Inspiriert durch die Artikel von Ricardo Geradi [1] und Alex Callejas [3] schreibe ich diesen, um zu erklären, wie mithilfe von Ansible eine Labor-Umgebung bestehend aus einer oder mehreren virtuellen Maschinen (VMs) auf einem KVM-Hypervisor provisioniert werden kann.
Dabei handelt es sich weniger um ein Tutorial, sondern mehr um eine exemplarische Beschreibung einer möglichen Vorgehensweise, die euch als Vorlage für die eigene Umgebung dienen kann.
Ich gehe nicht darauf ein, wie KVM oder Ansible installiert werden. Hierzu verweise ich auf die Dokumentation der jeweiligen Projekte und der verwendeten Linux-Distributionen. Unter Punkt [8] und [9] findet ihr die Links, wo ich die hier vorgestellte Ansible-Rolle veröffentlicht habe.
Motivation
Um Anwendungen zu testen, benötigt man in der Regel ein Betriebssystem, auf welchem diese ausgeführt werden können. Ein Betriebssystem läuft dieser Tage meist innerhalb einer virtuellen Maschine (VM). Um bei Tests stets gleiche Rahmenbedingungen zu haben, wird empfohlen, für jeden Test eine neue VM mit einer definierten Konfiguration zu provisionieren, die geplanten Tests durchzuführen, die Ergebnisse zu sichern und die VM zu dekommissionieren.
Möchte man Infrastrukturdienste testen, werden häufig gleich mehrere VMs benötigt. Diese werden auch als Labor-Umgebung bezeichnet.
Um nicht unnötig Zeit mit der Provisionierung der VMs zu verlieren — immerhin möchte man ja seine Anwendungen bzw. Dienste testen — bietet es sich an, diesen Prozess zu automatisieren.
Doch warum mit Ansible und nicht mit [hier Lieblings-Werkzeug eurer Wahl einsetzen]?
Viele Wege führen nach Rom. Und es gibt vermutlich ähnlich viele Werkzeuge, um eine Labor-Umgebung in KVM zu provisionieren. Ich habe mich in diesem Fall für Ansible entschieden, da:
- Ich fast täglich damit arbeite.
- Mit
ansible-galaxy role initerstellte Rollen meiner bescheidenen Meinung nach (mbMn) eine schöne Struktur zur Organisation des Codes vorgeben. - Mit
ansible-vaultein Werkzeug dabei ist, um Dateien mit sensiblen Informationen zu verschlüsseln und diese im weiteren Verlauf einfach zu nutzen. - Ich meine YAML-Dateien nächstes Jahr leichter lesen und verstehen kann als meine Shell-Skripte.
- Ich in einem zukünftigen Artikel zeigen möchte, wie man mit Ansible eine Labor-Umgebung in einem VMware vSphere Cluster provisioniert.
Umgebung
KVM-Hypervisor: Debian 11 Bullseye
Update 2022-04-23: Seit heute wird auch RHEL 9 als KVM-Hypervisor unterstützt.
Die .qcow2-Image-Dateien für die VMs werden auf dem KVM-Hypervisor im Verzeichnis /var/lib/libvirt/images/ vorgehalten.
Getestete Ansible Versionen:
- ansible 2.10.8 ( auf Debian 11 Bullseye)
- ansible [core 2.12.1] (auf Fedora 35)
Die Verzeichnisstruktur für meine Ansible-Umgebung entspricht der aus dem Artikel Linux-Benutzerkonten mit Ansible verwalten, wie sie im dortigen Abschnitt Vorbereitung beschrieben ist.
Die im Laufe dieses Artikels provisionierte Labor-Umgebung wird aus einer RHEL-7 und einer RHEL-8-VM bestehen. Selbstverständlich ist es möglich, durch einfache Anpassungen weitere VMs sowie andere Linux-Distributionen zu provisionieren.
Vorarbeit
Ricardo Geradi [1] und Alex Callejas [3] beziehen in ihren Artikeln die qcow2-Images, welche sie als Vorlage (engl. Template) für weitere VMs verwenden, aus diversen Internet-Quellen. Ich bin kein Freund davon, mir Images aus dem Netz zu laden und zu nutzen, für die es keine ordentliche Dokumentation gibt, mit welchen Paketen und Einstellungen diese erzeugt wurden.
