Ansible 2.7 移植指南
本节讨论 Ansible 2.6 和 Ansible 2.7 之间的行为变化。
旨在帮助您更新剧本、插件以及 Ansible 基础架构的其他部分,以便它们与 Ansible 的此版本一起使用。
建议您阅读此页面以及 Ansible 2.7 的变更日志,以了解您可能需要进行哪些更新。
本文件是移植系列的一部分。可以在 移植指南 中找到完整移植指南列表。
命令行
如果在命令行上多次指定 --tags 或 --skip-tags,Ansible 将合并指定的标签。在以前版本的 Ansible 中,如果要保留最后指定的 --tags,可以将 merge_multiple_cli_tags 设置为 False。此配置选项是为了向后兼容。覆盖行为在 2.3 中已弃用,默认行为在 2.4 中已更改。Ansible-2.7 删除了配置选项;现在始终合并多个 --tags。
如果您的 shell 脚本依赖于将 merge_multiple_cli_tags 设置为 False,请升级您的脚本,使其在升级到 Ansible-2.7 之前只添加实际需要的 --tags。
Python 兼容性
Ansible 已不再支持控制器上的 Python-2.6(运行 /usr/bin/ansible 或 /usr/bin/ansible-playbook 的主机)。与 Ansible 一起提供的模块仍然可以用于管理只有 Python-2.6 的主机。您只需要一台具有 Python-2.7 或 Python-3.5 或更高版本的计算机才能从这些主机进行管理。
这会影响使用 /usr/bin/ansible-pull 管理具有 Python-2.6 的主机。 ansible-pull 在被管理的主机上运行,但它是一个控制器脚本,而不是模块,因此它将需要更新的 Python。积极开发的 Linux 发行版,这些发行版附带 Python-2.6,具有一些安装更新版本的 Python 的方法(例如,您可以在 RHEL-6 上通过 SCL 安装 Python-2.7),但您可能还需要为许多常用模块安装 Python 绑定才能正常工作(例如,对于 RHEL-6,selinux 绑定和 yum 将必须为更新的 Python 安装进行安装)。
在控制器上放弃对 Python-2.6 支持的决定是基于许多依赖库在那里变得不可用。特别是,python-cryptography 不再支持 Python-2.6,而 pycrypto(python-cryptography 的替代品)的最后一个版本存在已知的安全漏洞,这些漏洞将永远不会被修复。
剧本
角色加载期间的角色优先级修复
Ansible 2.7 对加载角色时的变量优先级进行了微小的更改,修复了一个错误,确保角色加载与 变量优先级预期 相匹配。
在 Ansible 2.7 之前,加载角色时,角色的 vars/main.yml 和 defaults/main.yml 中定义的变量在解析角色的 tasks/main.yml 文件时不可用。这阻止了角色在被解析时利用这些变量。当 import_tasks 或 import_role 与在角色的 vars 或 defaults 中定义的变量一起使用时,问题就会出现。
在 Ansible 2.7 中,角色 vars 和 defaults 现在在 tasks/main.yml 之前解析。如果在剧集级别和角色级别使用相同的变量定义了不同的值,并且在 import_tasks 或 import_role 中使用它来定义要导入的角色或文件,这会导致行为发生变化。
include_role 和 import_role 变量暴露
在 Ansible 2.7 中,在 include_role 模块中添加了一个名为 public 的新模块参数,它指示是否将角色的 defaults 和 vars 暴露在角色之外,从而允许在后续任务中使用这些变量。此值的默认值为 public: False,与当前行为匹配。
import_role 不支持 public 参数,并将无条件地将角色的 defaults 和 vars 暴露给剧本的其余部分。此功能使 import_role 更加接近在剧本中 roles 标头内列出的角色。
在使用 include_role(动态)暴露角色变量的方式上,与 import_role(静态)存在着重要区别。 import_role 是一个预处理器,其 defaults 和 vars 在剧本解析时进行评估,使得这些变量对剧本中任何位置的任务和角色都可用。 include_role 是一个条件任务,其 defaults 和 vars 在执行时进行评估,使得这些变量对 include_role 任务之后列出的任务和角色可用。
include_tasks/import_tasks 行内变量
从 Ansible 2.7 开始,include_tasks 和 import_tasks 无法再接受行内变量。 任务应该在 vars 关键字下提供变量,而不是使用行内变量。
旧版 在 Ansible 2.6(及更早版本)中,以下语法用于指定变量
- include_tasks: include_me.yml variable=value
新版 在 Ansible 2.7 中,任务应该更改为使用 vars 关键字
- include_tasks: include_me.yml
vars:
variable: value
使用未知算法的 vars_prompt
如果在 encrypt 中指定的散列算法不受控制器支持,vars_prompt 现在会抛出错误。 这提高了 vars_prompt 的安全性,因为之前如果算法未知,它会返回 None。 一些模块(特别是 user 模块)将 None 的密码视为不设置密码的请求。 如果您的剧本因此开始出错,请更改正在使用的散列算法。
弃用
加速弃用:在 AnsibleModule 中使用 __file__
注意
在 Ansible 2.7 中,使用 __file__ 变量已被弃用,并且将在 Ansible 2.8 中被移除。 这比我们通常的 4 个版本弃用周期快得多。
我们正在弃用使用 __file__ 变量来引用包含当前正在运行代码的文件。 这种在 Python 中常见的查找文件系统路径的技术并不总是有效(即使是在普通 Python 中)。 有时,Python 模块可以从虚拟位置(例如,在 zip 文件内部)导入。 发生这种情况时,__file__ 变量将引用指向 zip 文件内部的虚拟位置。 这可能会导致问题,例如,代码试图使用 __file__ 查找包含 Python 模块的目录以写入一些临时信息。
在 Ansible 2.1 中引入 AnsiBallZ 之前,在 AnsibleModule 中使用 __file__ 有时有效,但任何使用它的模块在启用管道时都会失败(因为模块会被管道传输到 Python 解释器的标准输入,所以 __file__ 不包含文件路径)。 AnsiBallZ 无意中让使用 __file__ 变得有效,因为它始终为 AnsibleModule 创建一个临时文件。
