[IaC] 앤서블(Ansible) 개념 및 설치

다음 글은 Cloud Wave 교육 당시 내용을 참고해 작성했습니다.

Ansible이란?

앤서블은 오픈 소스 자동화 플랫폼이다. 자동화 작업을 관리하고 다양한 워크플로우 및 환경에 맞게 조정할 수 있다. 처음 사용하는 사용자의 경우에도 생산성을 높이기 위해 매우 빠르게 활용할 수 있다. 앤서블은 다음과 같은 세 가지 특징을 갖는다.

• 앤서블은 강력하다.
  구성 관리 워크플로우 자동화, 네트워크 자동화용 애플리케이션을 배포할 수 있다. 그래서 전체 애플리케이션의 라이프 사이클을 오케스트레이션 할 수 있다.
• 앤서블은 에이전트가 필요 없다.
  일반적으로 앤서블은 OpenSSH 또는 WinRM을 사용하여 관리하는 호스팅을 연결하고 모듈이라는 소형 프로그램을 내보내서 해당 호스트에 연결한다. 이러한 프로그램은 시스템을 원하는 특정 상태로 만드는 데 사용이 되고 작업을 완료하면 제거된다. 에이전트나 추가 사용자 지정 보안 인프라가 없기 때문에 Ansible은 훨씬 효율적이고 안전하다.
• 앤서블은 간단하다.
  앤서블 코드는 사람이 읽을 수 있는 자동화를 제공한다. 즉, 사람이 읽기 쉬우며 이해하고 변경할 수 있는 자동화 도구이다. 작성하느 데는 특별한 코딩 기술이 필요하지 않다. 그래서 처음 앤서블을 접하는 사용자들도 금방 배워서 사용할 수 있다.

Ansible 아키텍처

앤서블을 구성하는 노드는 제어 노드와 관리 호스트라는 두 가지 유형으로 구성된다. 앤서블 패키지는 제어 노드에 설치하고 저장되어 있는 코드를 실행한다. 관리 호스트는 인벤토리라고 부르는 파일에 나열되어 있으며 시스템을 그룹으로 구성해서 보다 쉽게 일괄 관리할 수 있다. 인벤토리는 텍스트 파일에 정적으로 정의하거나 스크립트를 실행해서 외부 소스에서 그룹 및 호스트 정보를 가져와 동적으로 정의할 수 있다. Ansible을 사용하기 위해서 작성된 코드를 가진 파일이 필요하며 이것은 크게 3가지 유형이 있다.

• 구성파일
• 인벤토리 파일
• 플레이북 파일

사용자는 세가지 유형의 파일을 저장할 작업 디렉터리를 따로 생성하고 파일이나 하위 디렉터리로 위치시킨다.

---

Ansible 설치

앤서블은 community에서 제공하는 무료 버전과 redhat에서 제공하는 유료 버전이 있다. 나는 무료 버전을 설치할 것이다. 그리고 앤서블 엔진은 Python으로 작성되어 있기 때문에 버전에 맞는 Python 패키지를 설치해야 한다.

Python과 pip이 설치되어 있다면 다음 명령어로 간단하게 설치할 수 있다. 리눅스 시스템인 경우 리눅스 별 패키지 관리 도구를 통해 설치할 수 있다. 그리고 설치한 후 확인하기 위해 버전 정보를 출력할 수 있다.

pip install ansible

# RHEL 기반
yum install epel-release
yum install ansible

# Ubuntu
apt-get install software-properties-common
apt-add-repository -y ppa:ansible/ansible
apt-get update
apt-get install -y ansible

ansible --version

---

구성파일

사용자는 Ansible을 사용하기 전에 연결 설정이나 권한 설정 등을 변경할 수 있다. Ansible의 동작방법을 설정하는 파일을 구성파일이라고 부르며 이 파일은 기본적으로 /etc/ansible/ansible.cfg에 위치해 있다. 하지만 보통 일반적인 경우 사용자가 프로젝트 별로 관리하기 위한 작업 디렉터리를 따로 생성해 구성 파일을 관리한다.

Ansible 구성 파일은 각 섹션에 키-값 쌍으로 정의된 설정이 포함된 여러 개의 섹션으로 구성되며 섹션 제목은 대괄호로 묶여 있다. 다음은 가장 일반적으로 관리하는 섹션과 내용이다.