Wer kauft schon gern die Katze im Sack? Daher erstelle ich mir meine Vorlagen selbst. Dazu führe ich für jede Distribution, für die ich eine Vorlage erstellen möchte, eine manuelle Installation durch. Um die Vorlagen unter all den anderen VMs leicht identifizieren zu können, gebe ich ihnen Namen wie z.B.:
- rhel7-template
- rhel8-template
- debian11-template
Dabei hinterlege ich beim User root bereits den SSH-Public-Key, den ich später mit Ansible verwenden möchte, um diese Systeme weiter zu konfigurieren. Dies tue ich zwar bisher. Es ist für die Verwendung der hier beschriebenen Rolle nicht erforderlich.
Möchte ich eine Vorlage aktualisieren, fahre ich die dazugehörige VM hoch, führe ein Paket-Update durch, fahre die VM wieder herunter und bin fertig. Dies mache ich in der Regel alle paar Monate, wenn mir das Paket-Update bei neu provisionierten VMs zu lange dauert und spätestens nach Erscheinen eines neuen Minor-Release.
Die Ansible-Rolle
Eine Ansible-Rolle wird mit dem Befehl ansible-galaxy role init role_name initialisiert. In meinem Fall sieht dies wie folgt aus:
$ ansible-galaxy role init kvm_provision_lab
- Role kvm_provision_lab was created successfully
$ tree kvm_provision_lab
kvm_provision_lab
├── defaults
│ └── main.yml
├── meta
│ └── main.yml
├── README.md
├── tasks
│ └── main.yml
├── templates
└── vars
└── main.ymlIn obiger Ausgabe fehlen die Verzeichnisse Files und Handlers. Diese hatte ich bereits gelöscht, da sie nicht benötigt werden. Die erstellte Verzeichnisstruktur kann, je nach verwendeter Version von ansible-galaxy, leicht unterschiedlich aussehen. Benötigt werden in diesem Beispiel nur die oben dargestellten Verzeichnisse und Dateien. Streng genommen können das Verzeichnis meta und die Datei README.md ebenfalls entfernt werden, wenn man nicht vorhat, die Rolle zu veröffentlichen. Ich behalte beide bei und nutze die Dateien zur Dokumentation der Rolle.
Variablen
Es ist gute Praxis alle Variablen, die von einer Ansible-Rolle verarbeitet werden, in der Datei defaults/main.yml zu dokumentieren und mit Standardwerten zu versehen. Genannte Datei hat hier folgenden Inhalt:
$ cat -n defaults/main.yml
1 ---
2 libvirt_pool_dir: "/var/lib/libvirt/images"
3 vm_root_pass: "123456"
4 ssh_key: "/path/to/ssh-pub-key"
5
6 guests:
7 test:
8 vm_ram_mb: 512
9 vm_vcpus: 1
10 vm_net: default
11 os_type: rhel7
12 file_type: qcow2
13 base_image_name: rhel7-template
14 vm_template: "rhel7-template"
15 second_hdd: false
16 second_hdd_size: ""
17 test2:
18 vm_ram_mb: 512
19 vm_vcpus: 1
20 vm_net: default
21 os_type: rhel8
22 file_type: qcow2
23 base_image_name: rhel8-template
24 vm_template: "rhel8-template"
25 second_hdd: true
26 second_hdd_size: "100M"In Zeile 2-4 werden Variablen definiert, die unabhängig von einzelnen VMs für die gesamte Rolle gelten. Dies sind der Speicherort für Image-Dateien, das Passwort für den Root-Benutzer der VMs, sowie der Pfad zu dem SSH-Public-Key, welcher beim Root-Benutzer hinterlegt werden soll.
In Zeile 6 beginnt ein sogenanntes Ansible-Dictionary (siehe [6]) namens guests. Es enthält als Keys die Namen der VMs (hier test und test2) und ordnet diesen diverse Variablen als Werte zu (z.B. vm_ram_mb). Die hierfür gewählten Strings müssen gültige Ansible-Variablen sein (siehe [7]).
Die einzelnen Variablen kurz erklärt:
vm_ram_mbgibt die Größe des Gast-Arbeitsspeichers in Megabyte (MB) an.vm_vcpusspezifiziert die Anzahl CPUs der VM.vm_netbezeichnet das KVM-Netzwerk, mit dem die VM verbunden wird.os_typewird aktuell noch nicht verwendet.file_typegibt den Typ der Image-Datei an.base_image_nameverweist auf den Namen der zu verwendenden Vorlage, die zuvor manuell installiert wurde.vm_templatereferenziert eine Jinja2-Template-Datei, welche wir uns im nächsten Abschnitt anschauen werden.second_hddkann auftrueoderfalsegesetzt werden und bestimmt, ob einer VM eine zweite Festplatte hinzugefügt werden soll.second_hdd_sizegibt die Größe der zweiten Festplatte in Megabyte (MB) an.
