前書き
構成管理システムは、管理者と運用チームが多数のサーバーを簡単に制御できるように設計されています。 これらを使用すると、1つの中央ロケーションから多くの異なるシステムを自動化された方法で制御できます。
Linuxシステムで使用できるChefやPuppetなど、多くの一般的な構成管理システムがありますが、多くの人が望むまたは必要とするよりも複雑です。 * Ansible *は、これらのオプションに代わる優れた選択肢です。開始するオーバーヘッドがはるかに少ないためです。
このガイドでは、Ubuntu 14.04マシンにAnsibleをインストールする方法について説明し、ソフトウェアの使用方法の基本について説明します。
Ansibleの仕組み
Ansibleは、Ansibleコンポーネントがインストールおよび構成されたコンピューターからクライアントマシンを構成することで機能します。
リモートマシンから情報を取得し、コマンドを発行し、ファイルをコピーするために、通常のSSHチャネルを介して通信します。 このため、Ansibleシステムでは、追加のソフトウェアをクライアントコンピューターにインストールする必要はありません。
これは、Ansibleがサーバーの管理を簡素化する1つの方法です。 SSHポートが公開されているサーバーは、ライフサイクルのどの段階にあるかにかかわらず、Ansibleの構成傘下に置くことができます。
SSHを介して管理できるコンピューターであれば、Ansibleを介して管理することもできます。
Ansibleはモジュール式のアプローチを採用しており、メインシステムの機能を使用して特定のシナリオに対処するための拡張を容易にします。 モジュールは任意の言語で記述でき、標準のJSONで通信できます。
構成ファイルは、その表現力豊かな性質と一般的なマークアップ言語との類似性により、主にYAMLデータシリアル化形式で記述されています。 Ansibleは、コマンドラインツールまたはPlaybookと呼ばれる構成スクリプトのいずれかを介してクライアントと対話できます。
Ubuntu 14.04にAnsibleをインストールする
さまざまなサーバーを管理する手段としてAnsibleを検討するには、少なくとも1台のマシンにAnsibleソフトウェアをインストールする必要があります。 このセクションではUbuntu 14.04 VPSインスタンスを使用します。
UbuntuでAnsibleを入手する最良の方法は、プロジェクトのPPA(個人パッケージアーカイブ)をシステムに追加することです。
これを効果的に行うには、 `+ software-properties-common `パッケージをインストールする必要があります。これにより、PPAを簡単に操作できるようになります。 (このパッケージは、Ubuntuの古いバージョンでは「 python-software-properties」と呼ばれていました。)
sudo apt-get update
sudo apt-get install software-properties-common
パッケージをインストールしたら、次のコマンドを入力してAnsible PPAを追加できます。
sudo apt-add-repository ppa:ansible/ansible
ENTERを押して、PPAの追加を受け入れます。
次に、PPAで利用可能なパッケージを認識できるように、システムのパッケージインデックスを更新する必要があります。 その後、ソフトウェアをインストールできます。
sudo apt-get update
sudo apt-get install ansible
これで、Ansibleを介してサーバーを管理するために必要なすべてのソフトウェアが用意されました。
SSHキーのセットアップ
前述したように、Ansibleは主にSSHを介してクライアントコンピューターと通信します。 パスワードベースのSSH認証を処理する機能は確かにありますが、SSHキーは物事をシンプルに保つのに役立ちます。
使用するキーが既にあるかどうかに応じて、2つの異なる方法でSSHキーをセットアップできます。 管理するサーバーはDigitalOceanドロップレットであると想定します。
新しいSSHキーペアを作成する
Ansibleの管理に使用するSSHキーペアがまだない場合は、Ansible VPSで作成できます。
AnsibleドロップレットにSSHキーペアを作成して、管理するホストで認証します。
Ansibleを制御するユーザーとして、次のように入力してRSAキーペアを作成します。
ssh-keygen
作成されたキーペアのファイルの場所、パスフレーズ、およびパスフレーズの確認を指定するよう求められます。 これらすべてを入力してEnterキーを押し、デフォルト値を受け入れます。
新しいキーは、ユーザーの `〜/ .ssh +`ディレクトリで利用できます。 公開鍵(共有できるもの)は ` id_rsa.pub `と呼ばれます。 秘密鍵(安全に保つもの)は ` id_rsa +`と呼ばれます。
それらをDigitalOceanコントロールパネルに追加して、新しく作成したドロップレットにSSHキーを埋め込むことができます。 これにより、他の認証なしで、Ansibleドロップレットを新しいドロップレットにすぐにSSH接続できます。
これを行うには、左側のナビゲーションメニューの[SSHキー]リンクをクリックします。 新しい画面で、右上隅にある[SSHキーの追加]ボタンをクリックします。
image:https://assets.digitalocean.com/articles/basic_ansible/add_ssh.png [DigitalOcean add key]
このキーに関連付ける名前を上部フィールドに入力します。 Ansible VPSインスタンスで、これを入力して公開キーの内容を取得します。
cat ~/.ssh/id_rsa.pub
公開鍵の例
