使用Ansible快速部署CDH集群

1. Ansible简介

1.1. Ansible简介

ansible是一种自动化运维工具,基于paramiko开发的,并且基于模块化工作，Ansible是一种集成IT系统的配置管理、应用部署、执行特定任务的开源平台，它是基于python语言，由Paramiko和PyYAML两个关键模块构建。集合了众多运维工具的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能.ansible是基于模块工作的,本身没有批量部署的能力.真正具有批量部署的是ansible所运行的模块，ansible只是提供一种框架.ansible不需要在远程主机上安装client/agents，因为它们是基于ssh来和远程主机通讯的.

ansible被定义为配置管理工具,配置管理工具通常具有以下功能:

确保所依赖的软件包已经被安装
配置文件包含正确的内容和正确的权限
相关服务被正确运行

常用的自动化运维工具技术特性比较:

项目	Puppet	SaltStack	Ansible
开发语言	Ruby	Python	Python
是否有客户端	有	有	无
是否支持二次开发	不支持	支持	支持
服务器与远程机器是否相互验证	是	是	是
服务器与远程机器的通信是否加密	是，标准的SSL协议	是，使用AES加密	是，使用OpenSSH
平台支持	AIX , BSD, HP-UX, Linux , Mac OSX , Solaris, Windows	BSD, Linux , Mac OS X , Solaris, Windows	AIX , BSD , HP-UX , Linux , Mac OS X , Solaris
是否提供Web UI	提供	提供	提供，但是是商业版本
配置文件格式	Ruby 语法格式	YAML	YAML
命令行执行	不支持，大师可以通过配置模块实现	支持	支持

1.2. ansible基本架构

ansible系统由控制主机和被管理主机组成,控制主机不支持windows平台

ansible基础架构

核心: ansible
Core Modules: ansible自带的模块
Custom Modules: 核心模块功能不足时,用户可以添加扩展模块
Plugins: 通过插件来实现记录日志,发送邮件或其他功能
Playbooks: 剧本,YAML格式文件，多个任务定义在一个文件中，定义主机需要调用哪些模块来完成的功能
Connectior Plugins: ansible基于连接插件连接到各个主机上,默认是使用ssh
Host Inventory: 记录由Ansible管理的主机信息，包括端口、密码、ip等
1.3. ansible特点

部署简单, 只需要在控制主机上部署ansible环境,被控制端上只要求安装ssh和python 2.5以上版本,这个对于类unix系统来说相当与无需配置.

[1] no angents: 被管控节点无需安装agent

[2] no server: 无服务端,使用是直接调用命名

[3] modules in any languages: 基于模块工作, 可以使用任意语言开发模块

[4] 易读的语法: 基于yaml语法编写playbook

[5] 基于推送模式: 不同于puppet的拉取模式,直接由调用者控制变更在服务器上发生的时间

[6] 模块是幂等性的:定义的任务已存在则不会做任何事情,意味着在同一台服务器上多次执行同一个playbook是安全的

1.4. 优点

轻量级，无需在客户端安装agent，更新时，只需在操作机上进行一次更新即可；
批量任务执行可以写成脚本，而且不用分发到远程就可以执行；
使用python编写，维护更简单，ruby语法过于复杂；
支持sudo。

1.5 任务执行过程

2. 安装Ansible

这里以RedHat系Linux为例，其他系统请参考ansible的官网。

https://ansible-tran.readthedocs.io/en/latest/docs/intro_installation.html

2.1. 管理端安装Ansible

2.1.1. Yum源安裝Ansible软件

# Redhat/CentOS Linux上，Ansible目前放在的epel源中

# Fedora默认源中包含ansible，直接安装包既可

sudo yum -y install epel-release

#检查yum源中是否有ansible的介质和版本

yum list ansible

sudo yum install ansible -y

因为Ansible2.9.0版本有bug，见问题1.

