Ansible配置文件

• Ansible默认配置文件为/etc/ansible/ansible.cfg,配置文件中可以对Ansible进行各项参数的调整,包括并发线程数、用户、模块路径、配置优化等

• 常用参数

  • [default]:通用默认配置段
  • inventory=/etc/ansible/hosts:被控端IP或者DNS列表
  • library:/usr/share/my_modules:Ansible默认搜寻模块的位置
  • remote_tmp=$HOME/.ansible/tmp:Ansible远程执行临时文件
  • pattern=*:对所有主机通信
  • forks=5:并行线程数
  • poll_interval=15:回频率或轮询间隔时间
  • sudo_user=root:sudo远程执行用户名
  • ask_sudo_pass=True:使用sudo,是否需要密码
  • transport=smart:通信机制
  • ask_pass=True:是否需要输入密码
  • remote_port=22:远程SSH端口
  • module_lang=C:模块和系统之间通信的语言
  • gathering=implicit:控制默认facts收集(远程系统变量)
  • roles_path=/etc/ansible/roles:用于PlayBook搜索Ansible roles
  • host_key_checking=False:检查远程主机密钥
  • sudo_exe=sudo:sudo远程执行命令
  • sudo_flags=-H:传递sudo之外的参数
  • timeout=10:SSH超时时间
  • remote_user=root:远程登录用户名
  • log_path=/var/log/ansible.log:日志文件存放路径
  • module_name=command:Ansible命令默认执行的模块
  • executable=/bin/sh:执行的shell环境,用户shell环境
  • hash_behaviour=replace:特定的优先级覆盖变量
  • private_key_file=/path/to/file:私钥文件存储位置
  • display_skipped_hosts=True:显示任何跳过任务的状态
  • system_warnings=True:禁用系统运行Ansible潜在问题警告
  • deprecation_warnings=True:PlayBook输出禁用"不建议使用"警告
  • command_warnings=False:command模块Ansible默认发出警告
  • nocolor=1:输出带上颜色区别,0表示开启,1表示关闭
  • pipelining=False:开启pipe SSH通道优化
  • [accelerate]:accelerate缓存加速
    • accelerate_port=5099:加速连接端口5099
    • accelerate_timeout=30:命令执行超时时间,单位为s
    • accelerate_connect_timeout=5.0:上一个活动连接的时间,单位为min
    • accelerate_daemon_timeout=30:允许多个私钥被加载到daemon
    • accelerate_multi_key=yes:任何客户端想要连接daemon都需要开启这个选项

Ansible性能调优

• 管理的服务器越来越多,Ansible执行效率会变得比较慢,可以通过优化Ansible提高效率,由于Ansible基于SSH协议通信,SSH连接慢会导致整个基于Ansible执行变得缓慢,也需要对OpenSSH进行优化,具体优化方法为

  1. Ansible SSH关闭秘钥检查

     • 默认以SSH登录远程客户端服务器,会检查远程主机的公钥(public key),并将该主机的公钥记录在~/.ssh/known_hosts文件中.下次访问相同主机时,OpenSSH会核对公钥,如果公钥不同,OpenSSH会发出警告,如果公钥相同,则提示输入密码
     • SSH对主机的public_key的检查等级是根据StrictHostChecking变量来设定的,StrictHostChecking检查级别包括no(不检查)、ask(询问)、yes(每次都检查)、False(关闭检查)
     • Ansible配置文件中修改host_key_checking即可关闭StrictHostChecking检查

     host_key_checking=False
     

  2. OpenSSH连接优化

     • 使用OpenSSH服务时,默认服务器端配置文件UseDNS=YES状态,该选项会导致服务器根据客户端的IP地址进行DNS PTR反向解析,得到客户端的主机名,然后根据获取到的主机名进行DNS正向A记录查询,并验证该IP是否与原始IP一致.关闭DNS解析

     sed -i '/^GSSAPI/s/yes/no/g' /etc/ssh/sshd_config
     sed -i 's/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config
     /etc/init.d/sshd restart
     