Führt man diese Rolle mit einem Playbook aus, ohne eigene Variablen zu definieren, werden also zwei VMs mit den Namen test und test2 sowie den obigen Parametern erstellt.
Um die Rolle möglichst flexibel einsetzen und wiederverwenden zu können, werden die gewünschten Labor-Umgebungen in separaten Dateien definiert. Für mein RHEL-Lab habe ich die benötigten Variablen in die Datei vars/rhel_lab.yml geschrieben, welche ich mit ansible-vault create vars/rhel_lab.yml erstellt habe. So bleiben mein gewähltes Passwort sowie Pfad zu und Name von meinem SSH-Public-Key vor neugierigen Blicken geschützt. Der Inhalt der Datei entspricht vom Aufbau her jedoch dem aus obigem Code-Block der defaults/main.yml. Wie die Datei rhel_lab.yml genutzt wird, wird in Abschnitt „Das Playbook“ erläutert.
Templates
In der KVM-Terminologie wird eine VM auch als Gast-Domain (engl. guest domain) bezeichnet. Die Definition der Gast-Domain kann in Form einer XML-Datei erfolgen. In diesem Abschnitt werde ich zeigen, wie man die Konfiguration einer bestehenden VM in eine XML-Datei schreibt, um diese anschließend als Template für neue VMs zu benutzen.
Im Vorfeld habe ich die VMs rhel7-template und rhel8-template manuell installiert. Diese werde ich nun nutzen, um daraus Jinja2-Templates abzuleiten, welche ich innerhalb der Rollen-Verzeichnisstruktur im Verzeichnis templates ablege. Der folgende Codeblock zeigt den Befehl exemplarisch für das rhel7-template:
$ sudo virsh dumpxml rhel7-template >templates/rhel7-template.xml.j2Das rhel8-template.xml.j2 wird auf die gleiche Weise erzeugt. Der Inhalt wird im Folgenden auszugsweise dargestellt:
<domain type='kvm'>
<name>rhel8-template</name>
<uuid>cb010068-fe32-4725-81e8-ec24ce237dcb</uuid>
<metadata>
<libosinfo:libosinfo xmlns:libosinfo="http://libosinfo.org/xmlns/libvirt/domain/1.0">
<libosinfo:os id="http://redhat.com/rhel/8-unknown"/>
</libosinfo:libosinfo>
</metadata>
<memory unit='KiB'>2097152</memory>
<currentMemory unit='KiB'>2097152</currentMemory>
<vcpu placement='static'>1</vcpu>
[...]
<devices>
<emulator>/usr/bin/qemu-system-x86_64</emulator>
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='/var/lib/libvirt/images/rhel8-template.qcow2'/>
<target dev='vda' bus='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
</disk>
<disk type='file' device='cdrom'>
<driver name='qemu' type='raw'/>
<target dev='hdb' bus='ide'/>
<readonly/>
<address type='drive' controller='0' bus='0' target='0' unit='1'/>
</disk>
[...]
<interface type='network'>
<mac address='52:54:00:0c:8d:05'/>
<source network='default'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
[...]
</devices>
</domain>Die Template-Dateien sind zu bearbeiten, um aktuell statisch konfigurierte Werte durch Variablen zu ersetzen. Die zu bearbeitenden Zeilen sehen anschließend wie folgt aus:
<name>{{ item.key }}</name><memory unit='MiB'>{{ item.value.vm_ram_mb }}</memory><vcpu placement='static'>{{ item.value.vm_vcpus }}</vcpu><source file='{{ libvirt_pool_dir }}/{{ item.key }}.qcow2'/><source network='{{ item.value.vm_net }}'/>
Darüber hinaus sind weitere Zeilen, welche für jede VM einmalig sind, aus den Template-Dateien zu löschen:
<uuid>...</uuid><mac address='...'/>
In der fertigen rhel8-template.xml.j2-Datei sieht es dann wie folgt aus:
<domain type='kvm'>
<name>{{ item.key }}</name>
<metadata>
<libosinfo:libosinfo xmlns:libosinfo="http://libosinfo.org/xmlns/libvirt/domain/1.0">
<libosinfo:os id="http://redhat.com/rhel/8-unknown"/>
</libosinfo:libosinfo>
</metadata>
<memory unit='MiB'>{{ item.value.vm_ram_mb }}</memory>
<vcpu placement='static'>{{ item.value.vm_vcpus }}</vcpu>
[...]
