Ansibleについて知っておくべき15のこと

Habrahabrの読者に、Marlon Bernardesがcodeheaven.ioで公開した記事「Ansibleについて知っておくべき15の事柄」の翻訳を提供します。



最近、私はAnsibleと多くの仕事をし、その過程で学んだことを共有することにしました。 以下に、Ansibleについて知っておくべき15の項目のリストを示します。 何か見逃しましたか？ コメントを残して、個人的なヒントを共有してください。

1-ロールのパラメーターを渡すことができます

プレイブックを整理する役割を作成することをお勧めします。 Jenkinsをインストールするロールを作成するとします。 このロールのディレクトリ構造は次のようになります。

jenkins/ files/ templates/ tasks/ handlers/ defaults/
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

defaultsディレクトリは、ロールのデフォルト変数を保存するために使用されます。 その中にはmain.ymlファイルがあります：

 jenkins_port: 8080 jenkins_context_path: /jenkins jenkins_home: /jenkins
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のように、ロールにさまざまなパラメーターを渡すことで、デフォルト変数をオーバーライドできます。

 roles: - { role: jenkins, jenkins_port: 8181, jenkins_home: '/jenkins1' } - { role: jenkins, jenkins_port: 8080, jenkins_home: '/jenkins2' }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2-コマンドモジュールをべき等にする方法

べき等性は、最初のアプリケーションの結果を変更せずに繰り返し実行できる特定の操作のプロパティです。 この概念は、ほとんどのAnsibleモジュールに存在します。目的の最終状態を指定し、Ansibleがタスクを完了する必要があるかどうかを決定します。 デフォルトでは、この原則はコマンドモジュールには適用されません。 プレイブックにタスクがある場合、常に完了します。

 - command: /usr/bin/create-database.sh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

べき等性を実現するには、 creates属性を使用できます。 存在する場合、Ansibleは、ファイルで指定されたテンプレートが存在しない場合にのみコマンドを実行します。 または、指定されたファイルが存在する場合にのみタスクを実行するremovesを使用できます。

 - command: /usr/bin/create-database.sh creates=/path/to/database
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Ansibleには多くのモジュールがあり、最も一般的な操作ではコマンドモジュールを使用する必要がないことに常に留意してください。 たとえば、 ファイルシステムの作成 、 iptablesルールの変更、 cronジョブの管理のためのモジュールがあります。 デフォルトでは、これらのモジュールはすべてi等であるため、常に優先する必要があります。

3-Ansibleセットアップモジュールを使用してホストに関する情報を収集する

おそらく、Ansibleがプレイブックを作成するときに最初に行うことは次のようなものであることがわかりました。

 TASK [setup] ******************************************************************* ok: [servername]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、Ansibleが最初のタスクを実行する前に特別なセットアップモジュールを呼び出すためです。 セットアップモジュールはホストに接続し、IPアドレス、ディスク容量、プロセッサアーキテクチャ、利用可能なメモリなど、あらゆる種類の事実を収集します。 ホストに関する情報をすばやく収集する方法として、このモジュールを手動で呼び出すと便利です。 これを行うには、次のコマンドを実行するだけです：

 $ ansible localhost -m setup localhost | SUCCESS => { "ansible_facts": { "ansible_all_ipv4_addresses": [ "10.27.12.77", "192.168.33.1" ], (  ) }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

4-プレイブックのすべてのタスクを表示できます

プレイブックが何をするのか覚えておきたいですか？ --list-tasksフラグを使用してansible-playbookを実行すると、Ansibleは使用可能なすべてのタスクを表示します。

 $ ansible-playbook install-jenkins.yml --list-tasks PLAY: #1 tasks: TASK: meta TASK: open-jdk : Install open jdk 1.8 TASK: mount-partition : Creating the filesystem for the device {{ device }} (if needed) TASK: mount-partition : Mounting the device {{ device }} on path {{ path }} TASK: jenkins : Ensure Jenkins repo is installed. TASK: jenkins : Add Jenkins repo GPG key. TASK: jenkins : Ensure Jenkins is present. TASK: jenkins : Ensures that the home directory exists TASK: jenkins : include TASK: jenkins : Ensure Jenkins is started and runs on startup. TASK: jenkins : Wait for Jenkins to start up before proceeding. TASK: jenkins : Get the jenkins-cli jarfile from the Jenkins server.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