  3. SSH pipelining加速Ansible

     • SSH pipelining是一个加速Ansible执行速度的简单方法,SSH pipelining默认是关闭的,关闭是为了兼容不同的sudo配置,主要是requiretty选项
     • 如果不使用sudo建议开启此选项,打开此选项可以减少Ansible执行没有文件传输时,SSH在被控机器上执行任务的连接数.使用sudo操作的时候,必须在所有被管理的主机上将配置文件/etc/sudoers中的requiretty选项禁用

     vim /etc/ansible/ansible.cfg
     pipelining=True
     

  4. SSH Multiplexing

     • ansible运行playbook时会启动很多ssh连接来执行复制文件,运行命令这样的操作.openssh支持这样一个优化,叫做ssh Multiplexing,当使用这个ssh Multiplexing的时候,多个连接到相同主机的ssh回话会共享相同的TCP连接,这样就只有第一次连接的时候需要进行TCP三次握手
     • ansible会默认使用ssh Multiplexing特性,一般不需要更改配置,相关的配置项为:

     [ssh_connection]
     control_master = auto # 套接字不存在的情况下自动创建
     control_path = $HOME/.ansible/cp/ansible-ssh-%h-%p-%r # 连接套接字存放的位置
     control_persist = 60s  # 60s没有ssh连接就关闭主连接
     

  5. Ansible facts缓存优化

     • Ansible PlayBook在执行过程中,默认会执行Gather facts,如果不需要获取客户端的fact数据的话,可以关闭fact数据功能,关闭之后可以加快Ansible PlayBook的执行效率.如需关闭fact功能,在PlayBook YAML文件中加入

     gather_facts: no
     

     • Ansible facts组件主要用于收集客户端设备的基础静态信息,这些信息可以在做配置管理的时候方便引用.facts信息直接当做Ansible PlayBook变量信息进行引用,也可以将facts信息存入Redis缓存中

     • 使用Redis缓存facts信息

       1. 部署redis服务

       wget http://download.redis.io/releases/redis-2.8.13.tar.gz
       tar xf redis-2.8.13.tar.gz
       cd redis-2.8.13
       make PREFIX=/usr/local/redis install
       cp redis.conf /usr/local/redis/
       

       • 将/usr/local/redis/bin目录加入至环境变量配置文件/etc/profile末尾

       export PATH=/usr/local/redis/bin:$PATH
       
       # 使环境变量生效
       source /etc/profile
       

       • 启动Redis服务(在后台运行)

       nohup /usr/local/redis/bin/redis-server /usr/local/redis/redis.conf &
       

       2. 安装Python Redis模块

       easy_install pip
       pip install redis
       

       3. Ansible整个Redis配置

          • 在配置文件/etc/ansible/ansible.cfg的defaults段中进行配置,如果Redis密码为admin,则开启admin密码行

          [defaults]
          gathering = smart
          fact_caching = redis
          fact_caching_timeout = 86400
          fact_caching_connection = localhost:6379
          #fact_caching_connection = localhost:6379:0:admin
          

       4. 测试Redis缓存

          • Ansible PlayBook执行yaml剧本文件

          ansible-playbook 111.yml
          

image.png

      - 检查Redis服务器,facts key已存入Redis中

image.png

6. ControlPersist SSH优化

   • ControlPersist即持久化的socket,一次验证多次通信,并且只需修改SSH客户端配置,也即Ansible被管理主机.可使用YUM或者源码编译安装升级OpenSSH服务
   • ControlPersist的设置方法:在其用户的家目录创建config文件,如果Ansible以root用户登录客户端,只需要在客户端的/root/.ssh/config目录中修改内容

   Host *
       Compression yes
       ServerAliveInterval 60
       ServerAliveCountMax 5
       ControlMaster auto
       ControlPath ~/.ssh/socket/%r@%h-%p
       ControlPersist 4h
   

   • 开启ControlPersist特性,SSH在建立sockets后,节省了每次验证和创建的时间,对Ansible执行速度提升是非常明显的