<devices>
<emulator>/usr/bin/qemu-system-x86_64</emulator>
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='{{ libvirt_pool_dir }}/{{ item.key }}.qcow2'/>
<target dev='vda' bus='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
</disk>
[...]
<interface type='network'>
<source network='{{ item.value.vm_net }}'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
[...]
</devices>
</domain>Solltet ihr zu diesem Abschnitt noch Fragen haben, weil z.B. etwas unverständlich ist, stellt diese bitte in den Kommentaren oder meldet euch per E-Mail. Ich werde den Abschnitt dann je nach Bedarf ergänzen.
Tasks
Als Nächstes stelle ich die Tasks vor, welche von dieser Rolle ausgeführt werden. Dabei beginne ich mit dem Inhalt der Datei tasks/main.yml, deren Inhalt ich nach dem folgenden Codeblock erläutern werde.
$ cat -n tasks/main.yml
1 ---
2 # tasks file for kvm_provision_lab
3 - name: Ensure requirements are in place
4 apt:
5 name:
6 - libguestfs-tools
7 - python3-libvirt
8 state: present
9 become: yes
10
11 - name: Get VMs list
12 community.libvirt.virt:
13 command: list_vms
14 register: existing_vms
15 changed_when: no
16
17 - name: Copy base image
18 copy:
19 dest: "{{ libvirt_pool_dir }}/{{ item.key }}.{{ item.value.file_type }}"
20 src: "{{ libvirt_pool_dir }}/{{ item.value.base_image_name }}.{{ item.value.file_type }}"
21 force: no
22 remote_src: yes
23 mode: 0660
24 group: libvirt-qemu
25 register: copy_results
26 with_dict: "{{ guests }}"
27
28 - name: Create VMs if not exist
29 include_tasks: create_vms.yml
30 when: "item.key not in existing_vms.list_vms"
31 with_dict: "{{ guests }}"Der Task in Zeile 3-9 stellt sicher, dass die notwendigen Voraussetzungen erfüllt sind, um sich mit libvirt verbinden zu können. Der Paketname libguestfs-tools existiert unter CentOS Stream, Debian und RHEL. Unter Fedora heißt das Paket guestfs-tools. Der Name muss an die entsprechende Distribution angepasst werden.
In Zeile 11-15 wird das Modul community.libvirt.virt verwendet, um die Liste der bereits existierenden VMs abzurufen und in der Variablen existing_vms zu speichern. Diese wird später genutzt, um nur dann eine VM zu provisionieren, wenn nicht bereits eine VM mit dem gleichen Namen existiert. Es ist quasi ein schmutziger Trick, um der Rolle ein wenig Idempotenz einzuhauchen. Da mit diesem Task nur Informationen abgefragt werden, jedoch keinerlei Änderungen vorgenommen werden, setzt man changed_when: no.
Das Copy-Modul in Zeile 17-26 kopiert die qcow2-Image-Dateien an den vorgesehenen Zielort und setzt Zugriffsrechte entsprechend. Zeile 19 sorgt dafür, dass die Zieldatei den Namen der neuen VM beinhaltet. Da das Copy-Modul bereits idempotent arbeitet, werden die Dateien nur kopiert, wenn das Ziel nicht bereits existiert. Das Ergebnis des Kopiervorgangs wird in copy_results gespeichert.
