一舍悯、前言

如《第1章Ansible發(fā)展史》介紹，作為關(guān)注度最高的集中化管理工具睡雇，Ansible同樣支持Windows系統(tǒng)萌衬，只是相對Linux發(fā)行版無論在配置還是管理方式都有較大差別，本章來為大家詳細介紹它抱。

二秕豫、Windows下Ansible工作原理

Ansible 從1.7+版本開始支持Windows，但前提是管理機必須為Linux系統(tǒng)观蓄，遠程主機的通信方式也由SSH變更為PowerShell混移，基于Kerberos認證方式，同時管理機必須預(yù)安裝Python的Winrm模塊侮穿，方可和遠程Windows主機正常通信歌径，但PowerShell需3.0+版本且Management Framework 3.0+版本，實測Windows 7 SP1和Windows Server 2008 R2及以上版本系統(tǒng)經(jīng)簡單配置可正常與Ansible通信亲茅。簡單總結(jié)如下：

• 管理機必須為Linux系統(tǒng)且需預(yù)安裝Python Winrm模塊
• 底層通信基于PowerShell回铛，認證基于Kerberos
• 遠程主機PowerShell版本為3.0+，Management Framework版本為3.0+克锣。

如上條件滿足后茵肃，方可正常和Ansible通信，下面章節(jié)我們逐步深入袭祟。

三验残、 Ansible管理機（linux）部署安裝

如上節(jié)介紹，基于Windows管理但管理機系統(tǒng)需為Linux系統(tǒng)巾乳，且需預(yù)先安裝Python 的Winrm模塊：

pip install "pywinrm>=0.1.1"

如遠程Windows主機是基于Active Directory（后文統(tǒng)一簡稱為AD）的管理方式胚膊，管理機和遠程主機基于Kerbero認證故俐，需額外安裝python-kerbero和MIT krb5依賴庫。

步驟1紊婉、 安裝python-kerberos依賴药版，命令如下：

Yum方式（Centos,RedHat,Fedora）

yum -y install python-devel krb5-devel krb5-libs krb5-workstation

Apt方式 (Ubuntu)

sudo apt-get install python-dev libkrb5-dev

Portage方式 (Gentoo)

emerge -av app-crypt/mit-krb5emerge -av dev-python/setuptools

pkg 方式(FreeBSD)

sudo pkg install security/krb5

OpenCSW方式 (Solaris)

pkgadd -d http://get.opencsw.org/now/opt/csw/bin/pkgutil -U/opt/csw/bin/pkgutil -y -i libkrb5_3

Pacman方式 (Arch Linux)

pacman -S krb5

步驟2 、安裝python-kerberos喻犁，OSX和Linux發(fā)行版均默認安裝槽片，安裝命令如下：

pip install Kerberos

步驟3、配置Kerberos肢础，配置/etc/krb5.conf还栓，添加如下內(nèi)容

[realms] MY.DOMAIN.COM = {  kdc = domain-controller1.my.domain.com  kdc = domain-controller2.my.domain.com }

之后于 [domain_realm] 后添加如下內(nèi)容：

[domain_realm]    .my.domain.com = MY.DOMAIN.COM

通過以下命令驗證域賬戶認證情況：

kinit user@MY.DOMAIN.COM

步驟4、同理配置Inventory主機信息和group_vars/windows.yml變量信息传轰，Inventory添加如下信息：

[windows]win1.magedu.comwin2.magedu.com

group_vars/windows.yml添加如下信息：

ansible_user: Administratoransible_password: magedu@beijingansible_port: 5986ansible_connection: winrmansible_winrm_server_cert_validation: ignore

若windows使用本地賬號連接剩盒，則可直接在/etc/ansible/hosts上配置（如下 ）：

xw-win ansible_user="Administrator" ansible_password="0" ansible_port="5986" ansible_connection="winrm" ansible_winrm_server_cert_validation="ignore"

至此，服務(wù)端配置完畢慨蛙，如需和遠程Windows正常通信仍需對Windows做一定配置修改辽聊。詳細如下

四、Windows系統(tǒng)預(yù)配置

(使用ansible官方自動配置腳本ConfigureRemotingForAnsible.ps1和自動升級powershell的腳本upgrade_to_ps3.ps1即可完成配置期贫，記錄要允許powershell執(zhí)行腳本：set-executionpolicy -executionpolicy unrestricted)
和Linux發(fā)版版稍有區(qū)別跟匆，遠程主機系統(tǒng)如為Windows需預(yù)先如下配置：

