控制 Ansible 的行为:优先级规则
为了让您在管理环境时拥有最大的灵活性,Ansible 提供了许多方法来控制 Ansible 的行为:它如何连接到受管理节点、它连接后如何工作。如果您使用 Ansible 管理大量服务器、网络设备和云资源,您可以在几个不同的地方定义 Ansible 行为,并通过几种不同的方式将该信息传递给 Ansible。这种灵活性很方便,但如果您不了解优先级规则,它可能会适得其反。
这些优先级规则适用于任何可以在多个地方定义的设置(通过配置设置、命令行选项、剧本关键字、变量)。
优先级类别
Ansible 提供了四个来源来控制其行为。按优先级从最低(最容易被覆盖)到最高(覆盖所有其他类别)排列,类别分别是
配置设置
命令行选项
剧本关键字
变量
直接分配
每个类别都会覆盖所有低优先级类别中的任何信息。例如,剧本关键字将覆盖任何配置设置。
在每个优先级类别中,都会应用特定的规则。但是,一般来说,‘最后定义’获胜并覆盖任何先前的定义。
配置设置
配置设置 包括来自 ansible.cfg 文件和环境变量的值。在此类别中,在配置文件中设置的值具有较低的优先级。Ansible 使用它找到的第一个 ansible.cfg 文件,忽略所有其他文件。Ansible 按以下位置顺序搜索 ansible.cfg
ANSIBLE_CONFIG(如果设置了环境变量)
ansible.cfg(在当前目录中)
~/.ansible.cfg(在主目录中)
/etc/ansible/ansible.cfg
环境变量比 ansible.cfg 中的条目具有更高的优先级。如果您在控制节点上设置了环境变量,它们将覆盖 Ansible 加载的任何 ansible.cfg 文件中的设置。任何给定环境变量的值遵循正常的 shell 优先级:最后定义的值覆盖先前值。
命令行选项
任何命令行选项都将覆盖任何配置设置。
当您在命令行中直接输入内容时,您可能会觉得您手工制作的值应该覆盖所有其他值,但 Ansible 的工作方式并非如此。命令行选项的优先级较低——它们只会覆盖配置。它们不会覆盖剧本关键字、来自清单的变量或来自剧本的变量。
您可以通过 在命令行使用 -e 附加变量 在命令行中覆盖来自所有其他来源的所有其他设置,但在所有其他优先级类别中,但这并不是一个命令行选项,而是一种传递 变量 的方法。
在命令行中,如果您为仅接受单个值的参数传递了多个值,则最后定义的值获胜。例如,此 临时任务 将以 carol 的身份连接,而不是 mike
ansible -u mike -m ping myhost -u carol
某些参数允许多个值。在这种情况下,Ansible 将追加来自清单文件 inventory1 和 inventory2 中列出的所有主机的所有值
ansible -i /path/inventory1 -i /path/inventory2 -m ping all
每个 命令行工具 的帮助信息都会列出该工具的可用选项。
剧本关键字
任何 剧本关键字 都将覆盖任何命令行选项和任何配置设置。
在剧本关键字中,优先级会随着剧本本身而变化;更具体的关键字会优先于更一般的关键字
play(最一般)
块/包含/导入/角色(可选,可以包含任务并相互包含)
任务(最具体)
一个简单的示例
- hosts: all
connection: ssh
tasks:
- name: This task uses ssh.
ping:
- name: This task uses paramiko.
connection: paramiko
ping:
在此示例中,connection 关键字在 play 级别被设置为 ssh。第一个任务继承该值,并使用 ssh 连接。第二个任务继承该值,覆盖它,并使用 paramiko 连接。相同的逻辑也适用于块和角色。play 中的所有任务、块和角色都会继承 play 级别的关键字;任何任务、块或角色都可以通过在任务、块或角色中定义该关键字的不同值来覆盖任何关键字。
请记住,这些是关键字,而不是变量。剧本和变量文件都在 YAML 中定义,但它们具有不同的意义。剧本是 Ansible 的命令或‘状态描述’结构,变量是我们用来使剧本更具动态性的数据。
变量
Ansible 变量在优先级堆栈中处于很高的位置。它们将覆盖任何剧本关键字、任何命令行选项、环境变量和任何配置文件设置。
具有等效剧本关键字、命令行选项和配置设置的变量称为 连接变量。最初设计用于连接参数,此类别已扩展到包含其他核心变量,例如临时目录和 Python 解释器。
连接变量与所有其他变量一样,可以在多个方式和位置设置。您可以在 清单 中为主机和组定义变量。您可以在 剧本 中的 vars: 块中为任务和 play 定义变量。但是,它们仍然是变量——它们是数据,而不是关键字或配置设置。覆盖剧本关键字、命令行选项和配置设置的变量遵循与所有其他变量相同的 变量优先级 规则。
在剧本中设置时,变量遵循与剧本关键字相同的继承规则。您可以在 play 中设置一个值,然后在任务、块或角色中覆盖它
- hosts: cloud
gather_facts: false
become: true
vars:
ansible_become_user: admin
tasks:
- name: This task uses admin as the become user.
dnf:
name: some-service
state: latest
- block:
- name: This task uses service-admin as the become user.
# a task to configure the new service
- name: This task also uses service-admin as the become user, defined in the block.
# second task to configure the service
vars:
ansible_become_user: service-admin
- name: This task (outside of the block) uses admin as the become user again.
service:
name: some-service
state: restarted
变量作用域:值有效期有多长?
在剧本中设置的变量值仅存在于定义它们的剧本对象内。这些‘剧本对象作用域’变量不适用于后续对象,包括其他 play。
与主机或组直接关联的变量值,包括在清单中定义的变量、由 vars 插件定义的变量,或使用 set_fact 和 include_vars 等模块定义的变量,对所有剧本可用。这些“主机范围”变量也可以通过 hostvars[] 字典访问。
通过 extra vars 设置的变量对当前运行具有全局作用域,将作为“剧本对象变量”和“主机变量”存在。
在命令行使用 -e 额外变量
要覆盖所有其他变量,可以使用额外变量:在命令行使用 --extra-vars 或 -e。使用 -e 传递的值,虽然本身仍然是一个命令行选项,但它在变量中具有最高的优先级,并且会违反直觉地成为大多数配置源中优先级最高的。例如,此任务将以 brian 连接,而不是 carol
ansible -u carol -e 'ansible_user=brian' -a whoami all
您必须使用 --extra-vars 指定变量名和值。
直接赋值
此类别仅适用于接受直接选项的事物,通常是模块和某些插件类型。大多数模块和操作插件没有其他方法来分配设置,因此优先级在这种情况下很少出现,但有些模块仍然可能这样做,应在文档中反映出来。
- debug: msg='this is a direct assignment option to an action plugin'
- ping:
data: also a direct assignment
在任务操作之外,最容易识别的“直接赋值”是使用查找、过滤器和测试插件。
lookup('plugin', direct1='value', direct2='value2')
'value_directly_assigned'|filter('another directly assigned')
'direct value' is testplugin
虽然大多数这些插件没有以其他方式配置,尤其是测试,但插件和过滤器可以根据其文档中指定的配置,从其他配置源获取输入。
清单插件有点棘手,因为它们使用“清单源”,这些源有时看起来像配置文件,并作为命令行选项传入,但它仍然被认为是“直接赋值”。在使用内联源 -i host1, host2, host3 而不是使用文件源 -i /path/to/inventory_source 时,这更加清晰,但它们的优先级相同。