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDzmGgsqjSFuOBbjZB1sgquKpp3Ty+FgqoLrzjKbbk9VGOH6kM37aAhyxxmTQfe69lhYi/WCai+mrXOyY9IiQbUfZ4jsfPE9DS3zHhmnGiBWA7pedCTJ/Nhf06dmhAJIbExW3uDghbPbzbSA5Ihn1x0F5FXtSMDoFtyjcwUwJxc2z/kk9TKcFSl8qqf4IYBYE7c+EKaYRBjjDP4AQmiwjTPuipsmub7C0OGF0dTMatIa0lok6rwy91nmhCQV6polG0+Fsk4YrY8Yh5xz6wE0lOvc8BwP9nL0zsnw6Ey0MHV9BbMqtyD6x/fCurpIkMHJK4nv79rToSWA0AwoP/bJXh7 demo@ansible0
返される文字列は、DigitalOceanコントロールパネルの2番目のフィールドに貼り付ける必要があるものです。
image:https://assets.digitalocean.com/articles/basic_ansible/ansible_key.png [DigitalOcean Ansible key]
[SSHキーの作成]をクリックして、コントロールパネルにキーを追加します。 これで、新しいドロップレットを作成するたびに、SSH公開キーを新しいサーバーに埋め込むことができ、Ansibleインスタンスと通信できるようになります。 ドロップレット作成プロセスの「オプションのSSHキーの追加」セクションでキーを選択するだけです。
image:https://assets.digitalocean.com/articles/basic_ansible/embed_key.png [DigitalOcean embed key]
既存のSSHキーペアをAnsibleに転送する
ドロップレットでの認証に使用しているSSHキーペアが既にある場合は、新しいペアを作成する代わりに、資格情報を新しいAnsibleドロップレットに転送できます。 これには、キーを使用するように既に構成したサーバーで自動的に動作するという利点があります。
ドロップレットのSSHキー認証を構成したコンピューターで、次のように入力して公開キーを取得します。
cat ~/.ssh/id_rsa.pub
公開鍵の例
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDzmGgsqjSFuOBbjZB1sgquKpp3Ty+FgqoLrzjKbbk9VGOH6kM37aAhyxxmTQfe69lhYi/WCai+mrXOyY9IiQbUfZ4jsfPE9DS3zHhmnGiBWA7pedCTJ/Nhf06dmhAJIbExW3uDghbPbzbSA5Ihn1x0F5FXtSMDoFtyjcwUwJxc2z/kk9TKcFSl8qqf4IYBYE7c+EKaYRBjjDP4AQmiwjTPuipsmub7C0OGF0dTMatIa0lok6rwy91nmhCQV6polG0+Fsk4YrY8Yh5xz6wE0lOvc8BwP9nL0zsnw6Ey0MHV9BbMqtyD6x/fCurpIkMHJK4nv79rToSWA0AwoP/bJXh7 demo@ansible0
Ansibleサーバーで、キーを保存するための隠しディレクトリを作成する必要があります。 `+ .ssh +`を呼び出して、SSHプログラムがそれを見つける場所を知るようにします:
mkdir ~/.ssh
このディレクトリへのアクセスをロックダウンして、あなただけが入力または書き込みできるようにする必要があります。
chmod 700 ~/.ssh
次に、ディレクトリに移動して、テキストエディタで `+ id_rsa.pub +`というファイルを開きます。
cd ~/.ssh
nano id_rsa.pub
自宅のコンピューターから公開キーの出力をこのファイルに貼り付けます。
例id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDzmGgsqjSFuOBbjZB1sgquKpp3Ty+FgqoLrzjKbbk9VGOH6kM37aAhyxxmTQfe69lhYi/WCai+mrXOyY9IiQbUfZ4jsfPE9DS3zHhmnGiBWA7pedCTJ/Nhf06dmhAJIbExW3uDghbPbzbSA5Ihn1x0F5FXtSMDoFtyjcwUwJxc2z/kk9TKcFSl8qqf4IYBYE7c+EKaYRBjjDP4AQmiwjTPuipsmub7C0OGF0dTMatIa0lok6rwy91nmhCQV6polG0+Fsk4YrY8Yh5xz6wE0lOvc8BwP9nL0zsnw6Ey0MHV9BbMqtyD6x/fCurpIkMHJK4nv79rToSWA0AwoP/bJXh7 demo@ansible0
ファイルを保存して閉じます。 次のように入力して、このファイルに正しいアクセス許可があることを確認します。
chmod 644 id_rsa.pub
次に、SSHキーアクセス用に構成されているローカルコンピューターに戻り、次のように入力します。
cat ~/.ssh/id_rsa
秘密鍵の例
-----BEGIN RSA PRIVATE KEY-----
MIIEpgIBAAKCAQEA85hoLKo0hbjgW42QdbIKriqad08vhYKqC684ym25PVRjh+pD
N+2gIcl8Zk0H3uvZYWIv1gmsfpq1zsmPSIkG1H2eI7HzxPQ0qMx4ZpxogVgO6XnQ
kyfzYX9OnZoQCSGxMVt7g4IWz2820gOSIZ9cdBeRV7UjA6Bbco3MFMCcXNs/5JPU
ynBUpfKqn+CGAWBO3PhCmmEQY4wz+AEJosI0z7oqbJrm/AtDhhdHUzGrSGtJaJOq
. . .