• 安裝Framework 3.0+
• 設(shè)置PowerShell本地腳本運行權(quán)限為remotesigned
• 升級PowerShell至3.0+
• 自動設(shè)置Windows遠端管理，英文全稱WS-Management（WinRM）

我們逐一介紹:

安裝Framework 3.0+

下載鏈接為：http://download.microsoft.com/download/B/A/4/BA4A7E71-2906-4B2D-A0E1-80CF16844F5F/dotNetFx45_Full_x86_x64.exe通砍。 下載至本地后雙擊左鍵安裝即可玛臂，期間可能會多次重啟，電腦需正常連接Internet封孙。

設(shè)置PowerShell本地腳本運行權(quán)限為remotesigned

因Windows系統(tǒng)默認不允許非Adminitor外的普通用戶執(zhí)行SP腳本迹冤，即使是管理員，如下開放P腳本執(zhí)行權(quán)限虎忌。
步驟1 打開CMD輸入regedit.exe 如下圖打開注冊表泡徙。

步驟2 設(shè)置SP腳本系統(tǒng)可運行。

依次打開注冊表目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell
如圖下圖修改SP腳本可執(zhí)行權(quán)限為remotesigned呐籽。

或者锋勺，打開PowerShell執(zhí)行命令：set-executionpolicy -executionpolicy unrestricted 返回結(jié)果如圖

這里共4種權(quán)限：

• Restricted—默認的設(shè)置蚀瘸， 不允許任何script運行狡蝶；
• AllSigned—只能運行經(jīng)過數(shù)字證書簽名的script；
• RemoteSigned—運行本地的script不需要數(shù)字簽名贮勃，但是運行從網(wǎng)絡(luò)上下載的script就必須要有數(shù)字簽名贪惹；
• Unrestricted—允許所有的script運行。

升級PowerShell至3.0+

PowerShell 3.0+ 需基于Windows 7 Sp1安裝寂嘉，Windows7系統(tǒng)Sp1補丁升級請參考http://windows.microsoft.com/installwindows7sp1奏瞬，這里不作詳細介紹枫绅。Window 7和Windows Server 2008 R2默認安裝的有PowerShell，但版本號一般為2.0版本硼端，所以我們需升級至3.0+并淋，如下圖中數(shù)字1部分表示PowerShell版本過低需3.0+版本，數(shù)字2部分表示當(dāng)前PowerShell版本為2.0

PowerShell至3.0+版本珍昨，下載地址如下：
https://github.com/cchurch/ansible/blob/devel/examples/scripts/upgrade_to_ps3.ps1县耽。下載至本地后，如圖10-5右鍵選擇“使用PowerShell運行”镣典，執(zhí)行完畢重啟系統(tǒng)后兔毙，在PowerShell執(zhí)行Get-Host命令結(jié)果如下圖所示PowerShell版本為3.0為正常。

步驟4兄春、自動設(shè)置Windows遠端管理（WS-Management澎剥，WinRM）

下載補丁腳本

https://github.com/ansible/ansible/blob/devel/examples/scripts/ConfigureRemotingForAnsible.ps1，下載至本地赶舆，右擊后選擇“使用PowerShell運行”哑姚，執(zhí)行結(jié)果沒有返回錯誤即為正常。
如執(zhí)行出現(xiàn)“由于此計算機上的網(wǎng)絡(luò)連接類型之一設(shè)置為公用涌乳，因此 WinRM防火墻例外將不運行”類似報錯蜻懦，請在PowerShell中執(zhí)行命令嘗試解決。

Enable-PSRemoting – SkipNetworkProfileCheck –Force

好了夕晓，遠程Windows主機配置到此結(jié)束宛乃，我們驗證配置的是否有問題，在Master機做如下設(shè)置：
步驟1蒸辆、配置Inventory 添加/etc/ansible/hosts配置征炼。

[windows]192.168.37.146 ansible_ssh_user="Administrator" ansible_ssh_pass="magedu@beijing" ansible_ssh_port=5986 ansible_connection="winrm"

步驟2、在Master上執(zhí)行命令：

ansible windows -m win_ping

返回結(jié)果如下圖所示：

注意：Windows系統(tǒng)建議使用Administrator用戶躬贡，避免不可預(yù)知的問題谆奥。命令運行前請設(shè)置Administrator可登錄且登錄密碼為magedu@beijjing。

