通用技巧
这些概念适用于所有 Ansible 活动和工件。
保持简单
只要有可能,就简单地做事。
仅在必要时使用高级功能,并选择最适合您用例的功能。例如,您可能不需要同时使用 vars、vars_files、vars_prompt 和 --extra-vars,同时还使用外部清单文件。
如果事情感觉复杂,那它可能就是复杂的。花时间寻找更简单的解决方案。
使用版本控制
将您的 playbook、角色、清单和变量文件保存在 git 或其他版本控制系统中,并在您进行更改时向存储库提交有意义的注释。版本控制为您提供了一个审计跟踪,描述了您何时以及为何更改自动化基础设施的规则。
自定义 CLI 输出
您可以使用回调插件更改 Ansible CLI 命令的输出。
避免依赖配置的内容
为了确保您的自动化项目易于理解、修改和与他人共享,您应该避免依赖于配置的内容。例如,与其将 ansible.cfg 作为项目的根目录引用,不如使用魔术变量(如 playbook_dir 或 role_name)来确定相对于项目目录中已知位置的路径。这有助于保持自动化内容的灵活性、可重用性和易于维护。有关更多信息,请参阅特殊变量。
Playbook 技巧
这些技巧有助于使 playbook 和角色更易于阅读、维护和调试。
使用空白
大量使用空格,例如,每个块或任务前留空行,使 playbook 易于扫描。
始终命名 plays、tasks 和 blocks
Play、task 和 block 的 - name: 是可选的,但非常有用。在其输出中,Ansible 显示它运行的每个命名实体的名称。选择描述每个 play、task 和 block 的作用和原因的名称。
始终提及状态
对于许多模块,state 参数是可选的。
不同的模块对 state 有不同的默认设置,并且某些模块支持多个 state 设置。显式设置 state: present 或 state: absent 使 playbook 和角色更清晰。
使用注释
即使有任务名称和显式状态,有时 playbook 或角色(或清单/变量文件)的一部分也需要更多解释。添加注释(任何以 # 开头的行)可以帮助其他人(以及将来可能的您自己)理解 play 或任务(或变量设置)的作用、方式和原因。
使用完全限定的集合名称
使用完全限定的集合名称 (FQCN),以避免在每个任务中搜索正确模块或插件时出现歧义。
对于内置模块和插件,使用 ansible.builtin 集合名称作为前缀,例如 ansible.builtin.copy。
清单技巧
这些技巧有助于保持您的清单井井有条。
在云中使用动态清单
对于维护基础设施规范列表的云提供商和其他系统,使用动态清单来检索这些列表,而不是手动更新静态清单文件。对于云资源,您可以使用标签来区分生产环境和预发布环境。
按功能分组清单
一个系统可以属于多个组。请参阅如何构建清单和模式:定位主机和组。如果您创建的组的名称是组中节点的功能,例如 webservers 或 dbservers,您的 playbook 可以根据功能定位机器。您可以使用组变量系统分配特定于功能的变量,并设计 Ansible 角色来处理特定于功能的用例。请参阅角色。
分离生产和预发布清单
您可以使用单独的清单文件或目录来分隔生产环境与开发、测试和预发布环境。这样,您可以使用 -i 来选择目标。将所有环境保留在一个文件中可能会导致意外!例如,在使用清单时,清单中使用的所有 Vault 密码都需要可用。如果清单包含生产和开发环境,则使用该清单的开发人员将能够访问生产机密。
安全地显示 Vaulted 变量
您应该使用 Ansible Vault 加密敏感或机密变量。但是,加密变量名称和变量值使得很难找到值的来源。为了避免这种情况,您可以使用 ansible-vault encrypt_string 单独加密变量,或添加以下间接层,以使变量名称可访问(例如通过 grep),而不会暴露任何机密
创建一个名为组的
group_vars/子目录。在此子目录中,创建两个名为
vars和vault的文件。在
vars文件中,定义所有需要的变量,包括任何敏感变量。将所有敏感变量复制到
vault文件,并在这些变量前加上vault_。使用 jinja2 语法调整
vars文件中的变量,以指向匹配的vault_变量:db_password: "{{ vault_db_password }}"。加密
vault文件以保护其内容。在 playbook 中使用
vars文件中的变量名称。
运行 playbook 时,Ansible 会在未加密的文件中查找变量,这会将敏感变量值从加密的文件中提取出来。变量和 vault 文件及其名称的数量没有限制。
请注意,在清单中使用此策略仍然需要所有 vault 密码都可用(例如,对于 ansible-playbook 或 AWX/Ansible Tower)在与该清单一起运行时。
执行技巧
这些技巧适用于使用 Ansible,而不是 Ansible 工件。
使用执行环境
使用称为执行环境的可移植容器映像来降低复杂性。
先在预发布环境中尝试
在生产环境中推出更改之前,先在暂存环境中测试更改始终是一个好主意。您的环境不必大小相同,您可以使用组变量来控制环境之间的差异。您还可以使用 --syntax-check 标志检查暂存环境中的任何语法错误,如下例所示:
ansible-playbook --syntax-check
批量更新
使用 serial 关键字来控制批次中一次更新多少台机器。请参阅 控制任务运行的位置:委托和本地操作。
处理操作系统和发行版差异
组变量文件和 group_by 模块协同工作,帮助 Ansible 在需要不同设置、软件包和工具的各种操作系统和发行版上执行。 group_by 模块会创建与特定条件匹配的主机的动态组。此组不需要在清单文件中定义。此方法允许您在不同的操作系统或发行版上执行不同的任务。
例如,以下 playbook 根据操作系统名称将所有系统分类到动态组中:
- name: Talk to all hosts just so we can learn about them
hosts: all
tasks:
- name: Classify hosts depending on their OS distribution
ansible.builtin.group_by:
key: os_{{ ansible_facts['distribution'] }}
后续的 playbook 可以将这些组用作 hosts 行上的模式,如下所示:
- hosts: os_CentOS
gather_facts: False
tasks:
# Tasks for CentOS hosts only go in this play.
- name: Ping my CentOS hosts
ansible.builtin.ping:
您还可以在组变量文件中添加特定于组的设置。在以下示例中,CentOS 机器的 asdf 值设置为 ‘42’,而其他机器则设置为 ‘10’。您还可以使用组变量文件将角色应用于系统以及设置变量。
---
# file: group_vars/all
asdf: 10
---
# file: group_vars/os_CentOS.yml
asdf: 42
注意
所有三个名称必须匹配:group_by 任务创建的名称,后续 playbook 中模式的名称,以及组变量文件的名称。
当您只需要特定于操作系统的变量,而不需要任务时,可以使用相同的设置与 include_vars 一起使用:
- name: Use include_vars to include OS-specific variables and print them
hosts: all
tasks:
- name: Set OS distribution dependent variables
ansible.builtin.include_vars: "os_{{ ansible_facts['distribution'] }}.yml"
- name: Print the variable
ansible.builtin.debug:
var: asdf
这会从 group_vars/os_CentOS.yml 文件中提取变量。
另请参阅
- YAML 语法
了解 YAML 语法
- 使用 Playbook
回顾基本的 Playbook 功能
- 集合索引
浏览现有的集合、模块和插件
- 您是否应该开发一个模块?
了解如何通过编写自己的模块来扩展 Ansible
- 模式:定位主机和组
了解如何选择主机
- 沟通
有疑问?需要帮助?想分享您的想法?请访问 Ansible 通信指南