saved in /home/vagrant/.ssh/id_rsa.pub.
The key fingerprint is:
bd:e8:d3:1b:06:53:7b:b2:16:2d:5f:55:30:58:56:65 vagrant@mgmt
The key's randomart image is:
+--[ RSA 2048]----+
|             o=oE|
|            .. o.|
|          .     .|
|         o o   . |
|        S * o .  |
|         + O .   |
|        ..* .    |
|       ..o..     |
|        ....     |
+-----------------+

## run ad-hoc ansible
$ cd /vagrant
$ ansible all -i inititial.ini -m ping --ask-pass
SSH password:
lb | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}
web2 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}
web1 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh.",
    "unreachable": true
}

หากเกิด error
Fix error ssh fails with error as permission denied

## try ssh to localhost on mgmt
$ ssh localhost
Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
$ ssh lb
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
$ ssh web1
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
$ ssh web2
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

สำหรับการติดตั้ง Centos 7 ด้วย vagrant default ไม่อนุญาติให้ใช้ password สำหรับการ login ด้วย password

 
## check /etc/ssh/sshd_config , 
PasswordAuthentication  no

ให้เปลี่ยนค่า config ใน ทุก node mgmt, lb, web1, web2

$ sudo su -
# vi /etc/ssh/sshd_config
PasswordAuthentication  yes

# systemctl restart sshd

ทดสอบ vagrant ad-hoc อีกครั้ง

$ ansible all -i inititial.ini -m ping --ask-pass
SSH password:
web2 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}
lb | SUCCESS => {
    "changed": false,
    "ping": "pong"
}
web1 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}

หมายความว่า mgmt node สามารถติดต่อไปยัง เครื่อง อื่นได้ผ่านทาง ssh คราวนี้ให้ลองสั่งอีกครั้งโดยไม่มี –ask-pass จะเห็นว่าก็ยังคงทำงานได้อยู่ แต่คราวนี้ จะเร็วกว่าเดิม โดย ansible จะทำการ cache ไว้ใช้ชั่วคราวเท่านั้น

$ ps -x
11939 ?        Ss     0:00 ssh: /home/vagrant/.ansible/cp/ansible-ssh-web1-22-vagrant [mux]
11942 ?        Ss     0:00 ssh: /home/vagrant/.ansible/cp/ansible-ssh-lb-22-vagrant [mux]
11945 ?        Ss     0:00 ssh: /home/vagrant/.ansible/cp/ansible-ssh-web2-22-vagrant [mux]

## try again win no password 
$ ansible all -i inititial.ini -m ping
web1 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}
web2 | SUCCESS => {
    "changed": false,
    "ping": "pong"
}
lb | SUCCESS => {
    "changed": false,
    "ping": "pong"
}

ตัวอย่างของ การสั่ง adhoc ด้วย module shell
อ่านเพิ่มเติม http://docs.ansible.com/ansible/intro_adhoc.html

$ ansible all -m shell -a "uname -a" -i inititial.ini
web1 | SUCCESS | rc=0 >>
Linux web1 3.10.0-327.22.2.el7.x86_64 #1 SMP Thu Jun 23 17:05:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

web2 | SUCCESS | rc=0 >>
Linux web2 3.10.0-327.22.2.el7.x86_64 #1 SMP Thu Jun 23 17:05:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

lb | SUCCESS | rc=0 >>
Linux lb 3.10.0-327.22.2.el7.x86_64 #1 SMP Thu Jun 23 17:05:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

โดยคำสั่ง ที่ต้องการสั่งจะอยู่ใน option -a
Ansible playbook  link

นอกจากการสั่ง ให้ ansible ทำงานแบบ ad-hoc แล้ว ยังสามารถให้ทำงานผ่านทาง playbook โดยมีการเขียนในแบบ ภาษา yaml โดย ansible จะใช้ playbook เป็น configuration management ให้แก่ระบบ การประกาศค่าต่างๆ ใน playbook นั้นไม่ยากอ่านง่าย ดังตัวอย่าง
ssh-addkey.yml จะทำหน้าที่ copy key จาก mgmt ไปยังเครื่องอื่นๆ

---
- hosts: all
  sudo: yes
  gather_facts: no
  remote_user: vagrant

  tasks:
  - name: install ssh key
    authorized_key: user=vagrant
                    key="{{ lookup('file', '/home/vagrant/.ssh/id_rsa.pub') }}"
                    state=present

การใช้งาน playbook จะใช้คำสั่ง ansible-playbook ดังนี้

cd /vagrant
$ ansible-playbook ssh-addkey.yml -i inititial.ini --ask-pass
SSH password:
[DEPRECATION WARNING]: Instead of sudo/sudo_user, use become/become_user and make sure become_method is 'sudo'
(default).
This feature will be removed in a future release. Deprecation warnings can be disabled by setting
deprecation_warnings=False in ansible.cfg.

