Ansible

Table des matières Ici, je vais noter ce que j'apprend sur Ansible et ce qui me semble pertinent.
Peut-être que si cet article devient trop long, il sera plus tard divisé en plusieurs...

Installation

Selon le site d'Ansible, il existe plusieurs méthodes :

• les binaires
• les dépôts (apt, dnf...)
• pip
  

J'ai commencé par installé via apt mais l'installation ne m'a pas créé de dossier /etc/ansible.
J'ai donc essayé via la commande pip mais le résultat est identique.

Configuration de ssh

Il est nécessaire de pouvoir accéder en ssh à ses serveurs que l'on veut pouvoir gérer via ansible. Il faut pour cela utiliser la méthode de clé privée/publique. Rien de compliqué, plein de sites en parlent...

Quelques rappels de commandes.

Pour générer les clés :



Cette commande permet de générer une clé de type ecdsa avec la longueur maximale.
La page de manuel de ssh-keygen donne des infos sur les différentes types et les longueurs de clé que l'on peut générer en fonction de la méthode choisie.

Il est possible de générer une clé sans phrase de passe mais ce n'est pas le plus sécurisé...

Pour copier la clé sur le serveur distant :

Ansible en mode "CLI"

On peut utiliser "manuellement" en ligne de commande.

Par exemple:

• -i permet de spécifier le fichier d'inventaire à utiliser, de base il utilise le fichier /etc/ansible/hosts (où le fichier défini dans ansible.cfg, voir paragraphe dédié)
• -m permet d'appeler un module, ici le module ping
• transmission est l'hôte sur lequel on exécute la commande, défini dans le fichier d'inventaire
• --key-file permet de spécifier la clé privée à utiliser (cf. les notions après)
• -u permet de préciser l'utilisateur distant
• -b permet de passer les commandes d'après en sudo
• -k permet de demander le mot de passe de l'utilisateur (si on n'utilise pas la clé privée)
• -K permet de demander le mot de passe sudo
• -C permet de tester la commande sans faire les actions
• -D permet de retourner les modifications effectuées
  

Quelques notions à avoir en tête

Lorsqu'on exécute ansible, la connexion se fait avec l'utilisateur courant donc si la clé privée sur le serveur distant est celle de remi, lancer une commande ansible avec root ne fonctionne pas... Il faut alors spécifier manuellement la clé (avec l'option --key-file de la commande ansible

ansible.cfg

Localisation du fichier

ansible.cfg est le fichier de configuration d'ansible.

Si celui-ci n'est pas présent dans /etc/Ansible/, il est possible de le générer via la commande :



Cette commande n'est valable que depuis ansible 2.12. Pour les versions antérieures, on peut aller chercher des exemples de fichier ansible.cfg sur le github du projet. Par exemple pour la version 2.10 : Github de la version 2.10

Ce fichier gérera tout Ansible mais il est aussi possible de faire des fichiers plus spécifiques dans le dossier home (.Ansible/ansible.cfg) qui ne s'appliquera qu'à un utilisateur donné ou dans le dossier d'un playbook pour qu'il ne s'applique qu'à ce playbook.

On peut dans ce fichier modifier la localisation du fichier hosts mais ce n'est pas conseillé (voir ci-après)

Pour voir le fichier de configuration pris en compte, on peut utiliser la commande suivante :

Quelques paramètres intéressants

Voici quelques paramètres intéressants à modifier dans ansible.cfg :

S'affranchir de la validation du fingerprint lors de la première connexion :

L'inventory

Les inventory vont permettre de lister les serveurs cibles d'Ansible. On peut y spécifier notamment :

• Les hôtes (par IP ou pas hostname
• Les ports ssh des hôtes
• Les idées avec lesquels se connecter aux hôtes
  

A vérifier : les users et port doivent-ils être défini dans les inventory ou la config ssh suffit-elle

Le fichier inventory sera au format YAML, plus pratique (.yml ou .yaml).

Exemple d'un fichier d'inventory :