[defaults] #  섹션 이름. 기본적인 내용을 설정
inventory = ./inventory # 인벤토리 파일 경로 지정
remote_user = user # 관리 호스트에 연결할 때 사용할 사용자 이름 지정(지정하지 않은 경우 현재 사용자 이름으로 지정)
ask_pass = false # 관리 호스트에 ssh 연결할 때 암호를 묻는 메시지 표시 여부 지정

[privilege_escalation] # 권한 상승을 위한 사용자 전환 설정
become = true # 연결 후 관리 호스트에서 자동으로 사용자를 전환할지 여부 지정(일반적으로 root로 전환)
become_method = sudo # 사용자 전환 방식 지정(일반적으로 기본값 sudo를 사용, su는 옵션)
become_user = root # 관리 호스트에서 전환할 사용자를 지정(일반적으로 기본값인 root)
become_ask_pass = false #become_method 매개 변수에 대한 암호를 묻는 메시지 표시 여부 지정

사용자가 구성 파일에 설정된 내용을 확인할 수 있도록 `ansible-config view`명령어를 지원한다.

연결 설정

Ansible은 제어노드에서 관리호스트로 연결하기 위해 ssh를 설정한다. 이것은 defaults 섹션에 정의할 수 있다. ssh로 연결할 때 사용자명을 별도로 구성되어 있지 않으면 Ansible 명령을 실행하는 로컬 사용자와 같은 사용자 이름을 사용하여 관리 호스트에 연결한다. 다른 원격 사용자를 지정하려면 remote_user 매개 변수를 해당 사용자 이름으로 설정한다. Ansible을 실행하는 로컬 사용자에게 개인 ssh 키가 있거나 관리 호스트에서 원격 사용자로 인증할 수 있도록 키가 구성된 경우 Ansible은 자동으로 로그인된다. 인증을 위한 키를 구성하기 위해서 ssh-keygen 명령어를 실행하여 키페어를 생성할 수 있다. 또한 키페어 중 공개키를 배포하기 위해 ssh-copy-id 명령어를 지원한다. 제어 노드에서 다음처럼 명령어를 입력하여 키를 생성하고 배포한다.

ssh-keygen -H '' -f ~/.ssh/id_rsa
ssh-copy-id web1.test.com

권한 상승

보안 및 감사로 인해 Ansible을 원격 호스트에 권한이 없는 일반 사용자로 연결한 후 권한을 상승하여 관리 액세스 권한을 가진 root 사용자로 전환할 수 있다. 이것은 Ansible 구성 파일의 [privilege_escalation] 섹션에 설정할 수 있다.

기본적으로 권한 상승을 활성화하려면 구성 파일에 become = true 매개 변수를 설정한다. 권한이 기본적으로 설정되어 있더라도 나중에 다양한 방법으로 이를 재정의할 수 있다. become_method 매개 변수는 권한을 상승하는 방법을 지정한다. 기본값은 sudo를 사용하며 become_user 매개 변수를 통해 어떤 사용자로 상승할지 지정할 수 있다. 기본값은 root이다. 선택한 become_method메커니즘에서 권한을 상승하기 위해 사용자가 암호를 입력해야 하는 경우, 구성 파일에 become_ask_pass = true 매개 변수를 설정하면 된다.

관리 호스트에는 ssh로 연결한 사용자에게 sudo를 사용할 수 있는 권한이 설정되어 있어야 한다. /etc/sudoers 파일에 작성하거나 혹은 /etc/sudoers.d/ 디렉토리에 추가 파일을 생성하여 설정할 수 있다. 다음은 sudo 권한을 설정하는 내용이다.

ansible_user ALL=(ALL) NOPASSWD:ALL	# 이 방법도 가능하지만
usermod -aG wheel ansible-user 		# 터미널에서 이 명령어로 wheel 그룹에 추가하는 것을 권장

---

인벤토리(Inventory)

인벤토리 파일에는 Ansible에서 관리할 호스트 목록을 정의한다. 특정 호스트는 그룹에도 할당하여 집합적으로 관리할 수도 있다. 그룹은 하위 그룹을 포함할 수 있으며, 호스트는 여러 그룹의 멤버가 될 수 있다. 그리고 인벤토리는 호스트 및 그룹에 적용되는 변수를 설정할 수 있다.

호스트 인벤토리는 두 가지 방법으로 정의할 수 있다. 텍스트 파일을 사용해서 정적 호스트 인벤토리를 정의할 수 있다. 그리고 외부 정보 프로바이더를 사용하여 필요에 따라 정의하려면 Ansible 플러그인을 사용하면 된다.

정적 인벤토리

정적 인벤토리 파일은 텍스트 파일이며 앤서블이 관리할 호스트를 목록으로 지정한다. 이 파일은 일반적인 INI스타일 형식 또는 YAML을 포함한 다양한 형식을 사용하여 작성할 수 있으며 호스트명 혹은 IP주소를 한 줄에 입력한다. IP는 노출되면 보안상으로 취약하므로 권장하지 않는다.

