控制 Ansible 行为:优先级规则
为了让您在管理环境时拥有最大的灵活性,Ansible 提供了多种方式来控制 Ansible 的行为:它如何连接到受管节点,以及连接后如何工作。如果您使用 Ansible 管理大量的服务器、网络设备和云资源,您可能会在几个不同的地方定义 Ansible 的行为,并通过几种不同的方式将这些信息传递给 Ansible。这种灵活性很方便,但如果您不理解优先级规则,可能会适得其反。
这些优先级规则适用于任何可以通过多种方式定义的设置(通过配置设置、命令行选项、Playbook 关键字、变量)。
优先级类别
Ansible 提供了四种控制其行为的来源。优先级从低(最容易被覆盖)到高(覆盖所有其他)的顺序如下:
配置设置
命令行选项
Playbook 关键字
变量
直接赋值
每个类别都会覆盖所有较低优先级类别中的任何信息。例如,Playbook 关键字将覆盖任何配置设置。
在每个优先级类别中,适用特定的规则。但是,一般来说,“最后定义”的获胜,并覆盖任何先前的定义。
配置设置
配置设置包括来自 ansible.cfg 文件和环境变量的值。在此类别中,在配置文件中设置的值优先级较低。Ansible 使用找到的第一个 ansible.cfg 文件,忽略所有其他文件。Ansible 按照以下顺序搜索 ansible.cfg:
ANSIBLE_CONFIG(如果设置了环境变量)
ansible.cfg(在当前目录中)
~/.ansible.cfg(在主目录中)
/etc/ansible/ansible.cfg
环境变量的优先级高于 ansible.cfg 中的条目。如果您在控制节点上设置了环境变量,它们将覆盖 Ansible 加载的任何 ansible.cfg 文件中的设置。任何给定环境变量的值都遵循正常的 shell 优先级:最后定义的值会覆盖先前的值。
命令行选项
任何命令行选项都会覆盖任何配置设置。
当您直接在命令行中输入内容时,您可能会觉得您手动创建的值应该覆盖所有其他值,但 Ansible 并非如此工作。命令行选项的优先级较低 - 它们仅覆盖配置。它们不覆盖 Playbook 关键字、来自清单的变量或来自 Playbook 的变量。
您可以通过在命令行中使用 -e 额外变量来覆盖来自所有其他优先级类别中所有其他来源的所有其他设置,但这并不是命令行选项,而是一种传递变量的方式。
在命令行中,如果您为只接受单个值的参数传递多个值,则最后定义的值获胜。例如,这个临时任务将以 carol 的身份连接,而不是以 mike 的身份连接
ansible -u mike -m ping myhost -u carol
某些参数允许多个值。在这种情况下,Ansible 将追加清单文件 inventory1 和 inventory2 中列出的所有主机的中的所有值
ansible -i /path/inventory1 -i /path/inventory2 -m ping all
每个命令行工具的帮助会列出该工具的可用选项。
Playbook 关键字
任何Playbook 关键字都会覆盖任何命令行选项和任何配置设置。
在 Playbook 关键字中,优先级随着 Playbook 本身流动;更具体的胜过更一般的
play (最通用)
blocks/includes/imports/roles(可选,可以包含任务和彼此)
tasks(最具体)
一个简单的例子
- hosts: all
connection: ssh
tasks:
- name: This task uses ssh.
ping:
- name: This task uses paramiko.
