从零到一：Ansible自动化运维实战指南（含避坑指南）

从零到一：Ansible自动化运维实战指南（含避坑指南）

1. 为什么选择Ansible作为自动化运维工具

在当今云计算和DevOps盛行的时代，自动化运维已成为企业IT基础设施管理的标配。Ansible作为一款开源的自动化运维工具，凭借其独特的优势在众多工具中脱颖而出：

• 无代理架构：无需在被管理节点安装任何客户端，通过SSH协议即可完成所有操作
• 幂等性设计：相同操作重复执行不会产生意外结果，确保操作安全可靠
• YAML语法：采用人类可读的YAML语言编写playbook，学习曲线平缓
• 模块化设计：提供超过3000个内置模块，覆盖各类运维场景
• 跨平台支持：可管理Linux、Windows、网络设备等多种环境

实际案例：某电商平台在"双十一"大促前，使用Ansible在2小时内完成了200台服务器的应用部署和配置变更，而传统手动方式需要至少8小时。

2. 环境准备与安装配置

2.1 基础环境要求

2.2 安装Ansible

EPEL源安装（推荐）：

# CentOS/RHEL sudo yum install epel-release sudo yum install ansible # Ubuntu/Debian sudo apt update sudo apt install software-properties-common sudo apt-add-repository --yes --update ppa:ansible/ansible sudo apt install ansible

pip安装（获取最新版本）：

sudo pip install ansible

验证安装：

ansible --version # 应输出类似：ansible 2.9.6

2.3 基础配置优化

编辑/etc/ansible/ansible.cfg进行关键配置优化：

[defaults] # 禁用SSH主机密钥检查 host_key_checking = False # 设置并行进程数 forks = 20 # 启用日志记录 log_path = /var/log/ansible.log # 设置超时时间 timeout = 30

提示：生产环境中建议配置SSH密钥认证，避免每次执行都需要输入密码

3. 核心概念与实战演练

3.1 Inventory管理

主机清单文件（默认/etc/ansible/hosts）示例：

[web_servers] web1.example.com ansible_port=2222 web2.example.com [db_servers] db1.example.com db2.example.com [cluster:children] web_servers db_servers [cluster:vars] ansible_user=admin ansible_ssh_private_key_file=~/.ssh/cluster_key

动态Inventory：对于云环境，可以使用动态Inventory脚本自动获取主机列表：

ansible -i aws_ec2.yaml all -m ping

3.2 Ad-Hoc命令实战

Ad-Hoc命令适合快速执行简单任务：

# 检查所有主机连通性 ansible all -m ping # 并行重启web服务器组 ansible web_servers -a "/sbin/reboot" -f 10 # 收集系统信息 ansible all -m setup -a "filter=ansible_distribution*" # 批量创建用户 ansible all -m user -a "name=deploy comment='Deployment User' uid=2000"

3.3 Playbook开发规范

一个结构良好的playbook示例：

--- - name: 部署Nginx Web服务器 hosts: web_servers become: yes vars: nginx_version: 1.18.0 worker_processes: "{{ ansible_processor_vcpus * 2 }}" tasks: - name: 安装依赖包 yum: name: ['gcc', 'pcre-devel', 'openssl-devel'] state: present - name: 下载Nginx源码 get_url: url: "http://nginx.org/download/nginx-{{ nginx_version }}.tar.gz" dest: "/tmp/nginx-{{ nginx_version }}.tar.gz" - name: 解压源码包 unarchive: src: "/tmp/nginx-{{ nginx_version }}.tar.gz" dest: "/usr/src/" remote_src: yes - name: 编译安装Nginx command: > ./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module chdir=/usr/src/nginx-{{ nginx_version }} register: configure_result changed_when: false - name: 启动Nginx服务 service: name: nginx state: started enabled: yes notify: reload nginx handlers: - name: reload nginx service: name: nginx state: reloaded

4. 高级技巧与避坑指南

4.1 性能优化策略

• 开启SSH管道：在ansible.cfg中设置ssh_args = -o ControlMaster=auto -o ControlPersist=60s
• 使用异步任务：对于长时间运行的任务

  - name: 长时间运行的任务 command: /usr/bin/long_running_operation async: 3600 poll: 0 register: long_task