#INI 스타일 형식
web1.test.com
web2.test.com
db1.test.com
db2.test.com

그리고 인벤토리 파일에는 호스트 그룹을 지정할 수도 있다. 호스트 그룹을 사용하면 여러 호스트들을 일괄적으로 처리할 수 있어서 훨씬 효과적이다. 그룹은 대괄호를 사용하여 이름을 지정한 뒤 다음 행부터 한 줄씩 그룹의 구성원 호스트들을 나열할 수 있다.

[web-servers] # 그룹
web1.test.com # 그룹의 구성원 호스트
web2.test.com

[db-servers]
db1.test.com
db2.test.com

호스트는 여러 개의 그룹에 있을 수 있다. 실제로 호스트를 여러 그룹으로 구성하면 호스트의 역할, 실제 위치, 프로덕션 여부 등에 따라 다양한 방식으로 구성할 수 있으므로 이 방법을 사용하는 것이 좋다. 그러면 특성, 용도 또는 위치에 따라 특정 호스트 집합에 Ansible 플레이를 쉽게 적용할 수 있다. 또한 편의상 두 개의 호스트 그룹을 자동으로 구성하고 있다.

• all: 모든 호스트 목록을 포함하는 그룹
• ungrouped: 인벤토리에서 그룹에 속하지 않는 모든 호스트 목록중첩 그룹 Ansible 호스트 인벤토리에 호스트 그룹을 여러 개 포함할 수 있다. 이 작업은 호스트 그룹 이름 생성 시 :children 접미사를 추가하면 된다.

[dev]
web1.test.com
web2.test.com

[prod]
web3.test.com
web4.test.com

[web-servers:children] # dev, prod의 부모 그룹
dev
prod

범위 지정

호스트 이름 및 IP주소를 작성할 때 범위를 지정하여 인벤토리 파일을 간단히 작성할 수 있다. 관리 호스트 개수가 많아짐에 따라 행의 수가 늘어나 가독성이 떨어지는 상황을 방지하고 좀 더 가독성을 높일 수 있다. 범위는 숫자와 영문에 해당하는 값을 처음 값과 마지막 값을 입력하여 표현한다.

[처음 값:마지막 값]

인벤토리 파일 위치 재정의

인벤토리 파일의 기본 위치는 /etc/ansible/hosts입니다. 하지만 거의 대부분 작업 디렉토리를 따로 생성하여 플레이북 파일과 함께 위치시켜 관리한다. ansible 명령어의 -i 인자는 인벤토리 파일의 기본 위치가 아닌 사용자가 원하는 파일로 대체하는 옵션이다. 사용자는 앤서블 구성파일의 defaults 섹션에서 인벤토리 파일의 위치를 정의할 수도 있다.

[defaults]  
inventory = ./inventory

동적 인벤토리

Ansible 인벤토리가 시간이 지남에 따라 변하다가 비즈니스 요구에 따라 호스트가 종료되는 경우, 인벤토리 구축 방법에 설명된 정적 인벤토리 솔루션은 요구에 부합하지 않다.
동적 외부 인벤토리 시스템을 통해 이러한 옵션을 통합합니다.
Ansible은 인벤토리 플러그 및 인벤토리 스크립트를 실행해 외부 인벤토리 연결을 지원한다. 인벤토리 플러그인은 가장 최근의 업데이트의 가장 최근의 업데이트의 이점을 활용할 수 있다. 동적 인벤토리에 플러그인을 추천한다. 추가 동적 인벤토리 원본에 연결할 수 있다. 선택한 경우 인벤토리 스크립트를 사용할 수 있다. 인벤토리 플러그인을 구현하면 스크립트 인벤토리 플러그인을 통해 다시 호환성을 보장한다.

---

플레이북(Playbook)

Ansible은 특정한 작업을 수행하기 위해 플레이북 파일에 작업 내용을 미리 정의해 놓는다. 이때 플레이북 파일에는 단일 혹은 여러 개의 플레이가 작성될 수 있다. 단일 플레이에는 작업 대상이 되는 관리 호스트 정보와 작업 내용을 담고 있는 정보가 필요하다. 작업은 특정 작업을 수행하기 위해 모듈 목록을 구성한 필드이며 여기에 작성된 내용은 순서대로 실행된다.
플레이북은 YAML 포맷으로 작성된 텍스프 파일이며, 일반적으로 확장자명. yml을 사용하여 저장된다. 플레이북은 데이터의 구조를 표현하기 위해 공백 문자를 사용하여 들여쓰기한다. YAML에서는 들여쓰기에 필요한 공백 수에 대해 두 가지 기본 규칙이 적용된다.

• 계층 구조상 동일한 수준의 데이터 요소는 공백이 동일해야 한다.
• 하위 목록은 상위 목록보다 들여 써야 한다.