PLAY [all] *********************************************************************

TASK [install ssh key] *********************************************************
changed: [web2]
changed: [lb]
changed: [web1]

PLAY RECAP *********************************************************************
lb                         : ok=1    changed=1    unreachable=0    failed=0
web1                       : ok=1    changed=1    unreachable=0    failed=0
web2                       : ok=1    changed=1    unreachable=0    failed=0

ถึงขั้นตอนนี้ เราได้สร้าง ssh trust ระหว่าง node เรียบร้อย เราสามารถที่สั่ง run playbook ซ้ำๆ ได้ ansible มีความฉลาดพอ เพื่อดูว่ามีการเปลี่ยนแปลงของ config หรือไม่ หาไม่มีการเปลี่ยนแปลง ansible ก็จะไม่ดำเนินการใด เรียกได้ว่า ansible มีคุณสมบัติของ “idempotence”

$ ansible-playbook ssh-addkey.yml -i inititial.ini --ask-pass
SSH password:
[DEPRECATION WARNING]: Instead of sudo/sudo_user, use become/become_user and make sure become_method is 'sudo'
(default).
This feature will be removed in a future release. Deprecation warnings can be disabled by setting
deprecation_warnings=False in ansible.cfg.

PLAY [all] *********************************************************************

TASK [install ssh key] *********************************************************
ok: [web1]
ok: [web2]
ok: [lb]

PLAY RECAP *********************************************************************
lb                         : ok=1    changed=0    unreachable=0    failed=0
web1                       : ok=1    changed=0    unreachable=0    failed=0
web2                       : ok=1    changed=0    unreachable=0    failed=0

จะเห็นว่า change=0

---
- hosts: all
  sudo: yes
  gather_facts: no

  tasks:

  - name: install chrony
    yum: name=chrony state=installed update_cache=yes

  - name: write our chrony.conf
    copy: src=/vagrant/files/chrony.conf dest=/etc/chrony.conf mode=644 owner=root group=root
    notify: restart chrony

  - name: start chrony
    service: name=chronyd state=started

  handlers:

  - name: restart chrony
    service: name=chronyd state=restarted

$ ansible-playbook -i inititial.ini chrony-install.yml
[DEPRECATION WARNING]: Instead of sudo/sudo_user, use become/become_user and make sure become_method is 'sudo' (default).
This feature
will be removed in a future release. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg.

PLAY [all] *********************************************************************

TASK [install chrony] **********************************************************
ok: [web2]
ok: [web1]
ok: [lb]

TASK [write our chrony.conf] ***************************************************
ok: [web1]
ok: [lb]
ok: [web2]

TASK [start chrony] ************************************************************
ok: [web1]
ok: [web2]
ok: [lb]

PLAY RECAP *********************************************************************
lb                         : ok=3    changed=0    unreachable=0    failed=0
web1                       : ok=3    changed=0    unreachable=0    failed=0
web2                       : ok=3    changed=0    unreachable=0    failed=0

chrony-remove.yml

---
- hosts: all
  sudo: yes
  gather_facts: no

  tasks:

  - name: remove chrony
    yum: name=chrony state=absent 

run playbook: chrony-remove.yml

$ ansible-playbook -i inititial.ini chrony-remove.yml
[DEPRECATION WARNING]: Instead of sudo/sudo_user, use become/become_user and make sure become_method is 'sudo' (default).
This feature
will be removed in a future release. Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg.

PLAY [all] *********************************************************************

TASK [remove chrony] ***********************************************************
changed: [web1]
changed: [lb]
changed: [web2]

PLAY RECAP *********************************************************************
lb                         : ok=1    changed=1    unreachable=0    failed=0
web1                       : ok=1    changed=1    unreachable=0    failed=0
web2                       : ok=1    changed=1    unreachable=0    failed=0