connection: paramiko
ping:
在此示例中,connection 关键字在 play 级别设置为 ssh。第一个任务继承该值,并使用 ssh 连接。第二个任务继承该值,覆盖它,并使用 paramiko 连接。相同的逻辑也适用于 blocks 和 roles。play 中的所有任务、blocks 和 roles 都会继承 play 级别的关键字;任何任务、block 或 role 都可以通过在该任务、block 或 role 中定义该关键字的不同值来覆盖任何关键字。
请记住,这些是关键字,而不是变量。Playbook 和变量文件都是在 YAML 中定义的,但它们具有不同的含义。Playbook 是 Ansible 的命令或“状态描述”结构,变量是我们用来帮助使 Playbook 更动态的数据。
变量
Ansible 变量在优先级堆栈中非常高。它们将覆盖任何 Playbook 关键字、任何命令行选项、环境变量和任何配置文件设置。
具有等效的 Playbook 关键字、命令行选项和配置设置的变量被称为连接变量。最初为连接参数设计,此类别已扩展到包括其他核心变量,如临时目录和 Python 解释器。
连接变量,像所有变量一样,可以通过多种方式和位置进行设置。您可以在清单中为主机和组定义变量。您可以在Playbook中的 vars: 块中为任务和 play 定义变量。但是,它们仍然是变量 - 它们是数据,而不是关键字或配置设置。覆盖 Playbook 关键字、命令行选项和配置设置的变量遵循与任何其他变量相同的变量优先级规则。
在 Playbook 中设置时,变量遵循与 Playbook 关键字相同的继承规则。您可以为 play 设置一个值,然后在任务、block 或 role 中覆盖它
- hosts: cloud
gather_facts: false
become: true
vars:
ansible_become_user: admin
tasks:
- name: This task uses admin as the become user.
dnf:
name: some-service
state: latest
- block:
- name: This task uses service-admin as the become user.
# a task to configure the new service
- name: This task also uses service-admin as the become user, defined in the block.
# second task to configure the service
vars:
ansible_become_user: service-admin
- name: This task (outside of the block) uses admin as the become user again.
service:
name: some-service
state: restarted
变量作用域:一个值可用的时长?
在 Playbook 中设置的变量值仅存在于定义它们的 Playbook 对象中。这些“Playbook 对象作用域”变量对于后续对象(包括其他 play)不可用。
直接与主机或组关联的变量值,包括在清单中定义的变量、通过 vars 插件定义的变量或使用诸如set_fact和include_vars之类的模块定义的变量,可用于所有 play。这些“主机作用域”变量也可通过 hostvars[] 字典获得。
通过 extra vars 设置的变量具有当前运行的全局作用域,并且将作为“Playbook 对象变量”和“hostvars”都存在。
在命令行中使用 -e 额外变量
要覆盖所有其他变量,您可以使用额外的变量:命令行中的 --extra-vars 或 -e。 通过 -e 传递的值,虽然本身也是一个命令行选项,但在变量中具有最高的优先级,并且在大多数配置源中具有较高的优先级,这有点违反直觉,因为变量本身就具有较高的优先级。 例如,此任务将以 brian 连接,而不是以 carol 连接。
ansible -u carol -e 'ansible_user=brian' -a whoami all
您必须使用 --extra-vars 指定变量名和值。
直接赋值
此类别仅适用于接受直接选项的事物,通常是模块和某些插件类型。 大多数模块和操作插件没有其他方式来分配设置,因此在这种情况下很少出现优先级问题,但其中一些仍然有可能这样做,并且应该在文档中反映出来。
- debug: msg='this is a direct assignment option to an action plugin'
- ping:
data: also a direct assignment
在任务操作之外,最容易识别的“直接赋值”是使用 lookup、filter 和 test 插件。
lookup('plugin', direct1='value', direct2='value2')
'value_directly_assigned'|filter('another directly assigned')
'direct value' is testplugin
虽然大多数这些配置没有其他方式,特别是测试,但如果插件和过滤器在其文档中指定,则可以使用来自其他配置源的输入。
清单插件有点棘手,因为它们使用“清单源”,这些清单源有时看起来像配置文件,并且作为命令行选项传入,但仍然被认为是“直接赋值”。 当使用内联源 -i host1, host2, host3 时,比使用文件源 -i /path/to/inventory_source 更清晰一些,但它们都具有相同的优先级。