플레이북은 문서의 시작을 나타내는 시작 마커인 세 개의 하이픈---기호로 줄을 시작하며 종료를 나타내는 종료 마커인 세 개의 도트...를 입력할 수 있지만 보통 생략할 수 있다.
플레이북은 시작 마커와 종료 마커 사이에 플레이들 목록을 구성한다. 이때 목록은 하나의 대시 기호로 공백으로 시작한다.

---

-   name: test play  
    hosts: web1.test.com # 작업 대상  
    tasks: # 작업 내용
    -   name: create new user  
        user:  
        name: user01  
        uid: 4000  
        state: present
-   name: play2

플레이 내부에서는 키와 값 쌍으로 작성된 데이터들을 입력한다. 동일한 수준의 세 가지 키인 name, hosts, tasks를 지정하고 각 항목별로 값을 입력한다.

name 키는 플레이의 목적 및 목표를 나타내는 정보이며 임의의 문자열을 입력할 수 있다. name 항목은 필수 항목은 아니지만 가독성을 높여주기 때문에 사용하는 것을 권장한다. hosts에 입력된 값은 인벤토리에 포함되어 있는 목록을 선택할 수 있다. 이때 호스트나 그룹 혹은 호스트 패턴을 값으로 입력할 수 있다. 마지막으로 tasks 항목에서는 실제로 수행할 작업 목록을 구성한다. tasks 하위에는 대시 기호를 입력하여 단일 항목을 지정하고 있는데 이때 name과 user라는 두 가지 키를 입력하고 있다. name 항목은 마찬가지로 목적을 설명하는 정보이며 필수 항목은 아니다. 그리고 user라는 항목은 모듈이라고 부르며 하위 수준으로 입력된 인자를 통해 원하는 작업 내용을 구성할 수 있다.

모듈은 사용자가 원하는 작업 내용을 수행할 수 있도록 미리 설계되어 있으며 키워드만 입력하면 그 즉시 모듈을 실행할 수 있다. 또한 작업 목록에는 단일 모듈 혹은 여러 개의 모듈이 정의될 수 있다.

플레이북 실행

ansible-playbook은 제어노드에서 플레이북 파일의 내용을 읽어 플레이를 실행하는 명령어이다. 플레이북을 실행하면 실행 중인 플레이와 작업을 표시하는 출력이 생성된다. 출력에는 실행한 각 작업의 결과가 보고된다.
일반적으로 Ansible 플레이북의 작업은 멱등이며, 플레이북을 여러 번 실행하는 것이 안전하다. 관리 호스트가 이미 올바른 상태인 경우 변경되지 않는다.
상세한 작업의 경과를 출력하기 위해서는 -v 옵션을 사용할 수 있다. v문자의 개수에 따라 수준을 조절할 수 있다.

• -v: 간단한 작업 결과를 표시
• -vv: 작업 결과와 구성 내용을 표시
• -vvv: 관리 호스트에 연결하기 위한 추가 정보도 표시
• -vvvv: 스크립트를 사용했다면 관련 내용도 함께 표시

Ansible은 플레이북을 실행하기 전에 --syntax-check 옵션으로 해당 구문의 유효성을 미리 검사하는 기능을 지원한다. 구문에 문제가 있을 경우 오류를 보고한다. 또한 비슷한 기능으로 --check옵션을 통해 실제 작업을 처리하지 않지만 작업에 대한 결과가 어떻게 보고되는지 확인할 수 있는 기능을 지원한다.

다중 플레이

단일 플레이북은 여러 개의 플레이를 정의할 수 있다. 플레이는 순서가 지정된 작업 목록과 작업 대상이 지정되어 있다. 이때 다양한 작업 대상을 지정해서 각각의 대상에게 맞는 작업 목록들을 구성할 수 있다.
이러한 기능은 여러 호스트에서 다양한 작업을 수행해야 하는 복잡한 배포를 오케스트레이션할 때 매우 유용하다. 하나의 호스트 집합에 대해 하나의 플레이를 실행하고, 해당 플레이가 완료되면 다른 호스트 집합에 대해 다른 플레이를 실행하는 플레이북을 작성할 수 있다.

- name: first play
  hosts: dbservers
  tasks:
    - name: first task
      service: 
        name: mariadb
        enabled: true
- name: secodn play
  hosts: webservers
  tasks: 
    - name: first task
      service:
        name: httpd
        enabled: true

플레이에서 설정할 수 있는 항목은 hosts 및 tasks 이외에도 서버에 연결할 사용자를 재구성하거나 권한 상승을 조정할 수 있다.

- name: sample play
  hosts: demo-host
  remote_user: ansible-user
  become: true
  tasks:
    - name: sample task
      service:
        name: httpd
        enabled: true

---

다음은 변수 관리에 대해 작성하겠다.