Thomas.will: Die Seite wurde neu angelegt: „= Ansible Grundlagen = Ansible ist ein agentenloses Automatisierungswerkzeug. Es verbindet sich per SSH auf die Zielsysteme und führt dort Aufgaben aus – o…“

2026-04-07T12:46:47Z

Die Seite wurde neu angelegt: „= Ansible Grundlagen = Ansible ist ein agentenloses Automatisierungswerkzeug. Es verbindet sich per SSH auf die Zielsysteme und führt dort Aufgaben aus – o…“

Neue Seite

= Ansible Grundlagen =

Ansible ist ein agentenloses Automatisierungswerkzeug. Es verbindet sich per SSH auf die Zielsysteme und führt dort Aufgaben aus – ohne dass auf den Zielsystemen Software installiert werden muss.

== Begriffe ==

{| class="wikitable"
! Begriff !! Bedeutung
|-
| '''Control-Node''' || Der Rechner von dem Ansible ausgeführt wird
|-
| '''Managed Node''' || Die Zielsysteme die Ansible konfiguriert
|-
| '''Inventory''' || Liste der Managed Nodes
|-
| '''Playbook''' || YAML-Datei mit den auszuführenden Aufgaben
|-
| '''Task''' || Eine einzelne Aufgabe in einem Playbook
|-
| '''Modul''' || Ansible-Baustein der eine Aufgabe erledigt (z.B. <code>template</code>, <code>systemd</code>)
|-
| '''Rolle (Role)''' || Wiederverwendbare Sammlung von Tasks, Templates und Handlers
|-
| '''Handler''' || Task der nur ausgeführt wird wenn er durch <code>notify</code> ausgelöst wurde
|-
| '''Template''' || Konfigurationsdatei mit Jinja2-Variablen
|-
| '''Vault''' || Verschlüsselter Speicher für Passwörter und Secrets
|}

== Installation ==

Ansible wird nur auf dem Control-Node installiert.

<pre>
apt update
apt install ansible -y
</pre>

Version prüfen:
<pre>
ansible --version
</pre>

== Inventory ==

Das Inventory definiert welche Hosts Ansible verwalten soll.

=== Einfaches Inventory ===

<pre>
[webserver]
web01 ansible_host=192.168.1.10
web02 ansible_host=192.168.1.11

[webserver:vars]
ansible_user=admin
</pre>

=== Variablen pro Host ===

Jeder Host kann eigene Variablen bekommen:

<pre>
[firewalls]
fw01 ansible_host=192.168.1.20 fw_xx=201
fw02 ansible_host=192.168.1.21 fw_xx=202
</pre>

=== Inventory testen ===

<pre>
ansible all --list-hosts
ansible webserver --list-hosts
</pre>

== ansible.cfg ==

Die Datei <code>ansible.cfg</code> im Projektverzeichnis setzt Standardwerte:

<pre>
[defaults]
inventory = inventory/hosts.ini
remote_user = admin
host_key_checking = False

[privilege_escalation]
become = True
become_method = sudo
</pre>

;<code>host_key_checking = False</code>: Deaktiviert die SSH-Fingerprint-Prüfung – sinnvoll im Lab, nicht für Produktion
;<code>become = True</code>: Führt Befehle mit <code>sudo</code> aus

== Ad-hoc-Befehle ==

Ad-hoc-Befehle sind Einzeiler für schnelle Aufgaben ohne Playbook.

;Erreichbarkeit prüfen:
* <code>ansible all -m ping</code>

;Befehl ausführen:
* <code>ansible all -m command -a "uptime"</code>

;Paket installieren:
* <code>ansible webserver -m apt -a "name=vim state=present" -b</code>

;Datei kopieren:
* <code>ansible all -m copy -a "src=foo.txt dest=/tmp/foo.txt"</code>

== Playbook ==

Ein Playbook ist eine YAML-Datei die beschreibt was auf welchen Hosts ausgeführt werden soll.

