Ansible常见模块总结及LDAP Role 编写与调试

一、Ansible 常见模块使用总结1. command 模块Ansible 的默认模块用于在远程主机上执行简单的 Linux 命令。特点不通过 shell 解析直接执行命令不支持管道符|、重定向、、变量$HOME、分号;、与符号等特殊符号安全性较高可防止命令注入不具备幂等性常用参数参数说明chdir执行命令前先切换到指定目录creates如果指定文件存在则不执行命令removes如果指定文件不存在则不执行命令free_form要执行的命令本身使用示例bash代码解读复制代码# 查看主机名 ansible all -m command -a hostname ​ # 创建目录简单命令优先使用command ansible node2 -m command -a mkdir -p /tmp/mydir[reference:13] ​ # 先切换目录再执行 ansible all -m command -a chdir/tmp ls -l ​ # 如果文件已存在则跳过 ansible all -m command -a creates/etc/my.conf touch /etc/my.conf2. shell 模块command 模块的“升级版”通过远程主机的/bin/sh来执行命令。特点使用完整的 shell 解析支持管道、重定向、环境变量等存在命令注入风险需要严格验证输入不具备幂等性可通过executable参数指定其他 shell 解释器使用示例bash代码解读复制代码# 使用管道统计command无法实现 ansible node2 -m shell -a grep error /var/log/dmesg | wc -l[reference:22] ​ # 使用环境变量 ansible web -m shell -a cd $HOME; pwd[reference:23] ​ # 使用重定向 ansible web -m shell -a echo hello /tmp/test.txt ​ # 指定解释器 ansible all -m shell -a executable/bin/bash echo $HOMEPlaybook 中使用lyaml代码解读复制代码- name: 统计日志错误行数 hosts: node2 tasks: - name: 使用shell模块统计 shell: grep error /var/log/messages | wc -l register: error_count - name: 打印结果 debug: msg: 错误行数为{{ error_count.stdout }}[reference:24]3. 其他常用模块模块功能示例ping测试主机连通性ansible webservers -m pingcopy从主控端拷贝文件到远程主机ansible webservers -m copy -a src/root/tcp dest/tmp/ mode600file管理文件/目录属性权限、所有者等ansible all -m file -a path/tmp/test statedirectory mode755template使用 Jinja2 模板生成配置文件ansible all -m template -a srcnginx.conf.j2 dest/etc/nginx/nginx.conffetch从远程主机拉取文件到本地ansible all -m fetch -a src/var/log/syslog dest/backup/script在远程主机执行本地脚本ansible all -m script -a /server/scripts/test.shhostname修改远程主机的主机名ansible 目标ip -m hostname -a namemy.cluster.comyum/apt包管理具备幂等性ansible all -m yum -a namehttpd statepresentservice管理系统服务ansible all -m service -a namehttpd statestarted enabledyes4. command vs shell 选择建议场景推荐模块原因简单命令ls、mkdir、hostnamecommand更安全防止注入需要使用管道、重定向shellcommand 不支持需要使用环境变量shellcommand 不支持$HOME等命令中包含 、、、;、shellcommand 不支持不确定时shell兼容性更广但需注意安全注意shell 和 command 模块都不具备幂等性。如需要实现幂等可结合creates和removes参数进行判断。二、LDAP Role 编写与调试以下是一个完整的OpenLDAP 服务端部署 Role示例包含安装、配置、初始化等完整流程。1. Role 目录结构bash代码解读复制代码roles/openldap/ ├── tasks/ │ ├── main.yml # 主任务入口 │ ├── install.yml # 安装任务 │ ├── configure.yml # 配置任务 │ └── init.yml # 初始化任务 ├── handlers/ │ └── main.yml # 重启等服务处理器 ├── templates/ │ ├── slapd.conf.j2 # OpenLDAP 主配置文件模板 │ └── ldap.conf.j2 # 客户端配置文件模板 ├── vars/ │ └── main.yml # 变量定义可覆盖 └── defaults/ └── main.yml # 默认变量2. 