本节书摘来自华章出版社《Ansible权威指南》一书中的第一章，第1.5节，作者 李松涛　魏　巍　甘　捷 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.5　Ansible通信发展史

Ansible主推的卖点是其无需任何Daemon维护进程即可实现相互间的通信，且通信方式是基于业内统一标准的安全可靠的SSH安全连接。同时因为SSH是每台Linux主机系统必装的软件，所以Ansible无需在远程主机端安装任何额外进程，即可实现Agentless（无客户端），进而助力其实现去中心化的思想。尽管稳定、快速、安全的SSH连接是Ansible通信能力的核心，但SSH的连接效率一直被诟病，所以Ansible的通信方式和效率在过去的数年中也在不停地改变和提高。基于以上认识，我们先来了解Ansible SSH的工作机制，再来回顾其发展史。

1.Ansible SSH工作机制

Ansible执行命令时，通过其底层传输连接模块，将一个或数个文件，或者定义一个Play或Command命令传输到远程服务器tmp目录的临时文件，并在远程执行这些PlayComand命令，然后删除这些临时文件，同时回传整体命令执行结果。这一系列操作在未来的Ansible版本中会越来越简单、直接，同时快速、稳定、安全。通过了解其工作机制及其一直以来秉承的去中心化思想，我们可以总结，Ansible是非CS架构，自身没有Client端，其主要特点如下。

无客户端，只需安装SSH、Python即可，其中Python建议版本为2.6.6以上。

基于OpenSSH通信，底层基于SSH协议（Windows基于PowerShell）。

支持密码和SSH认证，因可通过系统账户密码认证或公私钥认证，所以整个过程简单、方便、安全。建议使用公私钥方式认证，因为密码认证方式的密码需明文写配置文件，虽然配置文件可加密，但会增加Ansible使用的复杂度。

支持Windows，但仅支持客户端，服务端必须是Linux系统。

如Ansible官方介绍，如上特性是希望实现以下最终目标：

Clear（简易）：YAML语法，Python语言编写，易于管理，API简单明了；

Fast（敏捷）：快速学习，设置简单，无需任何第三方软件；

Complete（全面）：配置管理、应用部署、任务编排等功能集于一身，丰富的内置模块满足日常功能所需；

Efficient（高效）：没有额外软件包消耗系统性能；

Secure（安全）：没有客户端，底层基于OpenSSH，保证通信的安全可靠性。

2.Ansible通信方式发展历程

Ansible底层基于安全可靠的SSH协议通信，但一直被人们诟病于其效率，通信功能作为Ansible最核心的功能之一，官方也一直在做改进。本节我们来了解Ansible通信发展史。

（1）Paramiko通信模块

最初，Ansible只使用Paramiko实现底层通信功能，但是Paramiko只是Python语法的一个第三方库，发展速度远不及OpenSSH。同时，Paramiko的性能和安全性较OpenSSH稍逊一筹（在笔者眼里）。

在后续发布的新版本中，Ansible仍继续兼容Paramiko，甚至在诸如RHEL 56等不支持ControlPersist（只在OpenSSH 5.6+版本中支持）的系统中封装其为默认通信模块。

（2）OpenSSH

从Ansible 1.3版本开始，Ansible默认使用OpenSSH连接实现各服务器间通信，以支持ControlPersist（持续管理）。Ansible从0.5版本起即支持OpenSSH功能，但直到1.3版本开始才将其设置为默认。

多数本地SSH配置参数，诸如Hosts、公私钥文件等是默认支持的，但如果希望通过非默认的22端口运行命令等操作，则需要在Inventory文件中配置ansible_ssh_port的值。OpenSSH相比Paramiko更快、更可靠。

（3）加速模式

据官网介绍：开启加速模式后Ansible通信速度有质的提升，是开启ControlPersist后的SSH的2～6倍，是Paramiko通信速度的10倍。

尽管加速模式对Ad-Hoc命令不友好，但是Playbook通过加速模式会收到更高的性能。加速模式抛弃SSH多次连接的方式，通过SSH初始化后，带着AES key的初始化连接信息通过特定的端口（默认5099，但可配置）执行命令传输文件。使用加速模式唯一需要的额外包是python-keyczar，如此一来，几乎所有的常规模块OpenSSHParamiko均工作在加速模式，但如下使用sudo的情况例外：

1）sudoers文件需要关闭其中的requiretty功能，注释掉或者设置每个用户的默认值为username !requiretty。sudoers的man文档说明如下。

requiretty

If set, sudo will only run when the user is logged in to a real tty.  When this flag is set, sudo can only be run from a login session and not via other means such as cron(8) or cgi-bin scripts.  This flag is off by default.

2）开启加速模块必须事先设置sudo文件NOPASSWD配置，禁用sudo后的PASSWORD交互认证过程。加速模式相对OpenSSH可以提供2～4倍的性能提升（尤其对于文件传输功能），在Playbook的应用中可以通过增加配置开关来实现。

---

- hosts all

accelerate true

accelerate_port 5099

[...]

其中的端口也可以在ansible.cfg中单独配置。

[accelerate]

accelerate_port = 5099

加速模式是现在已经被废弃的Fireball模式的进化版，类似于Ansible加速通信方式，但需控制机事先安装ZeroMQ服务（这与Ansible简单、无依赖、无Daemon的理念是相违背的），并且一点也不支持sudo操作。

（4）Faster OpenSSH in Ansible 1.5+

Ansible 1.5+版本中的OpenSSH有了非常大的改进，旧版本中实现方式是复制文件至远程服务器后运行，然后删除这些临时文件，而新版本的替代方案是通过OpenSSH发送执行命令，将所有操作附带在SSH连接过程中同步实现。该方式只在Ansible 1.5+版本有效，且需在etcansibleansible.cfg的[ssh_connection]区域开启pipelining=True功能。

关于加速模式我们还需要关注如下内容：

pipelining=True需结合sudo的requiretty配置方可生效，请确保etcsudoers的Defaults requiretty为注释状态。绝大多数现有流行系统默认开启该选项。

在Mac OSX、Ubuntu、Windows的Cygwin或其他流行OS最好选择5.6以上的OpenSSH版本，这些版本对ControlPersist有更友好的支持。

如Ansible运行的主机系统是RHEL或CentOS，然而希望升级当前OpenSSH到最新版本以支持FasterPersistent连接模式，可以通过yum update openssh升级最新版本。

本节内容可以通过如图1-1所示的Ansible通信方式发展史鱼骨图来概括，从最开始的Paramiko，后来初步演变为OpenSSH，加速模式官方推荐Pipelining方式。

在了解Ansible通信原理及发展史后，我们进一步学习Ansible自身的发展史。要知道，在Chef、Puppet、SaltStack、Fabric等自动化工具群雄争霸的市场背景下，Ansible依然能够杀出重围，在GitHub取得如此惊人成就，并且被红帽官方收购，其发展史不得不让人刮目相看。