如何进行自动化运维工具 ansible 的实践？

Ansible 实践的核心是从非生产环境开始，通过 SSH 协议实现无代理的批量配置与任务执行，适合中小规模服务器的统一管控。

先说结论：Ansible 适合需要批量执行命令或统一配置的场景，上手前请先确保网络连通与权限准备，建议先在测试机验证 playbook 再推广。

• 适合：多台 Linux 主机需要执行相同任务或保持配置一致的场景
• 先看：控制节点到目标主机的 SSH 免密登录是否通畅（建议使用普通用户）
• 建议：编写 playbook 前先使用 ad-hoc 命令测试连通性
• 安全：生产环境避免直接使用 root 远程登录，配合 sudo 提权

命令速用版

如果你已经准备好了环境，以下是几个最常用且安全的起步命令，可直接在控制节点执行：

# 查看版本信息
ansible `--version`# 测试所有主机连通性
ansible all -m ping# 临时执行命令查看 uptime
ansible all -m command -a "uptime"# 执行 playbook
ansible-playbook -i inventory.ini site.yml

核心原理

Ansible 的设计思路是基于 SSH 推送任务，不需要在目标机器上安装客户端代理（Agentless）。这意味着你只需要在一台控制节点上安装 Ansible，只要它能通过 SSH 连通目标主机，就能下发指令。它的配置语言是 YAML，结构清晰，且大多数模块具有幂等性（Idempotent），即多次执行同一任务不会产生副作用，这对于运维自动化来说非常关键，能避免重复配置导致的服务异常。

分步处理

按照以下顺序逐步搭建你的自动化环境，每一步都有明确的检查点：

1. 安装控制端
在管理机上通过包管理器安装。以 CentOS 为例：

sudo yum install ansible -y

检查点：执行ansible `--version`能看到版本号即表示安装成功。

2. 配置主机清单
创建inventory.ini文件，定义你要管理的主机分组：

[webservers]
192.168.1.10
192.168.1.11[dbservers]
192.168.1.20

检查点：确保 IP 地址准确，且分组名称有意义。

3. 配置 SSH 免密
Ansible 依赖 SSH 密钥认证。安全建议：创建专用普通用户（如 ansible），避免直接使用 root。将控制节点的公钥发送到目标主机：

ssh-copy-id ansible@192.168.1.10

检查点：执行ssh ansible@192.168.1.10不需要输入密码即可登录。

4. 配置 Sudo 免密
为了让普通用户执行特权命令，需配置 sudo 免密。在目标主机执行：

visudo

在打开的文件中添加以下行（假设用户名为 ansible）：

ansible ALL=(ALL) NOPASSWD: ALL

检查点：在目标主机执行sudo whoami应直接返回 root 且无需密码。

5. 编写简单 Playbook
创建site.yml，实现一个简单任务，例如安装 nginx：

---
- hosts: webserversbecome: yestasks:- name: Install nginxyum:name: nginxstate: present

注意：become: yes表示使用 sudo 提权，依赖上一步的 sudo 配置。

怎么验证是否生效

执行完操作后，不要只看 Ansible 的输出，要到目标机器上确认实际状态：

1. 检查 Ansible 返回结果
执行ansible-playbook site.yml后，观察输出末尾的PLAY RECAP。failed=0表示任务执行成功，若有failed大于 0，需查看具体报错信息。

2. 登录目标主机验证
SSH 登录到目标主机，检查服务状态：

systemctl status nginx

如果服务处于active (running)状态，说明自动化配置已生效。

3. 验证幂等性
再次运行同一个 playbook，观察输出中的changed字段。第二次运行时，changed应为 0，表示系统状态未发生不必要变动。

常见坑

在实际实践中，以下几个问题最容易导致失败，请提前排查：

1. SSH 密钥权限错误
私钥文件权限必须设置为 600。如果权限过大，SSH 会拒绝连接，导致 Ansible 无法连通主机。

2. 目标主机 Python 环境缺失
Ansible 默认依赖目标主机上的 Python 环境。如果目标机是极简系统（如 Alpine 或部分容器），可能需要指定ansible_python_interpreter或安装 Python。

3. Sudo 配置限制
如果使用了become: yes，但当前用户不在 sudoers 列表中，或者 sudo 需要交互式输入密码，任务会卡住或失败。建议配置免密 sudo 或在命令行通过-K传入密码。

4. 安全与网络风险
生产环境不建议直接开启 root 远程登录，应使用普通用户配合 sudo 提权。同时确保控制节点到目标节点的 22 端口通畅，网络不通是首要排查点。

参考来源

• Ansible 官方文档，Installation Guide，https://docs.ansible.com/
• Ansible 官方文档，Working with Playbooks，https://docs.ansible.com/ansible/latest/playbook_guide/playbooks_intro.html

原文链接：https://www.zjcp.cc/ask/11117.html