Der letzte Task führt die Task-Datei create_vms.yml für die VMs aus, die nicht bereits existieren. Dafür sorgt die Bedingung when: "item.key not in existing_vms.list_vms", die diesem Task zu Idempotenz verhilft. Das Playbook selbst hat folgenden Inhalt:
$ cat -n tasks/create_vms.yml
1 ---
2 - name: Configure the image
3 command: |
4 virt-customize -a {{ libvirt_pool_dir }}/{{ item.key }}.qcow2 \
5 --hostname {{ item.key }} \
6 --root-password password:{{ vm_root_pass }} \
7 --ssh-inject 'root:file:{{ ssh_key }}' \
8 --uninstall cloud-init --selinux-relabel
9 when: copy_results is changed
10
11 - name: Define VMs
12 community.libvirt.virt:
13 command: define
14 xml: "{{ lookup('template', '{{ item.value.vm_template }}.xml.j2') }}"
15
16 - name: Create second disk images if needed
17 command: |
18 qemu-img create -f {{ item.value.file_type }} \
19 {{ libvirt_pool_dir }}/{{ item.key }}-vdb.{{ item.value.file_type }} {{ item.value.second_hdd_size }}
20 become: yes
21 when: item.value.second_hdd|bool == true
22
23 - name : Attach second disk image to domain
24 command: |
25 virsh attach-disk {{ item.key }} \
26 --source "{{ libvirt_pool_dir }}/{{ item.key }}-vdb.{{ item.value.file_type }}" \
27 --target vdb \
28 --persistent
29 become: yes
30 when: item.value.second_hdd|bool == true
31
32 - name: Ensure VMs are startet
33 community.libvirt.virt:
34 name: "{{ item.key }}"
35 state: running
36 register: vm_start_results
37 until: "vm_start_results is success"
38 retries: 15
39 delay: 2Der Task in Zeile 2-9 konfiguriert den Inhalt der qcow2-Image-Datei. Die Bedingung when: copy_results is changed stellt sicher, dass dies nur passiert, wenn die Image-Datei zuvor an ihren Zielort kopiert wurde. Damit wird sichergestellt, dass nicht eine bereits vorhandene Image-Datei einer existierenden VM nochmals verändert wird. Der Task konfiguriert den Hostnamen, setzt das Root-Passwort und hinterlegt den SSH-Public-Key.
Der nächste Task ab Zeile 11 definiert/erstellt die neue VM aus den XML-Template-Dateien.
Die beiden Tasks in den Zeilen 16-30 fügen einer VM eine zweite Festplatte hinzu, wenn dies in defaults/main.yml bzw. vars/rhel_lab.yml entsprechend definiert wurde.
Der letzte Task sorgt schließlich dafür, dass die neu erstellten VMs eingeschaltet werden.
Das Playbook
Im Vergleich zu den Dateien mit den einzelnen Tasks fällt das Playbook eher kurz aus:
cat -n kvm_provision_rhel_lab.yml
1 ---
2 - name: Provision RHEL lab VMs
3 hosts: localhost
4 vars_files:
5 - roles/kvm_provision_lab/vars/rhel_lab.yml
6 tasks:
7 - name: Run role kvm_provision_lab
8 include_role:
9 name: kvm_provision_labIn Zeile 3 ist der KVM-Hypervisor anzugeben, auf dem die Rolle ausgeführt werden soll. Dies kann, wie in meinem Fall, der gleiche Host wie der Ansible-Control-Node sein.
In Zeile 4 und 5 wird die Datei geladen, welche die Variablen für die zu erstellende Laborumgebung enthält. Ohne diese Anweisung werden die Werte aus defaults/main.yml verwendet.
Abschließend wird die Ansible-Rolle inkludiert. Dies ist auch schon alles.
Zusammenfassung
Das Schreiben dieses Artikels hat deutlich länger gedauert als die Erstellung der eigentlichen Ansible-Rolle zur Erstellung einer Laborumgebung unter KVM.
Die einzelnen Abschnitte beschreiben das Vorgehen und die Bestandteile der Rolle im Detail. Ich hoffe, damit deren Funktionsweise deutlich gemacht zu haben.
Ich kann nun meine Labor-Umgebungen in Dateien wie rhel_lab.yml, debian_lab.yml, etc. definieren und die Rolle dazu verwenden, diese zu provisionieren. So steht mir in kurzer Zeit eine frische Testumgebung bereit. Und zwar jedes Mal aufs neue, wenn ich sie benötige.
Wenn euch dieser Artikel dabei hilft, eigene Labor-Umgebungen mithilfe von Ansible zu provisionieren freut mich dies umso mehr.
Quellen und weiterführende Links
- Build a lab in 36 seconds with Ansible. Ricardo Gerardi (Red Hat, Sudoer). Enable Sysadmin. 2021-10-22.
- 8 Linux virsh subcommands for managing VMs on the command line. Ricardo Gerardi (Red Hat, Sudoer). Enable Sysadmin. 2021-09.09.
- Build a lab in five minutes with three simple commands. Alex Callejas (Red Hat). Enable Sysadmin. 2021-08-20.
- Ansible Create KVM Guests
- community.libvirt.virt – Manages virtual machines supported by libvirt
- Ansible Dictionary Variables. URL: https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#dictionary-variables
- Creating valid variable names. URL: https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#creating-valid-variable-names
- Die Rolle kvm_provision_lab auf Galaxy: https://galaxy.ansible.com/Tronde/kvm_provision_lab
- Die Rolle kvm_provision_lab auf GitHub: https://github.com/Tronde/kvm_provision_lab