. . .
cqsqOEzXAoGBAPMJJ8RrKUBuSjVNkzebst9sBgNadmaoQUoMHUDr8KpCZhWAoHB7
1VKmq7VSphQSruI31qy2M88Uue1knC/nQr1bE1DITZgezETSsDqsAMBo8bqDN6TT
qVJgG+TS9BRC+IowuzMVV5mzrfJjkrb+GG+xWSXrTLZMbeeTf+D0SfVo
-----END RSA PRIVATE KEY-----
出力は非常に長くなります。
Ansibleドロップレットに戻り、 `+〜/ .ssh +`ディレクトリに新しいファイルを作成する必要があります。
nano id_rsa
内部で、前のコマンドの結果をローカルコンピューターに貼り付けます。
id_rsa
-----BEGIN RSA PRIVATE KEY-----
MIIEpgIBAAKCAQEA85hoLKo0hbjgW42QdbIKriqad08vhYKqC684ym25PVRjh+pD
N+2gIcl8Zk0H3uvZYWIv1gmsfpq1zsmPSIkG1H2eI7HzxPQ0qMx4ZpxogVgO6XnQ
kyfzYX9OnZoQCSGxMVt7g4IWz2820gOSIZ9cdBeRV7UjA6Bbco3MFMCcXNs/5JPU
ynBUpfKqn+CGAWBO3PhCmmEQY4wz+AEJosI0z7oqbJrm/AtDhhdHUzGrSGtJaJOq
. . .
. . .
cqsqOEzXAoGBAPMJJ8RrKUBuSjVNkzebst9sBgNadmaoQUoMHUDr8KpCZhWAoHB7
1VKmq7VSphQSruI31qy2M88Uue1knC/nQr1bE1DITZgezETSsDqsAMBo8bqDN6TT
qVJgG+TS9BRC+IowuzMVV5mzrfJjkrb+GG+xWSXrTLZMbeeTf+D0SfVo
-----END RSA PRIVATE KEY-----
最初と最後のマーカー行を含めるようにしてください。 キーファイルを有効にするために必要です。 ファイルを保存して閉じます。
このファイルを安全に保つために許可を変更する必要があります。
chmod 600 id_rsa
この時点で、AnsibleはこれらのSSHキーを使用して、キーが埋め込まれているサーバーと通信できます。
Ansibleホストの構成
Ansibleは、「hosts」ファイルを通じて認識しているすべてのサーバーを追跡します。 他のコンピューターとの通信を開始する前に、まずこのファイルをセットアップする必要があります。
次のようなルート権限でファイルを開きます。
sudo nano /etc/ansible/hosts
多くの設定例が含まれるファイルが表示されますが、これらのホストは構成されているため、実際には機能しません。 まず、各ファイルの前に「#」を追加して、このファイルのすべての行をコメントアウトします。
将来さらに複雑なシナリオを実装したい場合は、これらの例をファイルに保存して構成に役立てます。
すべての行がコメント化されたら、実際のホストの追加を開始できます。
hostsファイルはかなり柔軟で、いくつかの異なる方法で構成できます。 ただし、使用する構文は次のようになります。
ホストファイルの例
[]
alias ansible_ssh_host=
group_nameは、その下にリストされているサーバーを1つの単語で参照できるようにする組織タグです。 エイリアスは、そのサーバーを参照するための単なる名前です。
したがって、このシナリオでは、Ansibleで制御する3台のサーバーがあることを想像しています。 これらのサーバーには、Ansibleドロップレットから次のように入力してアクセスできます。
ssh root@
これを正しく設定した場合、パスワードの入力を求められるべきではありません。 ドロップレットのIPアドレスは「192.0.2.1 +」、「 192.0.2.2+」、および「192.0.2.3」であると想定します。 これを設定して、これらを個別に「+ host1 」、「 host2 」、「 host3 」、またはグループとして「 droplets +」として参照できるようにします。
これは、これを実現するためにホストファイルに追加する必要があるブロックです。
[droplets]
host1 ansible_ssh_host=
host2 ansible_ssh_host=
host3 ansible_ssh_host=
ホストは複数のグループに属し、グループはすべてのメンバーのパラメーターを構成できます。 これを試してみましょう。
現在の設定で、Ansibleを使用してこれらのホストのいずれかに接続しようとすると、コマンドは失敗します(rootユーザーとして動作していない場合)。 これは、SSHキーがリモートシステムのルートユーザー用に埋め込まれており、Ansibleがデフォルトで現在のユーザーとして接続しようとするためです。 接続を試行すると、次のエラーが発生します。