5-機密情報を保存する場合は、ansible-vaultを使用します

タスクの1つに機密情報（データベースへのアクセスなど）が必要な場合は、この情報をプレーンテキストではなく、暗号化された形式で保存することをお勧めします。



Ansibleには、暗号化されたファイルを作成および管理できるansible-vaultコマンドラインユーティリティが付属しています。 したがって、暗号化されたファイルをバージョン管理システムに「コミット」でき、解読パスワードを持つユーザーのみがそれを読み取ることができます。

 #   .     . ansible-vault encrypt secrets.yml #    .     . ansible-vault create secrets.yml #  .    ,   . #   !      . ansible-vault decrypt secrets.yml #    # (-  vim,    $EDITOR) ansible-vault edit secrets.yml #     ansible-vault edit secrets.yml
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

secrets.ymlファイルをプレイブックにインポートすると、暗号化されたファイルの読み方がわからないため、Ansibleは「スナップ」します。 コマンドライン引数--ask-vault-passを指定する必要があります。これは、暗号化されたファイルのパスワードを提供するようAnsibleに促します。

 ansible-playbook playbook.yml -i hosts --ask-vault-password
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もう1つの方法は、パスワードをファイルに保存し（「ロック」しないでください）、 -vault-password-file引数を使用してファイルへのパスを指定することです 。 このファイルが実行可能な場合、Ansibleはそれを実行し、出力をパスワードとして使用します。



ansible-vaultの詳細については、こちらをご覧ください。

6-with_itemsを使用することをお勧めします

with_itemsを使用すると 、Ansibleは現在の反復の値を含む変数{{item}}を作成します。 一部のモジュールはコレクションを非常にうまく処理し、同じパラメーターを異なるパラメーターで複数回実行するよりもはるかに高速です。

 #      () - name: install required packages using the apt module apt: package={{ item }} update_cache=yes sudo: True with_items: - git - memcached - nginx #     () - name: install git apt: package=git update_cache=yes sudo: True - name: install memcached apt: package=memcached update_cache=yes sudo: True - name: install nginx apt: package=nginx update_cache=yes sudo: True
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

7-ローカルアクションの仕組み

リモートホストで実行する代わりに、ローカルホストでタスクを実行する必要がある場合があります。 これは、サーバーが起動するまで待機する場合（開始したばかりの場合）、またはバランサープールにノードを追加する（または削除する）場合に役立ちます。

 tasks: - name: take out of load balancer pool local_action: > command /usr/bin/take_out_of_pool {{ inventory_hostname }} - name: update application yum: name=acme-web-stack state=latest - name: add back to load balancer pool local_action: > command /usr/bin/take_out_of_pool {{ inventory_hostname }}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

以下の例は、EC2インスタンスを開始し、利用可能になるまで待機する方法を示しています。

 - name: Launching EC2 Instance # instance options here register: ec2 - name: Waiting for ec2 instances to listen on port 22 wait_for: state=started host={{ item.public_dns_name }} port=22 with_items: ec2.instances
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

8-タスクを一度だけ完了するようにAnsibleに伝えることができます

複数のホストがある場合でも、タスクを1回だけ完了する必要がある場合があります。 例として、同じデータベースに接続するアプリケーションを備えた複数のサーバーがあり、データベースを移行するタスクがあるとします。 この場合、このタスクを完了する必要があるのは1回だけです。



これを実現するには、Ansibleにコマンドを1回だけ実行するように指示するrun_onceパラメーターを使用できます。

 - name: run the database migrations command: bundle exec rake db:migrate run_once: true
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

9-ハンドラーは特別なタイプのタスクです

ハンドラーは、別のタスクから通知された場合にのみ実行される一意の名前を持つタスクです。 サービスの再起動やシステムの再起動に非常に便利です。



通知されたハンドラーは、通知された回数に関係なく、プレイブックの最後に1回実行されます。 ハンドラーを使用してそれらを宣言し、 notifyを使用して呼び出すことができます。



ファイルの内容が変更されたときに2つのサービスを再起動する方法の例を次に示しますが、ファイルが変更された場合のみです（例はAnsible docsから取られています）。

 - name: template configuration file template: src=template.j2 dest=/etc/foo.conf notify: - restart memcached - restart apache
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ハンドラーは、プレイブックのどこかで宣言する必要があります。

 handlers: - name: restart memcached #   service,        service: name=memcached state=restarted - name: restart apache service: name=apache state=restarted
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

10-パイプラインの加速

Ansibleをさらに高速に実行するためのヒント：

• パイプラインを有効にする

パイプラインを有効にすると、スクリプトをコピーする代わりにパイプを介してSSHセッションに渡すことにより、リモートサーバーでモジュールを実行するために必要なSSH操作の数が削減されます。 その結果、これにより生産性が大幅に向上します。



