控制 Ansible 行为:优先级规则
为了让您在管理环境方面拥有最大的灵活性,Ansible 提供了许多方法来控制 Ansible 的行为:它如何连接到受管节点,以及连接后如何工作。如果您使用 Ansible 管理大量服务器、网络设备和云资源,您可能需要在多个不同的地方定义 Ansible 行为,并通过多种不同的方式将这些信息传递给 Ansible。这种灵活性非常方便,但如果您不了解优先级规则,它可能会适得其反。
这些优先级规则适用于可以通过多种方式定义的任何设置(通过配置设置、命令行选项、playbook 关键字、变量)。
优先级类别
Ansible 提供了四个控制其行为的来源。按照从最低(最容易被覆盖)到最高(覆盖所有其他)的优先级顺序,这些类别是:
配置设置
命令行选项
Playbook 关键字
变量
直接赋值
每个类别都覆盖所有低优先级类别的任何信息。例如,playbook 关键字将覆盖任何配置设置。
在每个优先级类别中,都会应用特定的规则。但是,一般来说,“最后定义”将获胜并覆盖任何先前的定义。
配置设置
配置设置 包括来自 ansible.cfg 文件和环境变量的值。在此类别中,在配置文件中设置的值具有较低的优先级。Ansible 使用它找到的第一个 ansible.cfg 文件,忽略所有其他文件。Ansible 按以下顺序在这些位置搜索 ansible.cfg:
ANSIBLE_CONFIG(如果设置了环境变量)
ansible.cfg(在当前目录中)
~/.ansible.cfg(在主目录中)
/etc/ansible/ansible.cfg
环境变量的优先级高于 ansible.cfg 中的条目。如果您在控制节点上设置了环境变量,它们将覆盖 Ansible 加载的任何 ansible.cfg 文件中的设置。任何给定环境变量的值遵循正常的 shell 优先级:最后定义的值将覆盖先前的值。
命令行选项
任何命令行选项都将覆盖任何配置设置。
当您在命令行中直接键入内容时,您可能会觉得您手工制作的值应该覆盖所有其他值,但 Ansible 的工作方式并非如此。命令行选项的优先级较低 - 它们仅覆盖配置。它们不会覆盖 playbook 关键字、来自清单的变量或来自 playbook 的变量。
您可以通过 在命令行使用 -e 附加变量 覆盖所有其他来源中的所有其他设置,但这并不是命令行选项,而是一种传递 变量 的方法。
在命令行中,如果您为仅接受单个值的参数传递多个值,则最后定义的值将获胜。例如,此 临时任务 将以 carol 身份连接,而不是以 mike 身份连接。
ansible -u mike -m ping myhost -u carol
某些参数允许使用多个值。在这种情况下,Ansible 将追加清单文件 inventory1 和 inventory2 中列出的所有主机的所有值。
ansible -i /path/inventory1 -i /path/inventory2 -m ping all
每个 命令行工具 的帮助信息列出了该工具的可用选项。
Playbook 关键字
任何 playbook 关键字 都将覆盖任何命令行选项和任何配置设置。
在 playbook 关键字中,优先级与 playbook 本身一起流动;越具体的优先级高于越通用的。
play(最通用)
块/包含/导入/角色(可选,并且可以包含任务和彼此)
任务(最具体)
一个简单的示例
- hosts: all
connection: ssh
tasks:
- name: This task uses ssh.
ping:
- name: This task uses paramiko.
connection: paramiko
ping:
在此示例中,connection 关键字在 play 级别设置为 ssh。第一个任务继承该值,并使用 ssh 连接。第二个任务继承该值,覆盖它,并使用 paramiko 连接。相同的逻辑也适用于块和角色。play 中的所有任务、块和角色都继承 play 级别的关键字;任何任务、块或角色都可以通过在任务、块或角色中定义该关键字的不同值来覆盖任何关键字。
请记住,这些是关键字,而不是变量。playbook 和变量文件都以 YAML 定义,但它们具有不同的意义。Playbook 是 Ansible 的命令或“状态描述”结构,变量是我们用来使 playbook 更具动态性的数据。
变量
Ansible 变量在优先级堆栈中非常高。它们将覆盖任何 playbook 关键字、任何命令行选项、环境变量和任何配置文件设置。
具有等效 playbook 关键字、命令行选项和配置设置的变量称为 连接变量。最初设计用于连接参数,此类别已扩展到包括其他核心变量,如临时目录和 python 解释器。
连接变量,像所有变量一样,可以在多个方式和位置设置。您可以在 清单 中为主机和组定义变量。您可以在 playbook 中的 vars: 块中为任务和 play 定义变量。但是,它们仍然是变量 - 它们是数据,而不是关键字或配置设置。覆盖 playbook 关键字、命令行选项和配置设置的变量遵循与任何其他变量相同的 变量优先级 规则。
在 playbook 中设置时,变量遵循与 playbook 关键字相同的继承规则。您可以为 play 设置一个值,然后在任务、块或角色中覆盖它。
- hosts: cloud
gather_facts: false
become: true
vars:
ansible_become_user: admin
tasks:
- name: This task uses admin as the become user.
dnf:
name: some-service
state: latest
- block:
- name: This task uses service-admin as the become user.
# a task to configure the new service
- name: This task also uses service-admin as the become user, defined in the block.
# second task to configure the service
vars:
ansible_become_user: service-admin
- name: This task (outside of the block) uses admin as the become user again.
service:
name: some-service
state: restarted
变量作用域:值可用多长时间?
在 playbook 中设置的变量值仅存在于定义它们的 playbook 对象内。这些“playbook 对象作用域”变量对后续对象不可用,包括其他 play。
直接与主机或组关联的变量值,包括在清单中、通过 vars 插件或使用 set_fact 和 include_vars 等模块定义的变量,对所有 play 都可用。这些“主机作用域”变量也可以通过 hostvars[] 字典获得。
通过 extra vars 设置的变量对当前运行具有全局作用域,并且将同时作为“playbook 对象变量”和“hostvars”存在。
在命令行使用 -e 附加变量
要覆盖所有其他变量,您可以使用附加变量:在命令行中使用 --extra-vars 或 -e。使用 -e 传递的值,虽然本身仍然是命令行选项,但在变量中具有最高的优先级,并且有点违反直觉,在大多数配置源中也具有更高的优先级,因为变量本身具有高优先级。例如,此任务将以 brian 身份连接,而不是以 carol 身份连接。
ansible -u carol -e 'ansible_user=brian' -a whoami all
您必须使用 --extra-vars 指定变量名和值。
直接赋值
此类别仅适用于接受直接选项的事物,通常是模块和某些插件类型。大多数模块和操作插件没有其他方法来分配设置,因此优先级在这种情况下很少出现,但某些模块和插件仍然可能这样做,并且应该反映在文档中。
- debug: msg='this is a direct assignment option to an action plugin'
- ping:
data: also a direct assignment
在任务操作之外,最容易识别的“直接赋值”是使用查找、过滤器和测试插件。
lookup('plugin', direct1='value', direct2='value2')
'value_directly_assigned'|filter('another directly assigned')
'direct value' is testplugin
尽管大多数这些插件不会以其他方式配置,特别是测试,但如果插件和过滤器在其文档中指定,则可以使用来自其他配置源的输入。
清单插件有点棘手,因为它们使用“清单源”,而这些源有时看起来像配置文件,并作为命令行选项传递,但它仍然被认为是“直接赋值”。当使用内联源 -i host1, host2, host3 时,比使用文件源 -i /path/to/inventory_source 时更清晰一些,但它们都具有相同的优先级。