黑帽联盟

 找回密码
 会员注册
查看: 1127|回复: 0
打印 上一主题 下一主题

[基础服务] ansible笔记(16):变量(三)

[复制链接]
yun 黑帽联盟官方人员 

920

主题

37

听众

1364

积分

超级版主

Rank: 8Rank: 8

  • TA的每日心情
    奋斗
    2019-10-18 11:20
  • 签到天数: 678 天

    [LV.9]以坛为家II

    本帖最后由 yun 于 2019-9-11 17:22 编辑

    ansible是一个系列文章,我们会尽量以通俗易懂的方式总结ansible的相关知识点。
    ansible系列博文直达链接:ansible轻松入门系列
    "ansible系列"中的每篇文章都建立在前文的基础之上,所以,请按照顺序阅读这些文章,否则有可能在阅读中遇到障碍。


    承接前文,这篇文章将继续介绍变量的一些使用方法。

    注册变量
    ansible的模块在运行之后,其实都会返回一些"返回值",只是默认情况下,这些"返回值"并不会显示而已,我们可以把这些返回值写入到某个变量中,这样我们就能够通过引用对应的变量从而获取到这些返回值了,这种将模块的返回值写入到变量中的方法被称为"注册变量",那么怎样将返回值注册到变量中呢?我们来看一个playbook示例
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   tasks:
    5.   - name: test shell
    6.     shell: "echo test > /var/testshellfile"
    7.     register: testvar
    8.   - name: shell module return values
    9.     debug:
    10.       var: testvar
    复制代码
    上例中共有两个任务,第一个任务使用shell模块在test70主机中创建了一个测试文件 /var/testshellfile,将字符"test"输入到了测试文件中,然后使用"register"关键字将当前shell任务的返回值写入了名为"testvar"的变量中,第二个任务使用debug模块输出了第一个任务中的注册变量的值,没错,注册变量就是这么简单,使用register关键字指定对应的变量名即可。

    上述playbook执行后,可以在控制台中看到名为"[shell module return values]"的任务中已经显示了第一个任务的返回值的信息,返回信息如下
    1. TASK [shell module return values] **********************************************************************
    2. ok: [test70] => {
    3.     "testvar": {
    4.         "changed": true,
    5.         "cmd": "echo test > /var/testshellfile",
    6.         "delta": "0:00:00.003808",
    7.         "end": "2018-06-17 20:42:37.675382",
    8.         "failed": false,
    9.         "rc": 0,
    10.         "start": "2018-06-17 20:42:37.671574",
    11.         "stderr": "",
    12.         "stderr_lines": [],
    13.         "stdout": "",
    14.         "stdout_lines": []
    15.     }
    16. }
    复制代码
    从上述返回信息可以看出,返回值是json格式的,上述返回值中包含一些键值对,比如 "changed": true 或 "cmd": "echo test > /var/testshellfile"等, 如果你只是想要获取到返回值中的某一项特定值,只需要指定键值对中的key即可,假设,我只是想要获取到上述返回信息中cmd的值,则可以使用如下两种语法(前文中已经对如下两种语法进行过示例,此处不再赘述)。
    1. 语法一
    2.   - name: shell module return values
    3.     debug:
    4.       msg: "{{testvar.cmd}}"
    5. 语法二
    6.   - name: shell module return values
    7.     debug:
    8.       msg: "{{testvar['cmd']}}"
    复制代码
    上述示例的返回信息为shell模块的返回值,如果你想要了解返回值中每一项的含义,则可以查看官方手册,我使用的是2.4版本的ansible,所以我可以参考2.4版本的官网文档,找到shell模块的介绍,官网链接如下
    https://docs.ansible.com/ansible/2.4/shell_module.html

    不同的模块,返回值也不尽相同,ansible官网对一些常见的返回值进行了总结,链接如下
    https://docs.ansible.com/ansible/2.4/common_return_values.html