2.1.2. Python方式安装Ansible软件

因此这里不使用epel中带的Ansible版本，而使用源码安装。源码可以从github或者pypi(https://pypi.org/project/ansible/)中下载。下面使用python方式安装示例。

2.1.2.1. 安装pip

centos默认没有安装pip，这里我们要安装pip

curl https://bootstrap.pypa.io/get-pip.py -oget-pip.py

python get-pip.py

[root@localhost ~]# pip -V

pip 19.3.1 from/usr/lib/python2.7/site-packages/pip (python 2.7)

2.1.2.2. 安装基础环境

yuminstallgcc glibc-develzlib-devel rpm-build openssl-deve -y

yuminstall -y python-devel

2.1.2.3. 安装ansible

安装指定版本的Ansible，这里安装2.8.5版本。如果需要其他版本，则修改后面的版本号即可。

pip install ansible==2.8.5

安装完成后检查版本：

ansible --version

2.1.2.4. Ansible默认配置文件

pip安装是没有config file文件的我们可以将官网的默认文件上传到服务器

官方文档:传送门

mkdir /etc/ansible

touch /etc/ansible/ansible.cfg

将官网的默认配置文件复制到/etc/ansible/ansible.cfg。

2.1.2.5. 使用pip安装jmespath

pip install jmespath

pip show jmespath

2.1.3. 安装sshpass

如果是需要走密码方式访问其他主机，而不是密码方式，则需要安装sshpass模块。

Redhat系Linux系统部署sshpass命令：

yum -y install sshpass

MacOS系统部署sshpass命令：

brew installhttps://raw.githubusercontent.com/kadwanev/bigboybrew/master/Library/Formula/sshpass.rb

2.2. 配置Ansible管理节点和主机的连接

其实就是配置从管理节点到远程主机之间基于key（无密码的方式）的SSH连接：

$ # 生成ssh key

$ ssh-keygen

$ # 拷贝ssh key到远程主机，ssh的时候就不需要输入密码了

$ ssh-copy-id remoteuser@remoteserver

$ # ssh的时候不会提示是否保存key

$ ssh-keyscan remote_servers >>~/.ssh/known_hosts

如果有很多远程主机，可以使用类似下面的命令来进行key复制。

for i in {1..7}; do ssh-copy-id -i~/.ssh/id_rsa.pub root@xxx$i.vpc.cloudera.com ; done

检查所有集群的所有机器都已经配置了互信，从客户端可以不用输入密码访问所有的机器：

2.3. 配置Ansible

2.3.1. 配置Ansible的配置文件

创建Ansible的配置文件：

vi ~/.ansible.cfg

[defaults]

# disable key check if host is not initially in'known_hosts'

host_key_checking = False

[ssh_connection]

# if True, make ansible use scp if the connectiontype is ssh (default is sftp)

scp_if_ssh = True

2.3.2. 配置CDH集群hosts的Inventory 文件

根据集群的实际情况进行调整

vi ~/ansible_hosts

[scm_server]

jacky-1.vpc.cloudera.com

[db_server]

jacky-1.vpc.cloudera.com

[krb5_server]

jacky-1.vpc.cloudera.com

[utility_servers:children]

scm_server

db_server

krb5_server

[edge_servers]

jacky-2.vpc.cloudera.com host_template=HostTemplate-Edgerole_ref_names=HDFS-HTTPFS-1

[master_servers]

jacky-3.vpc.cloudera.com host_template=HostTemplate-Master1

jacky-4.vpc.cloudera.com host_template=HostTemplate-Master2

jacky-5.vpc.cloudera.com host_template=HostTemplate-Master3

[worker_servers]

jacky-6.vpc.cloudera.com

jacky-7.vpc.cloudera.com

jacky-8.vpc.cloudera.com

[worker_servers:vars]

host_template=HostTemplate-Workers

[cdh_servers:children]

