如何在Linux下安装和使用Ansible？自动化运维的入门到进阶指南

安装Ansible最直接的方法是使用系统包管理器，如Ubuntu/Debian的apt或CentOS/RHEL的dnf，也可通过pip安装以支持跨平台或虚拟环境。安装后需配置inventory文件定义受管主机，随后可通过ad-hoc命令如ansible all -m ping测试连接。核心功能通过YAML格式的Playbook实现，如使用ansible.builtin.apt和ansible.builtin.service模块确保Nginx安装并运行，体现自动化部署优势。相比Shell脚本，Ansible具备幂等性、无代理架构、模块化设计和清晰的错误报告，更适合规模化运维。编写高效Playbook应遵循最佳实践：使用Roles组织代码、优先调用专用模块而非shell命令、合理利用变量提升灵活性、通过Handlers管理服务重启、用Tags和When实现选择性执行与条件控制。进阶用法包括动态清单（如aws_ec2.yml）自动同步云主机信息，避免静态维护IP列表；使用Ansible Vault加密敏感数据如密码和密钥；并将Ansible集成至CI/CD流程（如GitLab CI），实现从代码提交到生产部署的全自动化，显著提升发布效率与系统可靠性。

要在Linux上安装和使用Ansible，通常最直接的方法是利用你发行版的包管理器，比如Debian/Ubuntu系的

apt

yum

dnf

解决方案

安装Ansible其实挺简单的，但不同的Linux发行版会有些许差异。我个人更倾向于使用系统自带的包管理器，因为它能很好地处理依赖关系，也方便后续更新。

1. 安装Ansible

• 对于Ubuntu/Debian系： 通常，Ansible在默认的仓库里就能找到。

  sudo apt update
  sudo apt install ansible

  登录后复制

  有时候，如果需要最新版本或者遇到依赖问题，可以考虑添加PPA（Personal Package Archive）：

  sudo apt update
  sudo apt install software-properties-common
  sudo add-apt-repository --yes --update ppa:ansible/ansible
  sudo apt install ansible

  登录后复制

• 对于CentOS/RHEL/Fedora系： 这些系统通常需要先安装EPEL (Extra Packages for Enterprise Linux) 仓库，因为Ansible不在默认的AppStream或BaseOS仓库中。

  sudo dnf install epel-release # 或者 sudo yum install epel-release
  sudo dnf install ansible      # 或者 sudo yum install ansible

  登录后复制

• 使用Python的pip安装（跨平台通用，也适合虚拟环境）： 如果你想在一个特定的Python环境里运行Ansible，或者需要安装最新、非稳定版本，

  pip

  登录后复制
  是个不错的选择。

  sudo apt install python3-pip # 或 sudo dnf install python3-pip
  pip3 install ansible

  登录后复制

  我个人建议，如果你只是在本地作为控制节点，并且不希望污染系统Python环境，最好在一个Python虚拟环境（

  venv

  登录后复制
  ）中安装Ansible。这样管理起来更干净。

2. 配置库存文件（Inventory）

Ansible通过SSH连接到远程服务器执行任务，它需要知道这些服务器的IP地址或主机名。这个信息就放在库存文件里，通常是

hosts

/etc/ansible/hosts

一个简单的

hosts

[webservers]
web1.example.com
web2.example.com

[databases]
db1.example.com
db2.example.com ansible_port=2222 # 如果SSH端口不是默认的22

[all:vars]
ansible_user=your_ssh_user
ansible_ssh_private_key_file=~/.ssh/id_rsa

这里我定义了两个组：

webservers

databases

all:vars

3. 第一次尝试：ping一下！

安装并配置好inventory后，我们可以先用

ping

ansible all -m ping

如果一切顺利，你会看到类似这样的输出：

web1.example.com | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python3"
    },
    "changed": false,
    "ping": "pong"
}

这表示Ansible成功通过SSH连接到了远程主机，并且可以执行命令。

4. 编写第一个Playbook

Playbook是Ansible的核心，它用YAML格式编写，描述了要在远程主机上执行的一系列任务。

我们来写一个简单的Playbook，比如确保Nginx服务已安装并运行：

install_nginx.yml

---
- name: Install and configure Nginx web server
  hosts: webservers
  become: true # 需要root权限来安装和管理服务
  tasks:
    - name: Ensure Nginx is installed
      ansible.builtin.apt: # 对于CentOS/RHEL使用ansible.builtin.dnf或ansible.builtin.yum
        name: nginx
        state: present
        update_cache: yes # 更新apt缓存

    - name: Ensure Nginx service is running and enabled at boot
      ansible.builtin.service:
        name: nginx
        state: started
        enabled: yes

保存这个文件，然后执行它：

ansible-playbook -i /path/to/your/hosts install_nginx.yml

-i

执行后，Ansible会连接到

webservers

Ansible与传统Shell脚本自动化有何优势？

坦白讲，刚接触自动化运维时，我曾一度觉得Shell脚本就够用了，毕竟它直接、灵活。但随着管理服务器数量的增加和任务复杂度的提升，Shell脚本的局限性就暴露无遗了。Ansible相比之下，优势简直是压倒性的。