=== Aufbau ===

<pre>
---
- name: Webserver einrichten
hosts: webserver
gather_facts: false

tasks:
- name: nginx installieren
apt:
name: nginx
state: present

- name: nginx starten
systemd:
name: nginx
state: started
enabled: true
</pre>

=== Playbook ausführen ===

<pre>
ansible-playbook site.yml
</pre>

;Nur bestimmte Hosts:
* <code>ansible-playbook site.yml --limit fw212,fw213</code>

;Nur bestimmte Tags:
* <code>ansible-playbook site.yml --tags nftables</code>

;Trockenlauf (nichts wird verändert):
* <code>ansible-playbook site.yml --check</code>

;Verbose-Ausgabe:
* <code>ansible-playbook site.yml -v</code> (mehr v = mehr Details, bis <code>-vvvv</code>)

== Tags ==

Mit Tags kann man gezielt einzelne Tasks ausführen.

<pre>
tasks:
- name: nftables konfigurieren
template:
src: nftables.conf.j2
dest: /etc/nftables.conf
tags: nftables

- name: Hostname setzen
hostname:
name: "fw.example.int"
tags: hostname
</pre>

Ausführen:
<pre>
ansible-playbook site.yml --tags nftables
ansible-playbook site.yml --skip-tags reboot
</pre>

== Templates ==

Templates sind Konfigurationsdateien mit Jinja2-Variablen. Ansible befüllt die Variablen beim Ausführen pro Host.

Templates liegen in <code>roles/<rolle>/templates/</code> und haben die Endung <code>.j2</code>.

=== Beispiel ===

Template <code>resolv.conf.j2</code>:
<pre>
search it2{{ fw_xx }}.int
nameserver 192.168.{{ fw_y }}.88
</pre>

Task der das Template einsetzt:
<pre>
- name: resolv.conf konfigurieren
template:
src: resolv.conf.j2
dest: /etc/resolv.conf
owner: root
group: root
mode: '0644'
</pre>

=== Jinja2-Grundlagen ===

{| class="wikitable"
! Syntax !! Bedeutung
|-
| <code>{{ variable }}</code> || Variablenwert einsetzen
|-
| <code>{% if bedingung %} ... {% endif %}</code> || Bedingung
|-
| <code>{% for item in liste %} ... {% endfor %}</code> || Schleife
|}

== Rollen (Roles) ==

Rollen sind wiederverwendbare Einheiten die Tasks, Templates und Handler bündeln.

=== Struktur ===

<pre>
roles/
└── meine-rolle/
├── tasks/
│ └── main.yml ← Tasks
├── handlers/
│ └── main.yml ← Handler
├── templates/
│ └── config.j2 ← Templates
├── files/
│ └── script.sh ← Statische Dateien
└── defaults/
└── main.yml ← Standardwerte für Variablen
</pre>

=== Rolle im Playbook verwenden ===

<pre>
---
- name: Firewall konfigurieren
hosts: firewalls
roles:
- fw
</pre>

== Handler ==

Handler werden nur ausgeführt wenn ein Task sie mit <code>notify</code> ausgelöst hat – und das nur einmal am Ende des Plays, egal wie oft sie ausgelöst wurden.

<pre>
tasks:
- name: nftables.conf konfigurieren
template:
src: nftables.conf.j2
dest: /etc/nftables.conf
notify: nftables reload

handlers:
- name: nftables reload
systemd:
name: nftables
state: reloaded
</pre>

Typische Anwendung: Konfigurationsdatei ändern → Dienst neu starten.

== Vault ==

Mit Ansible Vault können Passwörter und Secrets verschlüsselt gespeichert werden.

;Datei verschlüsseln:
* <code>ansible-vault encrypt secrets.yml</code>

;Datei entschlüsseln:
* <code>ansible-vault decrypt secrets.yml</code>

;Datei ansehen ohne entschlüsseln:
* <code>ansible-vault view secrets.yml</code>

;Playbook mit Vault-Datei ausführen:
* <code>ansible-playbook site.yml --ask-vault-pass</code>

;Passwort aus Datei lesen:
* <code>ansible-playbook site.yml --vault-password-file .vault_pass</code>

Verschlüsselte Variable in einer normalen YAML-Datei:
<pre>
db_password: !vault |
$ANSIBLE_VAULT;1.1;AES256
61383034346134653831...
</pre>

== Siehe auch ==

* [[Ansible Firewall Konfiguration]]
* [[nftables Masquerade]]
* [[Debian Netzwerkkonfiguration]]

Ansible KIT Grundlagen - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= Ansible Grundlagen = Ansible ist ein agentenloses Automatisierungswerkzeug. Es verbindet sich per SSH auf die Zielsysteme und führt dort Aufgaben aus – o…“