默认变量 (defaults/main.yml)yaml代码解读复制代码--- # OpenLDAP 服务端默认配置 ​ # LDAP 基础配置 ldap_domain: example.com ldap_organization: Example Inc. ldap_admin_password: admin123 # 生产环境建议使用 vault 加密 ​ # 根据域名自动生成 suffix 和 dc ldap_suffix: dc{{ ldap_domain.split(.) | join(,dc) }} ldap_rootdn: cnadmin,{{ ldap_suffix }} ​ # 端口配置 ldap_port: 389 ldaps_port: 636 ​ # 安装包名称不同OS不同 openldap_packages: - openldap - openldap-servers - openldap-clients - openldap-devel ​ # 配置文件路径 slapd_config_path: /etc/openldap/slapd.conf ldap_config_path: /etc/openldap/ldap.conf3. 主任务入口 (tasks/main.yml)yaml代码解读复制代码--- # 主任务文件按顺序执行各阶段任务 ​ - name: 导入安装任务 import_tasks: install.yml tags: [ldap, install] ​ - name: 导入配置任务 import_tasks: configure.yml tags: [ldap, configure] ​ - name: 导入初始化任务 import_tasks: init.yml tags: [ldap, init]4. 安装任务 (tasks/install.yml)yaml代码解读复制代码--- # 安装 OpenLDAP 服务端及相关软件包 ​ - name: 安装 OpenLDAP 软件包 package: name: {{ openldap_packages }} state: present become: yes # package 模块会根据系统自动选择 yum/apt 等包管理器 # 具备幂等性已安装则跳过 register: install_result tags: [ldap, install] ​ - name: 创建 LDAP 用户和组 group: name: ldap state: present system: yes become: yes ​ - name: 创建 LDAP 用户 user: name: ldap group: ldap system: yes shell: /sbin/nologin home: /var/lib/ldap become: yes # 确保 slapd 进程以专用用户运行提高安全性 ​ - name: 创建数据目录 file: path: /var/lib/ldap state: directory owner: ldap group: ldap mode: 0750 become: yes5. 配置任务 (tasks/configure.yml)yaml代码解读复制代码--- # 配置 OpenLDAP 服务端 ​ - name: 生成 slapd.conf 配置文件 template: src: slapd.conf.j2 dest: {{ slapd_config_path }} owner: root group: ldap mode: 0640 become: yes # 使用模板动态生成配置支持变量替换 # 配置文件变更时触发 handlers 重启服务 notify: restart slapd tags: [ldap, configure] ​ - name: 生成 ldap.conf 客户端配置文件 template: src: ldap.conf.j2 dest: {{ ldap_config_path }} owner: root group: root mode: 0644 become: yes tags: [ldap, configure] ​ - name: 创建日志目录 file: path: /var/log/openldap state: directory owner: ldap group: ldap mode: 0750 become: yes tags: [ldap, configure] ​ - name: 启动并启用 slapd 服务 service: name: slapd state: started enabled: yes become: yes # 确保服务开机自启 tags: [ldap, configure]6. 初始化任务 (tasks/init.yml)yaml代码解读复制代码--- # 初始化 LDAP 数据库和基础条目 - name: 检查 LDAP 是否已初始化 command: ldapsearch -x -b {{ ldap_suffix }} -LLL register: ldap_check failed_when: false changed_when: false # 通过查询判断是否已存在数据避免重复初始化 - name: 创建基础 LDIF 文件 template: src: base.ldif.j2 dest: /tmp/base.ldif mode: 0644 become: yes when: ldap_check.rc ! 0 # 仅在未初始化时执行 - name: 导入基础 LDIF 数据 command: ldapadd -x -D {{ ldap_rootdn }} -w {{ ldap_admin_password }} -f /tmp/base.ldif become: yes when: ldap_check.rc ! 