首先，幂等性是Ansible一个核心且极其重要的概念。简单来说，就是无论你运行一个任务多少次，结果都将是一样的。比如，你要确保Nginx已安装，如果它已经装了，Ansible不会再尝试安装一次，而是直接告诉你“Nginx已存在”。而Shell脚本呢？你写一个

apt install nginx

if

其次，Agentless（无代理）架构。Ansible不需要在被管理端安装任何客户端软件，它仅仅通过标准的SSH协议连接过去执行任务。这意味着你的基础设施更轻量，没有额外的守护进程需要维护，也没有额外的端口需要开放。对于我这种喜欢简洁、不喜欢复杂部署的人来说，这简直是福音。很多其他的配置管理工具，比如Puppet或Chef，都需要在每台服务器上安装一个代理，这本身就是一项运维任务。

再者，可读性和模块化。Ansible Playbook使用YAML格式，这玩意儿比Shell脚本的各种语法和特殊字符要清晰得多，更容易阅读和理解。它内置了数以百计的模块，覆盖了文件操作、服务管理、包管理、用户管理、云资源操作等方方面面。这意味着你不需要自己去写复杂的命令来完成这些事，直接调用模块就行。比如，安装一个包，你不用去记

apt

yum

dnf

ansible.builtin.package

最后，错误处理和报告。Ansible在执行Playbook时，会详细报告每个任务的执行状态，包括成功、失败、跳过、更改等。如果某个任务失败，它会停止并给出明确的错误信息。Shell脚本的错误处理就得你自己费心去写

set -e

trap

if [ $? -ne 0 ]

总结来说，Shell脚本适合快速解决一次性、小规模的问题，但一旦涉及到规模化、可重复、状态管理和团队协作，Ansible的优势就体现得淋漓尽致了。它将你从繁琐、易错的重复劳动中解放出来，让你能更专注于更高价值的工作。

如何编写高效且可维护的Ansible Playbook？最佳实践与模块选择

编写Playbook不仅仅是把命令堆砌起来，更重要的是要考虑其效率、可读性和未来的可维护性。我的经验告诉我，遵循一些最佳实践能让你少走很多弯路。

1. 拥抱角色（Roles）

这是Playbook组织结构上最重要的一环。当你的自动化任务变得复杂，涉及多个应用、服务和配置时，一个巨大的Playbook会变得难以管理。角色允许你将相关的任务、变量、模板、文件和处理器（handlers）组织到一个独立的、可重用的结构中。

比如，一个

webserver

2. 优先使用模块，避免

command

shell

Google Antigravity

谷歌推出的AI原生IDE，AI智能体协作开发

277

查看详情

Ansible提供了大量的模块来执行特定任务，比如

ansible.builtin.apt

ansible.builtin.service

ansible.builtin.copy

ansible.builtin.template

尽量避免直接使用

ansible.builtin.command

ansible.builtin.shell

shell

3. 充分利用变量

变量是Playbook灵活性的关键。不要在Playbook中硬编码IP地址、端口号、用户名等配置信息。将它们定义为变量，可以：

• 在Playbook中直接定义。
• 在

  group_vars

  登录后复制
  和

  host_vars

  登录后复制
  文件中定义，实现分组和主机特定的配置。
• 通过命令行参数传递（

  --extra-vars

  登录后复制
  ）。
• 从外部文件导入。

这样，你的Playbook可以适应不同的环境（开发、测试、生产），而无需修改Playbook本身。比如，数据库密码、API密钥等敏感信息，就应该用Ansible Vault加密后作为变量使用。

4. 理解并善用处理器（Handlers）

处理器是当一个任务导致某个状态发生改变时才执行的特殊任务。最常见的例子是，当配置文件被修改后，你需要重启一个服务。你可以在修改配置文件的任务中通知一个处理器，让它在所有更改都完成后再重启服务。

- name: Copy Nginx config file
  ansible.builtin.template:
    src: nginx.conf.j2
    dest: /etc/nginx/nginx.conf
  notify: restart nginx # 通知处理器

- name: restart nginx
  ansible.builtin.service:
    name: nginx
    state: restarted
  listen: restart nginx # 监听通知

这样可以避免不必要的服务重启，提高效率。

5. 标签（Tags）和条件（When）

• 标签（Tags）：允许你只运行Playbook中的特定部分。比如，你可以给安装Nginx的任务打上

  nginx_install

  登录后复制
  的标签，然后只执行

  ansible-playbook your_playbook.yml --tags nginx_install

  登录后复制
  。这对于调试和选择性部署非常有用。
• 条件（When）：允许你根据特定条件来执行或跳过任务。比如，

  when: ansible_os_family == "Debian"