ただし、注意する必要があります。 sudoersファイル（/ etc / sudoers）内のすべてのリモートホストでrequirettyオプションが無効になっている場合のみ、パイピングが機能します。

 [ssh_connection] pipelining = True
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

• ファクトコレクションを無効にするか、ファクトキャッシングを有効にします

タスクでAnsible Factsを使用しない場合は、ファクト収集ステップをオフにして速度を上げることができます。 これを行うには、単にGather_facts：Falseオプションをプレイブックに追加します。

 - hosts: servername gather_facts: False tasks: - name: ... # ...
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

一方、Ansibleファクト（セットアップモジュールによって自動的に収集される）を使用する必要がある場合は、それらをキャッシュして、後続の実行を高速化できます。 詳細を知りたい場合は、 ここでAnsibleのドキュメントで詳細を説明しています 。

11-Ansibleにはいくつかの通知モジュールがあります

Ansibleを使用してブルーグリーン展開を自動化しますか？ プレイブックを実行して新しいAWSインスタンスを提供しますか？ 通知モジュールのいずれかを使用して、これについてチームに知らせてください。 例として、以下のタスクはSlackに通知を送信します。

 - hosts: servername tasks: - name: Send notification message via Slack local_action: module: slack # To retrieve your slack token, open your team settings and look for the # Incoming Webhooks plugin token: <your>/<token>/<goes here> msg: "Hello team! I just finished updating our production environment." channel: "#general" username: "ansible-bot"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

通知モジュールは、irc、twillio、hipchat、jabberなどでも利用できます。

12-EC2インスタンスはタグによって自動的にグループ化されます

Amazon Web ServicesおよびAnsible EC2動的インベントリスクリプトを使用する場合、すべてのインスタンスは、タイプ、キーペア、タグなどの特性に基づいてグループ化されます。 EC2タグは、インスタンスに関連付けられたkey = valueであり、好きなように使用できます。 ラベルを使用して運用/ステージングサーバーをグループ化し、ブルーグリーン展開中にWebサーバーまたは「アクティブな」サーバーを示します。



EC2 Dynamic Inventoryスクリプトは、タグでホストをグループ化するときに、次のテンプレート（括弧なし）を使用します。

 tag_[TAG_NAME]_[TAG_VALUE]
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

したがって、 env = stagingタグを使用してすべてのノードでタスクを完了したい場合は、これをプレイブックに追加するだけです。

  hosts: tag_env_staging tasks: - name: This task will be run on all servers with env == staging # ...
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これをさらに面白くするには、影響を受けるホストを指定してAnsible テンプレートを使用できます。 たとえば、本番データベースサーバーで特定のタスクを実行する場合（適切にマークされている場合）、次のようにクロスパターン（：＆）を使用できます。

  hosts: tag_env_production&:tag_type_db tasks: - name: This task will be run on all servers with tags 'env=production' and 'type=db' # ...
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

13-「ドライラン」モードでタスクを実行できます

Ansibleは、プレイブックのドライランモード（チェックモードとも呼ばれます）での実行をサポートしています。

このモードでは、Ansible はホストに変更を加えませんが、このフラグなしでプレイブックが起動された場合にどのような変更が行われるかを単に通知します。



一部のシナリオでは便利ですが、タスクに条件が使用されている場合は適切に機能しない場合があります。

14-タスクはステップごとに完了できます

場合によっては、プレイブックのすべてのタスクを完了したくないことがあります。

これは、新しいプレイブックを作成してチェックアウトする場合の一般的なソリューションです。

Ansibleは、-- stepフラグを使用して、実行するタスクを決定する方法を提供します。

これにより、タスクを完了する（y）、スキップする（n）、または（c）確認せずに続行するかを選択できます。

15-タグに基づいてタスクを実行できます

タスクまたはプレイブックに1つ以上のタグを追加できます。

これを行うには、 tags属性を使用して「タグ付け」することに注意してください。



後でフラグを使用して、実行するタグまたはスキップするタグを決定できます。

--tags tagname （または単に-t ）および--skip-tags tagnames ：

 #      'dependencies' $ ansible-playbook --tags=dependencies playbook.yml #   ,  ,    'optional' $ ansible-playbook --skip-tags=optional playbook.yml
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

複数のタグをコンマで区切って指定できます。

推奨事項

Ansibleのドキュメント

Ansible Up＆Running Book、ロリン・ホッホシュタイン