    如果你想要查看模块对应的返回值,可以先查找官方手册,但是,并不是所有模块的官方手册中都对模块的返回值进行了描述,你可以使用上述示例中的方法,自己查看模块的返回值,这些返回值不仅仅能够用于输出,通常我们会利用到这些返回值,比如,通过模块的返回值决定之后的一些动作,所以,注册变量在playbook中还是会被经常用到的,在之后的文章中我们会给出示例,此处不用纠结。
    提示用户输入信息并写入变量
    在运行某些脚本时,有时候脚本会提示用户输入一些信息,脚本需要根据用户输入的信息决定下一步的动作,这种"交互"有时候是必须的,那么,在playbook中该怎样实现这种交互呢?我们可以这样做,提示用户输入信息,然后将用户输入的信息存入到指定的变量中,当我们需要使用这些"输入的信息"时,只要引用对应的变量即可。
    我们来看一个小示例,如下
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars_prompt:
    5.     - name: "your_name"
    6.       prompt: "What is your name"
    7.     - name: "your_age"
    8.       prompt: "How old are you"
    9.   tasks:
    10.    - name: output vars
    11.      debug:
    12.       msg: Your name is {{your_name}},You are {{your_age}} years old.
    复制代码
    如上例所示,我们使用"vars_prompt"关键字创建了两个变量,这两个变量的名称分别为"your_name" 和 "your_age",当运行上例playbook时,会出现 "What is your name"的提示信息,然后用户输入的信息会存入到"your_name"变量中,之后,会出现 "How old are you"的提示信息,用户输入的信息会存入到"your_age"变量中,上例中的"output vars"任务会输出一句话,这句话中包含了上述两个变量的值,我们来看一下上例的执行效果。
    1.png
    如上图所示,运行playbook时会提示输入你的名字,输入你的年龄,你输入的内容并不会显示在屏幕上,在完成提示输入的内容后,在"output vars"任务的输出中可以看到用户输入的名字和年龄。
    如你所见,当你使用这种方式提示用户时,默认情况下不会显示用户输入的信息,这种方式比较适合用户输入密码时的场景,如果你想要显示用户输入的信息,可以使用如下示例中的方法。
    1.   vars_prompt:
    2.     - name: "your_name"
    3.       prompt: "What is your name"
    4.       private: no
    5.     - name: "your_age"
    6.       prompt: "How old are you"
    7.       private: no
    复制代码
    如上例所示,我们在定义" vars_prompt"中的变量时,使用private关键字,将变量的private属性设置为no即可, "private: no"表示变量值为非私有的,可见的,默认情况下 private值为yes,表示不可见。

    我们还能为提示信息设置默认值,即如果用户不输入任何信息,则将默认值赋予变量,示例playbook如下。
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars_prompt:
    5.     - name: "solution"
    6.       prompt: "Choose the solution you want \n
    7.       A: solutionA\n
    8.       B: solutionB\n
    9.       C: solutionC\n"
    10.       private: no
    11.       default: A
    12.   tasks:
    13.    - name: output vars
    14.      debug:
    15.       msg: The final solution is {{solution}}.
    复制代码
    如上例所示,我们使用了default关键字设置了"solution"变量的默认值,如果用户没有输入任何值(直接回车),则将"solution"变量的值设置为A,如果用户输入了值,则"solution"变量值为用户输入的值。