  登录后复制
  可以确保某个任务只在Debian系系统上执行。

这些工具能让你的Playbook更加智能和灵活。

6. 保持Playbook的简洁和专注

一个Playbook或者一个角色应该专注于完成一个明确的目标。避免一个Playbook做太多不相关的事情。如果一个Playbook变得过于庞大，考虑将其拆分成多个更小的、更易于管理和测试的Playbook或角色。

Ansible进阶：动态清单、Vault与CI/CD集成实践

当你已经熟练掌握了Ansible的基础用法，并且管理着一个不断变化、规模庞大的基础设施时，就会发现一些进阶功能的重要性。动态清单、Ansible Vault以及与CI/CD流程的集成，是提升Ansible使用效率和安全性的关键。

1. 动态清单（Dynamic Inventory）

在云时代，服务器实例的生命周期往往很短，它们可能随时创建、销毁或改变IP地址。传统的静态

hosts

动态清单通过执行一个外部脚本来获取服务器列表。这个脚本可以查询云服务提供商（如AWS EC2、Google Cloud Compute、Azure VM、VMware vCenter等）的API，或者你的CMDB系统，然后将结果以特定的JSON格式返回给Ansible。

例如，如果你在使用AWS EC2，Ansible官方提供了

aws_ec2.yml

# 假设你配置了AWS凭证
ansible-inventory -i aws_ec2.yml --list

我个人觉得，对于任何基于云的基础设施，动态清单都是必不可少的。它将运维人员从繁琐的IP地址管理中解放出来，确保Ansible总能管理到最新的、正确的服务器集合。我曾经因为静态清单没有及时更新，导致Playbook运行在已经下线的服务器上，或者漏掉了新上线的服务器，那种错误真是让人头疼。

2. Ansible Vault：保护你的敏感数据

在Playbook中，我们经常需要处理数据库密码、API密钥、SSH私钥等敏感信息。直接将这些明文数据写在Playbook或变量文件中是极其危险的。Ansible Vault就是为了解决这个问题而生的。

Vault允许你加密文件、变量，甚至整个角色。这些加密的数据只有在提供正确的Vault密码后才能被Ansible解密和使用。

• 创建加密文件：

  ansible-vault create secret.yml

  登录后复制

  这会提示你输入并确认一个密码，然后打开一个编辑器让你输入敏感数据。

• 编辑加密文件：

  ansible-vault edit secret.yml

  登录后复制

• 在Playbook中使用加密变量： 你可以在Playbook中像使用普通变量一样引用Vault文件中的变量。执行Playbook时，通过

  --ask-vault-pass

  登录后复制
  参数手动输入密码，或者使用

  --vault-password-file

  登录后复制
  指定一个包含密码的文件（当然，这个文件本身也要妥善保管）。

# playbook.yml
- name: Deploy application
  hosts: appservers
  vars_files:
    - secret.yml # 引用加密的secret.yml文件
  tasks:
    - name: Configure database connection
      ansible.builtin.template:
        src: db_config.j2
        dest: /etc/app/db_config.conf
      vars:
        db_password: "{{ app_db_password }}" # 从secret.yml中获取

Vault是生产环境中不可或缺的安全工具。任何时候处理敏感数据，都应该毫不犹豫地使用它。

3. 与CI/CD流程的集成

将Ansible集成到CI/CD（持续集成/持续部署）管道中，是实现真正DevOps的关键一步。它允许你自动化部署、配置管理和应用发布，从而加速开发周期，减少人为错误。

• 在CI阶段运行测试： 你可以在CI管道中运行Ansible Playbook来配置一个测试环境，然后运行自动化测试。如果测试通过，则可以继续部署。

• 在CD阶段自动化部署： 一旦代码通过了测试，CI/CD工具（如Jenkins, GitLab CI, GitHub Actions, CircleCI等）就可以触发Ansible Playbook来执行实际的部署操作。这可能包括：

  • 更新服务器配置。
  • 部署新的应用代码。
  • 滚动更新服务。
  • 回滚到上一个稳定版本。

例如，在GitLab CI中，你的

.gitlab-ci.yml

ansible-playbook

deploy_production:
  stage: deploy
  script:
    - ansible-playbook -i production_inventory.ini deploy_app.yml --vault-password-file ~/.ansible/vault_pass.txt
  only:
    - master
  tags:
    - ansible-runner

将Ansible与CI/CD结合，能将你的自动化能力提升到一个全新的水平。它不仅能确保部署的一致性和可靠性，还能显著缩短从代码提交到生产环境上线的时间。这种自动化流程的建立，是我个人在运维工作中感受最深，也觉得最有价值的变革之一。

当然，在实践中，你还会遇到各种挑战，比如SSH连接问题、权限配置错误、模块版本不兼容等等。这些都需要你在实践中不断积累经验，查阅文档，甚至深入理解Ansible的工作原理来解决。但总体来说，Ansible提供了一个强大且灵活的框架，足以应对绝大多数自动化运维场景。

以上就是如何在Linux下安装和使用Ansible？自动化运维的入门到进阶指南的详细内容，更多请关注php中文网其它相关文章！