utility_servers

edge_servers

master_servers

worker_servers

2.4. 下载Cloudera-playbook

通过git命令下载Cloudera-playbook程序介质：

git clone https://github.com/cloudera/cloudera-playbook.git

2.5. 运行playbook

通过Ansible客户端运行playbook，部署集群

ansible-playbook -i ~/ansible_hostscloudera-playbook/site.yml

通过该playbook部署的集群，是一个开启了Kerberos、配置了安全并启用组件高可靠的集群。

……

这是可以通过访问CM来查看刚刚部署的CDH集群了。

2.6. 集群截图

2.6.1. 进入系统

使用CM的默认管理员账号(admin/admin)进入系统

发现部署任务还没有彻底完成，有部分工作还在继续，如下图：

等待集群部署完成。

2.6.2. 主界面

点击ClouderaManager图标进入主界面，可以看到HDFS有一个橘黄色的预警，这是因为纠删码的配置导致的，可以进入配置将纠删码的配置关闭即可。

2.6.3. 高可用查看

2.6.3.1. HDFS高可用

点击HDFS->实例，查看当前部署的角色，可以看到两个NameNode，HDFS已经配置了高可用。

2.6.3.2. YARN高可用

点击YARN->实例，查看当前部署的角色，可以看到两个ResourceManager角色，YARN已经配置了高可用。

2.6.3.3. HBase高可用

点击HBase->实例，查看当前部署的角色，可以看到三个Master角色，Hbase已经配置了高可用。

2.6.3.4. HMS高可用

点击Hive->实例，查看当前部署的角色，可以看到2个Hive Metastore Server角色，Hive已经配置了高可用。

2.6.3.5. Sentry高可用

点击Sentry->实例，查看当前部署的角色，可以看到2个Sentry Server角色，Sentry已经配置了高可用。

2.6.3.6. 安全确认

点击管理->安全，查看安全配置，可以看到集群已经超过启用了Kerberos。

2.6.3.7. 查看Kerberos配置

点击管理->安全->Kerberos凭据->配置，可以看到使用的是MIT的KDC，配置的Realm为MIT.EXAMPLE.COM

2.7. 调整playbook

2.7.1. 调整inventory文件

通过调整inventory文件，来调整每种功能部署的hosts。尤其是utility_servers, edge_servers和worker_servers的实际规划。

2.7.2. 调整CDH组件

调整使用的CDH组件，这个需要roles/cdh/templates/ host.j2文件。通过调整该文件，来调整每个节点的CDH功能分布。类似下文：

[ {

"refName": "HostTemplate-Gateway",

"cardinality": 1,

"roleConfigGroupsRefNames": [

"HDFS-1-GATEWAY-BASE",

"HIVE-1-GATEWAY-BASE",

"SPARK_ON_YARN-1-GATEWAY-BASE",

"YARN-1-GATEWAY-BASE" ]

}, {

"refName": "HostTemplate-Edge",

"cardinality": 1,

"roleConfigGroupsRefNames": [

"HDFS-1-HTTPFS-BASE",

"HBASE-1-HBASERESTSERVER-BASE",

"HBASE-1-HBASETHRIFTSERVER-BASE",

"HIVE-1-HIVESERVER2-BASE",

"HUE-1-HUE_SERVER-BASE",

"HUE-1-HUE_LOAD_BALANCER-BASE",

{% if(krb5_kdc_type is defined) and (krb5_kdc_type != 'none') %}

"HUE-1-KT_RENEWER-BASE",

{% endif%}

"OOZIE-1-OOZIE_SERVER-BASE",

"SPARK_ON_YARN-1-GATEWAY-BASE",

"YARN-1-GATEWAY-BASE" ]

}, {

"refName": "HostTemplate-Master1",

"cardinality": 1,

"roleConfigGroupsRefNames": [

"HBASE-1-MASTER-BASE",

"HDFS-1-NAMENODE-BASE",

"HDFS-1-FAILOVERCONTROLLER-BASE",

"HDFS-1-JOURNALNODE-BASE",

"HIVE-1-HIVEMETASTORE-BASE",

"SENTRY-1-SENTRY_SERVER-BASE",

"YARN-1-RESOURCEMANAGER-BASE",

"ZOOKEEPER-1-SERVER-BASE" ]