    之前的示例中,我们提到可以利用提示信息让用户设置密码,有了这项功能,我们就可以编写出一个playbook,这个playbook可以让用户手动输入用户名和密码,然后根据用户输入的信息去创建系统用户了,聪明如你一定想到了,创建系统用户可以使用user模块,前文已经总结过user模块,此处不再赘述,那么我们来尝试编写一个可交互创建系统用户的playbook吧,经过思考,我编写了如下playbook,你可以帮我看看如下playbook中存在什么问题。
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars_prompt:
    5.     - name: "user_name"
    6.       prompt: "Enter user name"
    7.       private: no
    8.     - name: "user_password"
    9.       prompt: "Enter user password"
    10.   tasks:
    11.    - name: create user
    12.      user:
    13.       name: "{{user_name}}"
    14.       password: "{{user_password}}"
    复制代码
    上例的playbook似乎没有什么不妥,但是细心如你一定发现了,user模块的password参数虽然可以指定用户的密码,但是password参数对应的值必须是一个"明文密码哈希过后的字符串"(如果你不明白我在说什么,可以参考之前文章中总结的user模块的使用方法),而上例中,用户经过提示后输入的密码字符串并未经过哈希操作,所以,即使通过上述playbook可以创建用户,创建后的用户也无法通过设置的密码进行登录,因为保存在/etc/shadow文件中的密码字段是一个未哈希的明文的密码字段。那么,我们该怎么办呢?没错,我们需要对用户输入的密码字符串进行哈希,然后将哈希过后的字符串传入user模块的password参数中,ansible已经为我们考虑到了这一点,我们可以使用"encrypt"关键字,对用户输入的字符串进行哈希,用户输入的信息被哈希以后会存入对应的变量中,示例如下:
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars_prompt:
    5.     - name: "hash_string"
    6.       prompt: "Enter something"
    7.       private: no
    8.       encrypt: "sha512_crypt"
    9.   tasks:
    10.    - name: Output the string after hash
    11.      debug:
    12.       msg: "{{hash_string}}"
    复制代码
    如上例所示(先不要着急运行上述playbook),encrypt关键字表示对用户输入的信息进行哈希,encrypt: "sha512_crypt"表示使用sha512算法对用户输入的信息进行哈希,哈希后的字符串会存入到上例中的"hash_string"变量中,利用encrypt关键字,就可以解决之前遇到的创建用户时指定密码字符串的问题,但是需要注意,当使用"encrypt"关键字对字符串进行哈希时,ansible需要依赖passlib库完成哈希操作,如果未安装passlib库(一个用于哈希明文密码的python库),执行playbook时会报如下错误
    ERROR! passlib must be installed to encrypt vars_prompt values
    我的ansible主机的操作系统为centos7.4,默认自带python2.7.5,为了能够正常执行上述playbook,需要先安装passlib库。

    此处通过pip安装passlib库,由于当前主机也没有安装pip,所以先下载安装pip
    1. # tar -xvf pip-10.0.1.tar.gz
    2. # cd pip-10.0.1/
    3. # python setup.py install
    复制代码
    pip安装完成后,通过pip安装passlib库
    1. # pip install passlib
    复制代码
    passlib库安装完成后,执行上例中的剧本,可以看到,你输入的信息在经过哈希以后被输出了,当然,上例中我们指定了使用sha512算法对字符串进行哈希,你也可以指定其他passlib库支持的算法,算法名称可以参考如下连接
    https://docs.ansible.com/ansible/2.4/playbooks_prompts.html