0 # 使用 ldapadd 命令导入基础组织架构数据 # 注意command 模块不支持管道此处无需管道使用安全 - name: 清理临时文件 file: path: /tmp/base.ldif state: absent become: yes7. Handlers (handlers/main.yml)yaml代码解读复制代码--- # 服务处理器在配置文件变更时触发 - name: restart slapd service: name: slapd state: restarted become: yes # 当 slapd.conf 发生变化时重启服务使配置生效 - name: reload slapd service: name: slapd state: reloaded become: yes # 部分配置变更可通过 reload 实现不中断服务8. 配置模板 (templates/slapd.conf.j2)bash代码解读复制代码# {{ ansible_managed }} # OpenLDAP 服务端配置文件 # 基础配置 include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema # 数据库配置 database bdb suffix {{ ldap_suffix }} rootdn {{ ldap_rootdn }} rootpw {{ ldap_admin_password | password_hash(ssha) }} # 使用 password_hash 过滤器对密码进行 SSHA 加密 # 数据目录 directory /var/lib/ldap # 索引配置 index objectClass eq index uid eq,pres index cn eq,pres,sub index sn eq,pres,sub index mail eq,pres,sub # 访问控制 access to attrsuserPassword by self write by anonymous auth by * none access to * by * read by dncnadmin,{{ ldap_suffix }} write # 日志配置 loglevel 2569. 调试与验证调试方法yaml代码解读复制代码# 1. 语法检查playbook 级别 ansible-playbook site.yml --syntax-check # 2. 只运行特定标签的任务 ansible-playbook site.yml --tags ldap -v # 3. 检查模式dry-run不实际执行 ansible-playbook site.yml --check # 4. 逐步调试step 模式 ansible-playbook site.yml --step # 5. 使用 debug 模块打印变量 - name: 调试 LDAP 配置变量 debug: msg: suffix: {{ ldap_suffix }}, rootdn: {{ ldap_rootdn }} # 6. 验证 LDAP 服务是否正常 ldapsearch -x -b {{ ldap_suffix }} -LLL # 7. 使用 LDAP 调试插件如使用 microsoft.ad 集合 # microsoft.ad.debug_ldap_client 可检查 LDAP Python 包安装情况[reference:36]10. 使用 Role 的 Playbook 示例yaml代码解读复制代码--- # site.yml - 部署 OpenLDAP 服务 - name: 部署 OpenLDAP 服务端 hosts: ldap_servers become: yes vars: ldap_domain: mycompany.com ldap_organization: My Company Ltd. ldap_admin_password: {{ vault_ldap_password }} # 从 vault 读取 roles: - role: openldap tags: [ldap, openldap] post_tasks: - name: 验证 LDAP 服务状态 command: systemctl status slapd register: service_status changed_when: false - name: 打印服务状态 debug: msg: SLAPD 服务状态: {{ service_status.stdout_lines[0] }}关键代码注释总结代码位置关键点说明defaults/main.yml变量分层设计默认值与系统变量分离便于覆盖tasks/install.ymlpackage模块跨平台包管理自动适配 yum/apttasks/configure.ymltemplatenotify模板渲染配置变更时触发 handler 重启tasks/init.ymlcommandregisterwhen通过查询结果判断是否执行初始化实现幂等handlers/main.ymlhandler 分离仅在变更时触发避免不必要的服务重启templates/slapd.conf.j2password_hash过滤器对敏感密码进行 SSHA 加密存储调试部分--check/--step/debug多种调试手段确保 Role 正确性三、面试高频考察模块一核心模块辨析必问面试官经典三板斧“command 和 shell 的区别什么时候用哪个”对比维度command默认模块shell需显式调用执行环境直接 fork 执行不加载系统环境变量通过远程主机的/bin/sh执行加载用户环境是否支持特殊符号不支持管道、重定向、;、、$HOME全支持安全性高命令注入风险低参数被转义低拼接字符串极易产生注入漏洞幂等性不具备除非结合creates/removes不具备除非结合creates/removes面试推荐回答“能用 command 坚决不用 shell”。