Ansible接続エラー
host1 | FAILED => SSH encountered an unknown error during the connection. We recommend you re-run the command using -vvvv, which will enable SSH debugging output to help diagnose the issue
私のAnsibleコンピューターでは、「+ demo 」というユーザーを使用しています。 Ansibleは、 ` ssh demo @ server +`を使用して各ホストに接続しようとします。 デモユーザーがリモートシステムにいない場合、これは機能しません。
「droplets」グループ内のすべてのサーバーに、rootユーザーを使用して接続するように指示するファイルを作成できます。
これを行うために、 `+ group_vars +`と呼ばれるAnsible構成構造にディレクトリを作成します。 このフォルダー内で、構成するグループごとにYAML形式のファイルを作成できます。
sudo mkdir /etc/ansible/group_vars
sudo nano /etc/ansible/group_vars/droplets
ここに設定を配置できます。 YAMLファイルは「-」で始まるため、その部分を忘れないでください。
/ etc / ansible / group_vars / droplets
---
ansible_ssh_user: root
終了したら、このファイルを保存して閉じます。
グループの関連付けに関係なく、すべてのサーバーの設定の詳細を指定する場合、それらの詳細を `+ / etc / ansible / group_vars / all `のファイルに配置できます。 個々のホストは、 ` / etc / ansible / host_vars +`のディレクトリの下にファイルを作成することで設定できます。
簡単なAnsibleコマンドの使用
ホストがセットアップされ、ホストに正常に接続できるように構成の詳細が十分になったので、最初のコマンドを試すことができます。
次のように入力して、構成したすべてのサーバーにpingを実行します。
ansible -m ping all
ping出力
host1 | success >> {
"changed": false,
"ping": "pong"
}
host3 | success >> {
"changed": false,
"ping": "pong"
}
host2 | success >> {
"changed": false,
"ping": "pong"
}
これは、Ansibleがすべてのホストに接続していることを確認するための基本的なテストです。
「すべて」はすべてのホストを意味します。 グループを簡単に指定できます:
ansible -m ping droplets
また、個々のホストを指定することもできます。
ansible -m ping host1
コロンで区切ることにより、複数のホストを指定できます。
ansible -m ping host1:host2
コマンドの「+ -m ping +」部分は、「ping」モジュールを使用するためのAnsibleへの指示です。 これらは基本的に、リモートホストで実行できるコマンドです。 pingモジュールは、Linuxの通常のpingユーティリティと同様に多くの方法で動作しますが、代わりにAnsible接続をチェックします。
pingモジュールは実際には引数を取りませんが、別のコマンドを試して、その動作を確認することができます。 「+ -a +」と入力して、スクリプトに引数を渡します。
「シェル」モジュールを使用すると、リモートホストに端末コマンドを送信し、結果を取得できます。 たとえば、host1マシンのメモリ使用量を調べるには、次を使用できます。
ansible -m shell -a 'free -m' host1
シェル出力
host1 | success | rc=0 >>
total used free shared buffers cached
Mem: 3954 227 3726 0 14 93
-/+ buffers/cache: 119 3834
Swap: 0 0 0
結論
ここまでで、制御するサーバーと通信するようにAnsibleサーバーを構成する必要があります。 Ansibleが各ホストと通信できることを確認し、 `+ ansible +`コマンドを使用して簡単なタスクをリモートで実行しました。
これは便利ですが、この記事ではAnsibleの最も強力な機能であるPlaybooksを取り上げていません。 Ansibleを使用してサーバーを操作するための優れた基盤を設定しましたが、Playbooksを使用してリモートコンピューターの構成を自動化する方法については、今後の記事で重荷を取り上げます。