问题描述
在使用Ansible playbooks实现服务器配置时,遇到了几个问题。首先,他想在一组全新的空白CentOS实例上自动设置一切,包括使用不同的域名。其次,他希望这些playbooks能够完全幂等,以便进行小的更改并直接运行它们。他遇到了两个类似的问题。
第一个问题是,为了获取证书并将其设置为使用https,他需要已经运行的Nginx来满足获取证书的挑战,并使用不同的配置运行已获取的证书。在获取证书时,Nginx必须为Letsencrypt提供一些文件进行检查,这导致了几个问题:
1. Playbook需要在一个步骤中两次运行Nginx,每次使用不同的配置。这在Ansible中很难表达,因为playbook的描述性质。在一个Playbook执行中,Nginx现在具有不同的状态。不再表达状态,而是表达指令。
2. 使用几个稍微不同的配置意味着要么需要大量的Nginx配置重复代码,要么需要复杂且令人困惑的条件语句。
第二个问题是,用户希望将所有Nginx配置放在版本控制系统中,因此他希望playbooks能够随附已编写的Nginx配置。然而,这不是Certbot推荐的方式。Certbot希望你使用一个命令来解析然后生成Nginx配置以添加证书。这可能看起来很方便,但这样我无法确保结果是完全可复制的。假设我获取了证书并生成了配置,然后手动更改了一些内容,然后失去了服务器和域名,尝试从头开始运行它们。然后可能会出现一些新的问题,否则就不会出现。我的Nginx配置非常复杂,涉及许多服务在不同的端口、条件和其他细节上。我必须控制它的外观。
他考虑过为不同的情况编写多个playbooks。但这也会导致代码重复,并且对于新员工来说,使用它们会更加复杂。很少使用的playbooks或脚本可能会失去同步。
解决方案
在解决方案中,我们将为你提供两种方法来解决这个问题,让你可以根据情况选择适合你的方式。
方案1:使用单一Playbook
在这个方案中,我们将在一个Playbook中完成所有操作,以确保Nginx正确配置,证书获取,并确保幂等性。
- 首先,部署Certbot和Nginx,但不配置文件。
- 对于每个域名,执行以下步骤:
- 部署一个Nginx配置用于默认服务器,包括
location /.well-known/acme-challenge { root /etc/letsencrypt/challenges; },以满足获取证书的挑战。 - 重新加载Nginx配置。
- 检查域名在
/etc/letsencrypt/live/domain中是否有证书存在。 - 如果证书已存在,则结束执行。
- 运行
certbot certonly -n --web-root=/etc/letsencrypt/challenges --keep -d domain来发起证书请求。 - 使用循环检查证书是否存在。
- 修复live证书的权限。
- 部署正常的Nginx配置。
这个方案可以使用异步方式为每个域名运行Playbook。
方案2:使用多个Playbooks
在这个方案中,你可以为不同的情况编写多个Playbooks,每个Playbook解决一个特定的问题。
- 针对获取证书的挑战,你可以编写一个Playbook,其中包含需要的Nginx配置。
- 针对获取证书并应用配置的情况,你可以编写另一个Playbook,其中包含不同的Nginx配置。
- 针对Certbot的推荐方法,你可以编写一个Playbook,将Certbot命令集成到其中,以生成Nginx配置并获取证书。
虽然这个方案可能会导致一些代码重复,但每个Playbook的作用更加清晰,也更容易管理。
总结
在使用Ansible自动化配置Certbot与Nginx时,你可以选择使用单一Playbook来解决所有问题,或者使用多个Playbooks来分别处理不同的情况。每个方案都有其优势和劣势,你可以根据你的需求和偏好选择适合你的方法。无论哪种方法,都要确保Nginx和Certbot的配置以及证书获取在你的自动化流程中都能够正确地进行。