Ponemos la contraseña de sudo en el fichero de hosts:
/etc/ansible/hosts
[jose] 172.17.0.1 ansible_connection=ssh ansible_ssh_user=jose ansible_ssh_pass=**** ansible_sudo_pass=****
Ejecutamos el siguiente playbook:
- name: Ejecutar comando con otro usuario hosts: jose tasks: - name: Ejecutar sudo ls /root shell: ls /root become: true become_user: root ignore_errors: yes register: uname_result # En una misma línea - debug: msg="{{ uname_result.stdout }}" # En lineas separadas - debug: msg="{{ uname_result.stdout_lines }}"
Ejecutamos:
ansible-playbook sudo.yml
Por defecto la variable del bucle es item
tasks: - name: list variables debug: msg="reading from {{item.soft}} and {{item.directori}}" with_items: - { soft: 'apache.zip', directori: '/opt/pogramas/webserver' } - { soft: 'java7.zip', directori: '/opt/pogramas/java' }
Cambiando la variable del bucle
tasks: - name: list variables debug: msg="reading from {{mi_variable.soft}} and {{mi_variable.directori}}" with_items: - { soft: 'apache.zip', directori: '/opt/pogramas/webserver' } - { soft: 'java7.zip', directori: '/opt/pogramas/java' } loop_control: loop_var: mi_variable
Dentro de vars/<fichero>.yml El nombre del fichero da igual, pero mejor poner algo representativo
--- vars: hosts: server1: variable_comun: valor1 server2: variable_comun: valor2
Este es el orden, de mayor precedencia a menor precedencia, de las variables:
1. extra vars
--extra-vars "myvar=extra-vars"
2. playbook
install-mysql.yml
3. role
role/mysql/vars/main.yml
4. groups
group_vars/database.yml
5. role defaults
role/mysql/defaults/main.yml
TODO: poner un ejemplo complejo para que se vean las buenas prácticas de hacer roles reusables
1. Crear un archivo con las variables, y llamarlo “vars.yml” con el siguiente contenido:
var1 = "pepe"
2. Copiar el archivo y llamarlo “vault.yml”:
cp vars.yml vault.yml
3. Editar “vault.yml” y añadir (es pura convención) “vault_” delante de cada variable:
vault_var1 = "pepe"
4. Cifrar “vault.yml”, le añadiremos la etiqueta (es pura convención) “prod”:
ansible-vault encrypt vault.yml --vault-id prod@prompt
5. Teclear dos veces la contraseña (y anotarla en algún lugar)
6. Editar “vars.yml” para que cada variable apunte a su correspondiente “vault_”:
vim vault.yml
Y dejarlo tal que así:
var1 = "{{ vault_var1 }}"
7. Incluir los archivos “vars.yml” y “vault.yml”. En este ejemplo lo hacemos en las tasks:
- name: Include vars.yml include_vars: vars.yml - name: Include vault.yml include_vars: vault.yml
En este ejemplo:
* Ciframos un archivo entero * El módulo de ansible se encarga de descrifrarlo, descomprimirlo y dejarlo en destino
Tenemos el siguiente diseño de archivos:
. ├── hosts ├── roles │ ├── example │ │ ├── files │ │ │ └── files.tar.bz2 │ │ ├── tasks │ │ │ ├── main.yml
1. Cifrar el archivo, en este caso “files.tar.bz2”
ansible-vault encrypt roles/example/files/files.tar.bz2 --vault-id prod@prompt
2. Escribir la contraseña
3. Añadir una tarea:
- name: Uncompress the wordrepss files in docker host volume unarchive: src: files.tar.bz2 dest: /tmp become: true
Nótese que dado que usamos roles no hay que especificar el path absoluto de “files.tar.bz2”.
4. Ejecutar el playbook.
El resultado esperado es que descifrará “files.tar.bz2” y lo dejará en “/tmp” en el servidor remoto
* Editar archivo encriptado
ansible-vault edit vault.yml --ask-vault-pass
* Editar y proporcionar archivo (con la contraseña en plano) para no tener que teclearla cada vez
ansible-vault edit vault.yml --vault-id prod@examples/password
* Editar y proporcionar archivo (con la contraseña en plano) para no tener que teclearla cada vez
ansible-vault view vault.yml --vault-id prod@examples/password