}, {

"refName": "HostTemplate-Master2",

"cardinality": 1,

"roleConfigGroupsRefNames": [

"HBASE-1-MASTER-BASE",

"HDFS-1-NAMENODE-BASE",

"HDFS-1-FAILOVERCONTROLLER-BASE",

"HDFS-1-JOURNALNODE-BASE",

"HIVE-1-HIVEMETASTORE-BASE",

"SENTRY-1-SENTRY_SERVER-BASE",

"YARN-1-RESOURCEMANAGER-BASE",

"ZOOKEEPER-1-SERVER-BASE" ]

}, {

"refName": "HostTemplate-Master3",

"cardinality": 1,

"roleConfigGroupsRefNames": [

"HBASE-1-MASTER-BASE",

"HDFS-1-BALANCER-BASE",

"HDFS-1-JOURNALNODE-BASE",

"IMPALA-1-CATALOGSERVER-BASE",

"IMPALA-1-STATESTORE-BASE",

"SPARK_ON_YARN-1-SPARK_YARN_HISTORY_SERVER-BASE",

{% ifcluster_version_cdh_major < '6' %}

"SPARK2_ON_YARN-1-SPARK2_YARN_HISTORY_SERVER-BASE",

{% endif%}

"YARN-1-JOBHISTORY-BASE",

"ZOOKEEPER-1-SERVER-BASE" ]

}, {

"refName": "HostTemplate-Workers",

"cardinality": 3,

"roleConfigGroupsRefNames": [

"HBASE-1-REGIONSERVER-BASE",

"HDFS-1-DATANODE-BASE",

"HIVE-1-GATEWAY-BASE",

"IMPALA-1-IMPALAD-BASE",

"SPARK_ON_YARN-1-GATEWAY-BASE",

{% ifcluster_version_cdh_major < '6' %}

"SPARK2_ON_YARN-1-GATEWAY-BASE",

{% endif%}

"YARN-1-NODEMANAGER-BASE" ]

} ]

2.7.3. 调整Kerberos配置

不同的客户会有不同的Kerberos配置，如果不需要Kerberos部分，则需要在site.yml文件中将kerberos部分去掉。

- name: Install MIT KDC Server

hosts:krb5_server

roles:

-krb5/server

tags: krb5

- name: Install MIT KDC Client

hosts: all

roles:

- {role: krb5/client, when: (krb5_kdc_type is defined) and (krb5_kdc_type !='none') }

tags: krb5

如果用户需要Kerberos，而是配置不同的信息，则需要调整group_vars/all中的Kerberos信息：

krb5_realm: MIT.EXAMPLE.COM

# 'Active Directory', 'MIT KDC', or 'none' todisable security

krb5_kdc_type: MIT KDC

krb5_kdc_admin_user: "cloudera-scm/admin@{{krb5_realm }}"

krb5_kdc_admin_passwd: changeme

krb5_kdc_master_passwd: changeme

# krb5_realm: AD.EXAMPLE.COM

# krb5_kdc_type: Active Directory

# krb5_kdc_host: my.ad.example.com

# krb5_kdc_admin_user: "admin@{{ krb5_realm}}"

# krb5_kdc_admin_passwd: changeme

# krb5_ad_suffix: "OU=Clusters,DC=ad,DC=example,DC=com"

# krb5_ad_delete_on_regenerate: true

# krb5_cm_managed_krb5_conf: false

# krb5_enc_types: "aes256-cts aes128-ctsrc4-hmac"

ad_domain: "{{ krb5_realm.lower() }}"

kdc: w2k8-1.ad.sec.example.com

computer_ou: OU=computer_hosts,OU=hadoop_prd,DC=ad,DC=sec,DC=example,DC=com

ldap_group_search_base:OU=groups,OU=hadoop_prd,DC=ad,DC=sec,DC=example,DC=com

ldap_user_search_base:DC=ad,DC=sec,DC=example,DC=com?subtree?(memberOf=CN=hadoop_users,OU=groups,OU=hadoop_prd,DC=ad,DC=sec,DC=example,DC=com)

override_gid: 999999

ad_site: Default-First-Site-Name

2.7.4. 配置CDH版本

目前程序默认是使用CDH6.3.0版本，如果需要调整版本，则需要调整group_vars/all中的cluster_version_cdh信息

##------------------------------------------------------------------------------------------------------------