Ansible 2.8 将不再为 AnsibleModule 创建临时文件;而是从 zip 文件中读取该文件。 此更改应该可以加快模块执行速度,但这意味着从 Ansible 2.8 开始,引用 __file__ 将在 AnsibleModule 中始终失败。
如果您是使用 __file__ 和 AnsibleModule 的第三方模块的作者,请立即更新您的模块,此时使用 __file__ 已被弃用,但仍然可用。 __file__ 的最常见用法是查找要写入临时文件的目录。 在 Ansible 2.5 及更高版本中,您可以使用 AnsibleModule 实例上的 tmpdir 属性,如 apt 模块 中的此代码所示
- tempdir = os.path.dirname(__file__)
- package = os.path.join(tempdir, to_native(deb.rsplit('/', 1)[1]))
+ package = os.path.join(module.tmpdir, to_native(deb.rsplit('/', 1)[1]))
通过 squash_actions 在包模块上使用循环
使用 squash_actions 调用包模块(如“yum”)以仅调用模块一次已被弃用,并将从 Ansible 2.11 中移除。
任务应该直接将列表提供给模块的 name、pkg 或 package 参数,而不是依赖于隐式压缩。 自 Ansible 2.3 以来,大多数模块都支持此功能。
旧版 在 Ansible 2.6(及更早版本)中,以下任务将仅调用“yum”模块 1 次以安装多个包
- name: Install packages
yum:
name: "{{ item }}"
state: present
with_items: "{{ packages }}"
新版 在 Ansible 2.7 中,它应该更改为如下所示
- name: Install packages
yum:
name: "{{ packages }}"
state: present
模块
这里详细介绍了流行模块中的主要更改
DEFAULT_SYSLOG_FACILITY 配置选项告诉 Ansible 模块在所有受管机器上记录信息时使用特定的 syslog facility。 由于旧版 Ansible 版本存在错误,此设置不影响使用安装了 systemd Python 绑定的 journald 的机器。 在这些机器上,即使您设置了 DEFAULT_SYSLOG_FACILITY,Ansible 日志消息也会发送到
/var/log/messages。 Ansible 2.7 修复了此错误,根据为 DEFAULT_SYSLOG_FACILITY 设置的值路由所有 Ansible 日志消息。 如果您已配置 DEFAULT_SYSLOG_FACILITY,则使用 journald 的系统上远程日志的位置可能会更改。
已移除的模块
以下模块不再存在
弃用通知
以下模块将在 Ansible 2.11 中移除。 请相应地更新您的剧本。
na_cdot_aggregate请改用 na_ontap_aggregate。na_cdot_license请改用 na_ontap_license。na_cdot_lun请改用 na_ontap_lun。na_cdot_qtree请改用 na_ontap_qtree。na_cdot_svm请改用 na_ontap_svm。na_cdot_user请改用 na_ontap_user。na_cdot_user_role请改用 na_ontap_user_role。na_cdot_volume请改用 na_ontap_volume。sf_account_manager请改用 na_elementsw_account。sf_check_connections请改用 na_elementsw_check_connections。sf_snapshot_schedule_manager请改用 na_elementsw_snapshot_schedule。sf_volume_access_group_manager请改用 na_elementsw_access_group。sf_volume_manager请改用 na_elementsw_volume。
值得注意的模块更改
现在
command和shell模块支持检查模式。 但是,仅当指定了creates或removes时。 如果指定了这两个选项,模块将检查文件是否存在并报告正确的更改状态,如果没有包括它们,模块将像以前一样跳过。win_chocolatey模块最初要求proxy_username和proxy_password转义值中的任何双引号。 这不再需要,转义可能会导致更多问题。win_uri模块已删除已弃用的选项use_basic_parsing,因为自 Ansible 2.5 以来,此选项不再有任何作用模块
win_scheduled_task已移除以下弃用选项executable,请改为在 actions 条目中使用pathargument,请改为在 actions 条目中使用argumentsstore_password,请改为设置logon_type: passworddays_of_week,请改为在 triggers 条目中使用monthlydowfrequency,请改为在 triggers 条目中使用typetime,请改为在 triggers 条目中使用start_boundary
模块选项
interface_name已从na_ontap_net_vlan中移除,应从您的剧本中删除该选项模块
win_disk_image已弃用返回值mount_path,请改为使用mount_paths[0]。此更改将在 Ansible 2.11 中移除。include_role和include_tasks现在可以直接在ansible(临时)和ansible-console中使用#> ansible -m include_role -a 'name=myrole' all模块
pip已添加对setuptools的依赖,以支持版本要求,此依赖用于执行模块的 Python 解释器,而不是模块管理的 Python 解释器。在 Ansible 2.7.10 之前,模块
replace在同时使用选项before和after时,执行的操作与预期相反。现在已修复此问题,但可能需要更改任务。
插件
如果指定的哈希算法不受控制器支持,则 hash_password 过滤器现在会抛出错误。这提高了过滤器的安全性,因为它以前会在算法未知的情况下返回 None。某些模块(尤其是 user 模块)将 None 密码视为不设置密码的请求。如果您的剧本由于此问题而开始报错,请更改用于此过滤器的哈希算法。
移植自定义脚本
无重大变化。
网络
无重大变化。