Ansible 采用无代理架构,控制节点通过 SSH 协议将模块推送至受管节点执行,无需在被管理端安装额外软件。
先说结论:Ansible 基于 SSH 实现主从式管理,核心在于模块推送与临时执行机制,适合追求部署简单且无需守护进程的场景。
- 适合:希望减少受管节点维护成本、依赖现有 SSH 环境的自动化运维
- 先看:控制节点与受管节点的连接方式及 Python 环境依赖
- 建议:理解临时文件推送流程,避免误删关键目录或忽略防火墙策略
核心架构交互流程
Ansible 的工作流程并非简单的命令下发,而是包含完整的文件生命周期管理。当执行任务时,控制节点按以下顺序操作:
- 建立连接:通过 SSH 连接受管节点(默认端口 22)。
- 推送模块:将 Python 模块脚本上传至受管节点的临时目录(默认 ~/.ansible/tmp/)。
- 执行任务:在受管节点解释执行该脚本,捕获标准输出与返回码。
- 清理现场:任务完成后,自动删除受管节点上的临时脚本文件。
这种机制确保了受管节点无需常驻进程,但依赖 SSH 连通性与 Python 解释器。
现代版本环境依赖
随着 Ansible 版本迭代,环境要求有所变化,需特别注意 Python 版本兼容性:
- 控制节点:Ansible 2.12 及以上版本完全移除对 Python 2 的支持,建议运行环境为 Python 3.8+。
- 受管节点:需预装 Python 3.6+(具体取决于 Ansible 版本),仅需解释器无需安装 Ansible 包。
- 连接方式:主要支持 local、ssh 等连接插件,默认使用 SSH,不再支持 zeromq 等过时插件。
命令与验证
通过以下命令可快速验证架构连通性与模块推送机制:
# 测试受管节点连通性(基于 SSH)
ansible all -m ping# 查看模块执行后的临时路径(需在受管节点观察)
# 默认通常在 ~/.ansible/tmp/ 下生成临时脚本# 查看当前可用模块列表
ansible-doc -l深度验证:查看架构交互过程
使用 `-vvv` 参数可以详细查看 Ansible 与受管节点的交互细节,确认模块推送与执行流程:
ansible all -m ping -vvv在输出中关注以下关键字:
EXEC:表示正在执行远程命令。PUT:表示正在上传临时模块文件。RM:表示任务完成后清理临时文件。
配置临时目录路径
若受管节点限制默认临时目录写入,可通过 ansible.cfg 自定义路径:
[defaults]
# 指定受管节点上的临时目录路径
remote_tmp = /tmp/ansible-${USER}/.ansible/tmp常见坑
1. SSH 密钥权限:控制节点 SSH 私钥权限若过于开放,可能导致连接被拒绝,需确保权限设置为 600。
2. 受管节点 Python 缺失:部分最小化安装的系统可能未预装 Python,导致模块推送后无法运行。
3. 防火墙拦截:若受管节点防火墙未放行 SSH 端口,控制节点无法建立连接,架构流程会在第一步中断。
4. 临时目录权限:Ansible 依赖临时目录执行脚本,若受管节点限制特定目录写入,需修改配置指定临时路径。
参考来源
- Ansible Official Documentation
- Ansible Installation & Usage
原文链接:https://www.zjcp.cc/ask/11122.html