## Cluster software installation options

##------------------------------------------------------------------------------------------------------------

# Version of CDH to install

cluster_version_cdh: 6.3.0

#cluster_version_cdh: 7.x

# Version of Cloudera Manager to install

cluster_version_cm: "{{ cluster_version_cdh }}"

2.7.5. 配置yum源

由于国内网络问题，基本上不可能在线部署CDH集群，需要在本地制作yum源。程序默认使用的是Cloudera公司的repository，因此需要将其调整为本地的yum源来进行部署。

创建本地的yum源和CDH parcel库的方法参考CDH集群部署手册，这里主要讲如果调整Cloudera playbook的内容。需要调整group_vars/all中的configs_by_version信息。主要是配置 scm_repo_url、scm_repo_gpgkey、scm_parcel_repositories、scm_csds和scm_prepare_database_script_path的信息。例如：

"6":

scm_repo_url: "{{cloudera_archive_protocol }}{{ cloudera_archive }}/cm6/{{ cluster_version_cm}}/redhat{{ ansible_distribution_major_version }}/yum"

scm_repo_gpgkey: "{{ cloudera_archive_protocol }}{{cloudera_archive }}/cm6/{{ cluster_version_cm }}/redhat{{ansible_distribution_major_version }}/yum/RPM-GPG-KEY-cloudera"

scm_parcel_repositories:

-"{{ cloudera_archive_protocol }}{{ cloudera_archive }}/cdh6/{{cluster_version_cdh }}/parcels"

scm_prepare_database_script_path:"/opt/cloudera/cm/schema/scm_prepare_database.sh"

3. 问题

3.1. Ansible 2.9.0版本bug

Ansible2.9.0版本在部署Cloudera Playbook时会出现各种各样莫名其妙的bug，例如Kerberos启动问题、no attribute ‘_loader’”等。

因为Ansible2.9.0版本有bug，该版本在epel-release11/12中，因此在安装前检查epel-release的版本，可以使用10版本。或者使用pip等方式来安装对应的版本。

3.2. MacOS部署错误

Ansible客户端如果是安装在MacOS系统上，则很有可能看到下面这个错误：

TASK [scm : Prepare CMS template] ***********************************************************************************

fatal:[xuefeng-1.vpc.cloudera.com]: FAILED! => {"msg": "Failed toget information on remote file (/tmp/cms_base.json): sudo: a password isrequiredn"}

目前这个问题还没有解决方案。建议客户端不要使用Mac系统，而是使用Redhat的Linux系统。

3.3. 出错检查方法

如果执行playbook报错，则使用-vvv参数来打印执行的详细信息，只有—tag来重复执行报错的部分，例如：

ansible-playbook -i ansible_hostscloudera-playbook/site.yml -vvv --tagscluster_template

执行的结果样例如下：

……

从消息上是节点上少安装了jmespath，这是因为在Ansible客户端机器上jmespath没有正确配置造成的。

检查是否安装了jmespath

pip show jmespath

可以看出Ansible客户端机器上没有安装jmespath，因此安装jmespath并验证jmespath是否可以正常使用。

然后进入python，检查是否可以正常使用jmespath

没有报错，可以继续进行了。

4. 参考资料

Ansible中文权威指南：http://www.ansible.com.cn/
来源：https://www.cnblogs.com/liuhongru/p/11174224.html
https://github.com/cloudera/cloudera-playbook.git

hbase 数据库 sql TDSQLMySQL版 ssh

0 人点赞