    除了能够使用"encrypt"关键字对字符串进行哈希加密,还能够使用"confirm"关键字实现类似确认密码的功能,我们在为用户设置密码时,通常需要输入两次完全相同的密码,才能够设置成功,通过"confirm"关键字就能实现类似的效果,示例playbook如下
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars_prompt:
    5.     - name: "user_name"
    6.       prompt: "Enter user name"
    7.       private: no
    8.     - name: "user_password"
    9.       prompt: "Enter user password"
    10.       encrypt: "sha512_crypt"
    11.       confirm: yes
    12.   tasks:
    13.    - name: create user
    14.      user:
    15.       name: "{{user_name}}"
    16.       password: "{{user_password}}"
    复制代码
    具体的执行效果我就不截图了,动手试试吧。
    通过命令行传入变量
    除了之前总结过的定义变量的方法,我们还能够在执行playbook时直接传入需要使用的变量,我们来看一小示例,如下:
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   tasks:
    5.   - name: "Passing Variables On The Command Line"
    6.     debug:
    7.       msg: "{{pass_var}}"
    复制代码
    上例中的playbook中,并没有定义pass_var变量,而是直接引用了pass_var变量,我们可以在调用上述playbook时直接从命令行传入pass_var变量,方法如下
    1. ansible-playbook cmdvar.yml --extra-vars "pass_var=cmdline pass var"
    复制代码
    如上例所示,在调用playbook时使用 "--extra-vars" 选项可以传递对应的变量与变量值, "--extra-vars" 是长选项,对应的短选项是"-e",我们也可以一次性传入多个变量,变量之间用空格隔开,如下
    1. ansible-playbook cmdvar.yml -e 'pass_var="test" pass_var1="test1"'
    复制代码
    上例中的playbook中并没有定义pass_var变量,如果在调用playbook时也没有传入pass_var变量,则会报错,其实,我们也可以先在playbook中定义好变量,然后在执行playbook时,再次传入相同名称的变量,最终还是以传入的变量值为准,示例如下
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   vars:
    5.     pass_var: test_default
    6.   tasks:
    7.   - name: "Passing Variables On The Command Line"
    8.     debug:
    9.       msg: "{{pass_var}}"
    复制代码
    上例的playbook中定义了pass_var变量,其值为"test_default",在执行上述playbook时,从命令行再次传入pass_var变量,命令如下
    1. ansible-playbook cmdvar.yml -e 'pass_var="test"'
    复制代码
    执行上述命令后,你会发现,最终输出的值为"test"而非"test_default",也就是说,命令行传入的变量的优先级要高于playbook中的变量,通过这种方法,我们就能够更加灵活的指定变量的值了。

    不仅ansible-playbook命令可以使用"-e"传递变量,ansible命令也同样可以,所以在执行ad-hoc命令时也可以使用同样的方法传入变量,如下
    1. ansible test70 -e "testvar=test" -m shell -a "echo {{testvar}}"
    复制代码
    上述的几个示例从命令行中传递变量时,都是使用了"key=value"的形式,除了使用"key=value"的方式传递变量,ansible还支持通过json的格式传入变量,示例如下

    通过json格式传入两个变量
    1. ansible-playbook cmdvar.yml -e '{"testvar":"test","testvar1":"test1"}'
    复制代码
    通过json格式传入稍微复杂一点的变量
    1. ansible-playbook cmdvar.yml -e '{"countlist":["one","two","three","four"]}'
    复制代码
    在剧本中引用上述命令传入的countlist变量时,如果想要获取到值"one",则可以使用如下两种语法引用变量
    {{countlist[0]}} 或者 {{countlist.0}}

    命令行不仅能够传入变量,还能传入变量文件,变量文件中的变量都会一并被传入,变量文件可以是json格式的,也可以是YAML格式的,此处使用YAML格式的变量文件进行示例,示例文件内容如下
    1. # cat /testdir/ansible/testvar
    2. testvar: testvarinfile
    3. countlist:
    4. - one
    5. - two
    6. - three
    7. - four
    复制代码
    测试用playbook内容如下
    1. ---
    2. - hosts: test70
    3.   remote_user: root
    4.   tasks:
    5.   - name: "Passing Variables On The Command Line"
    6.     debug:
    7.       msg: "{{testvar}} {{countlist[0]}}"
    复制代码
    如playbook所示,playbook中引用了变量文件中定义的两个变量,那么,我们怎样从命令行中将变量文件中的变量传入playbook呢?示例如下
    1. ansible-playbook cmdvar.yml -e "@/testdir/ansible/testvar"
    复制代码
    如上述命令所示,使用"@"符号加上变量文件的路径,即可在命令行中传入对应的变量文件,变量文件中的所有变量都可以在playbook中引用,还是很方便的吧。


    好了,这篇文章就总结到这里,希望能够对你有所帮助。


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部