在实现chdir、creates等场景时优先选择 command仅在必须使用管道、重定向或环境变量时降级为 shell。模块二幂等性与状态模块高级工程师的试金石面试官常问“Ansible 如何保证反复执行不报错”核心原理Ansible 的多数模块如copy、file、yum、service本身具备幂等性即只有资源状态与预期不符时才会执行变更changed状态。针对 Command/Shell 的处理 由于这两个模块本身不幂等必须通过参数人工干预creates若指定文件已存在则跳过执行。removes若指定文件不存在则跳过执行。LDAP Role 中的高级实践关键代码注释yaml代码解读复制代码# 通过 register 注册执行结果再配合 when 条件判断实现幂等 - name: 检查 LDAP 是否已初始化 command: ldapsearch -x -b {{ ldap_suffix }} -LLL register: ldap_check failed_when: false # 即使查询不到返回非0也不中断Playbook changed_when: false # 此步骤仅用于探测不标记为变更 - name: 导入初始化数据 command: ldapadd -x -D {{ ldap_rootdn }} -w {{ ldap_admin_password }} -f /tmp/base.ldif when: ldap_check.rc ! 0 # 只有当上一步检测到数据不存在时才执行导入模块三变量优先级与 Jinja2 过滤器必考送分题面试官常问“defaults 和 vars 里的同名变量谁生效”优先级顺序从低到高role defaults最低 →inventory variables→playbook vars→extra vars最高命令行-e指定。LDAP Role 中的安全过滤器面试加分项 在模板slapd.conf.j2中使用password_hash过滤器对明文密码加密存储避免配置文件泄露风险。scss代码解读复制代码rootpw {{ ldap_admin_password | password_hash(ssha) }}面试话术“生产环境绝不存明文密码我会结合ansible-vault加密变量文件再配合password_hash过滤器写入配置。”模块四Handlers 与 notify 的触发机制踩坑预警面试官高频追问“如果 handler 被多次触发它会执行几次”正确答案只执行一次。Ansible 会在 Playbook 所有 Task 执行完毕后统一触发 Handlers且去重后只执行一次。注意陷阱如果某个 Task 使用了listen监听通用频道或 handler 名称重复只会合并执行一次。Role 中的标准写法yaml代码解读复制代码# tasks/configure.yml - name: 生成 slapd.conf template: srcslapd.conf.j2 dest/etc/openldap/slapd.conf notify: restart slapd # 配置改变时通知 # handlers/main.yml - name: restart slapd service: nameslapd staterestarted模块五调试与故障排查实战体现经验值面试场景“客户环境 Playbook 报错了你怎么快速定位”调试级别命令/参数用途语法检查ansible-playbook site.yml --syntax-check最先执行检查 YAML 缩进和语法错误干跑模式ansible-playbook site.yml --check模拟执行展示会发生什么变更需模块支持分步执行ansible-playbook site.yml --step每执行一个 Task 前都需人工确认适合排查复杂逻辑变量调试在 Playbook 中插入debug模块打印{{ ldap_suffix }}等中间变量值SSH 连接排错ansible -m ping -vvv三级 verbose 输出详细的 SSH 认证过程模块六Role 的企业级目录规范架构能力面试官问“你写的 Role 怎么保证团队协作和维护”优秀的 Role 结构必须职责分离对应之前 LDAP Role 的拆分逻辑bash代码解读复制代码roles/openldap/ ├── tasks/ │ ├── main.yml # 仅做 import 调度入口清晰 │ ├── install.yml # 只管 yum/apt 装包 │ ├── configure.yml # 只管 template 渲染 notify │ └── init.yml # 只管 ldapadd 初始化含幂等判断 ├── handlers/ # 仅存放重启/重载动作 ├── templates/ # 全部 .j2 后缀模板文件 ├── defaults/ # 最低优先级的默认变量适合给用户覆盖 └── vars/ # 高优先级固定变量适合操作系统差异映射核心思想将“安装”、“配置”、“初始化”解耦配合tags如--tags install实现分阶段独立部署。面试终极加分项针对 LDAP 场景如果面试官追问你写的 LDAP Role你可以抛出这个亮点“我在init.yml中没有使用shell模块去拼接ldapadd命令而是使用了command模块。因为该命令不涉及管道和重定向使用command不仅更安全还能避免 Shell 转义带来的特殊字符密码报错问题。 同时我利用ldapsearch的返回码rc作为幂等性判断依据确保 LDAP 基础数据只导入一次重复执行 Playbook 不会造成数据重复。”