• 任务分片执行：使用serial关键字控制分批执行

  - hosts: web_servers serial: 3 # 每次3台并行

4.2 常见问题排查

问题1：模块执行失败但实际已成功

解决方案：使用changed_when自定义判断条件

- name: 检查服务状态 command: systemctl is-active nginx register: nginx_status changed_when: nginx_status.stdout != "active"

问题2：变量未定义导致playbook中断

解决方案：设置默认值

vars: app_port: "{{ custom_port | default(8080) }}"

问题3：网络不稳定导致连接超时

解决方案：调整超时设置

[defaults] timeout = 60

4.3 安全最佳实践

• 使用Ansible Vault加密敏感数据：

  ansible-vault create secrets.yml ansible-playbook --ask-vault-pass site.yml

• 最小权限原则：为Ansible创建专用账户，配置sudo权限

  # /etc/sudoers.d/ansible ansible ALL=(ALL) NOPASSWD: ALL

• 审计日志：启用详细日志并定期审查

  [defaults] log_path = /var/log/ansible.log

5. 企业级应用场景

5.1 多环境管理策略

# inventory/ # ├── production # ├── staging # └── development # ansible.cfg [defaults] inventory = inventory/$ENVIRONMENT

5.2 CI/CD集成

GitLab CI示例：

deploy: stage: deploy script: - mkdir -p ~/.ssh - echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_rsa - chmod 600 ~/.ssh/id_rsa - ansible-playbook -i inventory/production deploy.yml only: - master

5.3 监控与告警集成

- name: 部署Prometheus监控 hosts: monitoring_servers tasks: - name: 安装Prometheus ansible.builtin.package: name: prometheus state: present - name: 配置Ansible作业监控 template: src: templates/ansible_jobs.rules.j2 dest: /etc/prometheus/rules.d/ansible_jobs.rules - name: 重启Prometheus systemd: name: prometheus state: restarted

6. 扩展与生态系统

6.1 常用社区角色

安装社区角色：

ansible-galaxy install geerlingguy.nginx

6.2 自定义模块开发

Python模块示例library/my_module.py：

#!/usr/bin/python from ansible.module_utils.basic import AnsibleModule def main(): module = AnsibleModule( argument_spec=dict( path=dict(required=True, type='str'), content=dict(required=True, type='str') ) ) path = module.params['path'] content = module.params['content'] try: with open(path, 'w') as f: f.write(content) module.exit_json(changed=True, msg="File created successfully") except Exception as e: module.fail_json(msg=f"Failed to create file: {str(e)}") if __name__ == '__main__': main()

使用自定义模块：

- name: 使用自定义模块 my_module: path: /tmp/testfile content: "Hello Ansible"

7. 实战案例：全栈应用部署

7.1 项目结构

webapp-deploy/ ├── inventory/ │ ├── production │ └── staging ├── group_vars/ │ ├── all/ │ │ └── vars.yml │ └── web/ │ └── vars.yml ├── roles/ │ ├── common/ │ ├── nginx/ │ ├── app_server/ │ └── database/ ├── site.yml └── requirements.yml

7.2 多角色协作部署

site.yml示例：

--- - name: 基础环境配置 hosts: all roles: - role: common tags: always - name: 数据库部署 hosts: db_servers roles: - role: database tags: database - name: 应用服务部署 hosts: app_servers roles: - role: app_server tags: app - name: Web前端部署 hosts: web_servers roles: - role: nginx tags: web

7.3 蓝绿部署实现

- name: 蓝绿部署切换 hosts: localhost tasks: - name: 获取当前活跃环境 command: aws elbv2 describe-target-groups register: tg_info - name: 确定新环境 set_fact: new_env: "{% if 'blue' in tg_info.stdout %}green{% else %}blue{% endif %}" - name: 注册新环境到负载均衡 command: > aws elbv2 register-targets --target-group-arn {{ target_group_arn }} --targets Id={{ new_env }}.example.com - name: 等待新环境健康检查 command: > aws elbv2 wait target-in-service --target-group-arn {{ target_group_arn }} --targets Id={{ new_env }}.example.com - name: 从负载均衡移除旧环境 command: > aws elbv2 deregister-targets --target-group-arn {{ target_group_arn }} --targets Id={{ old_env }}.example.com