五拂玻、Windows下可用模塊

• Windows下可用模塊雖不及Linux豐富酸些，但基礎(chǔ)功能均包括在內(nèi)，如下介紹日常工作常用到的模塊檐蚜，請參考魄懂。
• win_acl (E) —設(shè)置文件/目錄屬主屬組權(quán)限；
• win_copy—拷貝文件到遠程Windows主機闯第；
• win_file —創(chuàng)建市栗，刪除文件或目錄；
• win_lineinfile—匹配替換文件內(nèi)容；
• win_package (E) —安裝/卸載本地或網(wǎng)絡(luò)軟件包填帽；
• win_ping —Windows系統(tǒng)下的ping模塊蛛淋，常用來測試主機是否存活；
• win_service—管理Windows Services服務(wù)篡腌；
• win_user —管理Windows本地用戶褐荷。

更多模塊及詳細功能介紹請參考官網(wǎng)：http://docs.ansible.com/ansible/list_of_windows_modules.html除win開頭的模塊外，scripts,raw,slurp,setup模塊在Windows 下也可正常使用嘹悼。

六诚卸、Windows Ansible模塊使用實戰(zhàn)

本節(jié)通過幾個實戰(zhàn)案例為大家演示一些常用模塊用法。

案例1： 傳輸/etc/passwd文件至遠程E:\file\目錄下

執(zhí)行命令：

ansible windows -m win_copy -a 'src=/etc/passwd dest=E:\file\passwd'

返回結(jié)果：

192.168.37.146 | success >> {    "changed": true,    "checksum": "896d4c79f49b42ff24f93abc25c38bc1aa20afa0",    "operation": "file_copy",    "original_basename": "passwd",    "size": 2563}

部分返回結(jié)果詮釋：

• “operation”: “file_copy”—執(zhí)行的操作為 file_copy绘迁；
• “original_basename”: “passwd”—件名為 passwd合溺；
• “size”: 2563—文件大小為 2563 bytes。

Playbook寫法如下：

---- name: windows module example  hosts: windows  tasks:     - name: Move file on remote Windows Server from one location to another       win_file: src=/etc/passwd dest=E:\file\passwd

案例2： 刪除案例1中的E:\file\passwd缀台。

執(zhí)行命令：

ansible windows -m win_file -a "path=E:\file\passwd state=absent"

返回結(jié)果：

192.168.37.146 | success >> {    "changed": true}

案例3： 新增用戶stanley棠赛，密碼為magedu@123，屬組為Administrators膛腐。

執(zhí)行命令：

ansible windows -m win_user -a "name=stanley passwd=magedu@123 group=Administrators"

返回結(jié)果：

192.168.37.146 | success >> {    "account_disabled": false,    "account_locked": false,    "changed": true,    "description": "",    "fullname": "stanley",    "groups": [        {            "name": "Administrators",            "path": "WinNT://WORKGROUP/LINUXLST/Administrators"        }    ],    "name": "stanley",    "password_expired": true,    "password_never_expires": false,    "path": "WinNT://WORKGROUP/LINUXLST/stanley",    "sid": "S-1-5-21-3965499365-1200628009-3594530176-1004",    "state": "present", "user_cannot_change_password": false}

部分返回結(jié)果詮釋：

• account_disabled—禁用用戶登錄睛约；
• account_locked—解鎖用戶；
• groups—用戶所屬組哲身；
• name—用戶名辩涝；
• password_expired—下次登錄修改密碼；
• user_cannot_change_password—用戶是否可修改密碼勘天。

案例4：重啟Windows spooler服務(wù)

執(zhí)行命令：

ansible windows -m win_service -a "name=spooler state=restarted"

返回結(jié)果：

192.168.37.146 | success >> {    "changed": true,    "display_name": "Print Spooler",    "name": "spooler",    "start_mode": "auto",    "state": "running"}

本章小結(jié)

本章為大家介紹了當(dāng)遠程主機為Windows時Ansible的管理機制怔揩，從整體配置復(fù)雜程度上相對Linux要麻煩些，現(xiàn)如今服務(wù)器市場Linux大為流行的背景下脯丝，各軟件對Windows的支持力度確實不如預(yù)期商膊，也曾收到業(yè)界Windows應(yīng)用者反饋Ansible管理Windows期間存在意想不到的問題，其實何止Ansible宠进，現(xiàn)流行的集中化管理工具對Windows的支持力度均一般晕拆。筆者Windows的維護經(jīng)歷提醒各位：珍愛生命，遠離Windows材蹬。