Ansible是轻量级无代理配置管理工具,依赖SSH和Python,通过Ad-Hoc命令快速验证环境,再以结构化Playbook实现可复用、幂等、安全的自动化部署,并可集成CI/CD流程。
Ansible 是 Linux 自动化部署中最轻量、最易上手的配置管理工具之一,不需要在被控端安装代理(agentless),仅靠 SSH 和 Python 就能完成批量任务。关键在于把零散操作写成可复用、可追溯、可版本管理的脚本任务(Playbook),而不是反复手动敲命令。
从单个任务开始:用 Ad-Hoc 命令快速验证
部署前先确认基础连通性和权限。比如批量检查所有目标主机是否在线、Python 版本是否满足要求:
- ansible all -m ping —— 测试 SSH 连通性
- ansible web -m command -a "python3 --version" —— 查看 Python 版本(Ansible 2.10+ 默认需 Python 3.6+)
- ansible db -m user -a "name=deploy state=present shell=/bin/bash" —— 快速创建部署用户
Ad-Hoc 命令适合调试和一次性操作,但不可复用、难维护,正式项目中应尽快迁移到 Playbook。
结构化 Playbook:按角色分目录组织任务
一个清晰的项目结构能让多人协作和后续扩展更顺畅。推荐采用如下最小可行结构:
-
inventory/ —— 存放 hosts 文件(支持 ini 或 YAML 格式),可按环境拆分为
prod、staging -
roles/ —— 每个角色独立封装(如
nginx、postgresql、app-deploy),含 tasks、handlers、templates、files 等子目录 -
playbooks/ —— 主执行入口,如
deploy-web.yml、init-servers.yml - group_vars/ 和 host_vars/ —— 按组或主机定义变量,避免硬编码
例如,在 roles/nginx/tasks/main.yml 中定义 Nginx 安装与配置逻辑,再通过 playbooks/deploy-web.yml 引入该角色,实现关注点分离。
安全与幂等:避免重复执行引发故障
自动化最怕“越跑越错”。Ansible 天然支持幂等性,但需主动设计:
- 用 copy 或 template 替代 command 写配置文件,确保内容一致且不覆盖已有修改
- 服务启停统一用 systemd 模块,并设置
state: started+enabled: yes,避免多次运行导致重复 enable - 敏感信息(如数据库密码、API Key)不要写进 Playbook,改用 ansible-vault 加密后存入
group_vars/prod/vault.yml - 上线前加 --check --diff 参数预览变更,确认无误再真实执行
集成与交付:让 Ansible 融入 CI/CD 流程
Ansible 本身不是 CI 工具,但可无缝嵌入 Jenkins、GitLab CI 或 GitHub Actions:
- Jenkins 中新增构建步骤:ansible-playbook -i inventory/staging playbooks/deploy-app.yml
- GitLab CI 示例:在
.gitlab-ci.yml中指定image: quay.io/ansible/ansible:latest,直接调用 Playbook - 配合 Git 分支策略:push 到
release/v2.3自动触发生产部署,push 到develop只部署测试环境 - 加上标签控制(
--limit @deploy-app.retry)或失败自动回滚(用 block/rescue 结构处理异常)
真正落地的自动化,不是“能跑就行”,而是每次部署都可审计、可重放、可收敛。
