Configuration et déploiement avec Ansible
Rédigé par uTux 5 commentairesAnsible est un logiciel d'automatisation et de déploiement, il permet de créer des listes de tâches qui peuvent ensuite être jouées sur un ou plusieurs serveurs.
Attention cet article n'est pas un tutoriel (pour cela je vous renvoie vers la documentation officielle), mon but est de faire un petit retour d'expérience et montrer un exemple de projet Ansible.
Pourquoi Ansible ?
Il existe de nombreuses solutions de ce type mais il y a selon moi deux points qui distinguent Ansible : il est simple à prendre en main (excellente documentation et syntaxe yaml humainement lisible) et il ne nécessite pas d'agent pour fonctionner. En effet sur vos cibles, vous avez uniquement besoin de Python et SSH, présents en standard sur quasiment toutes les distributions Linux. Ansible marche aussi avec Windows et FreeBSD.
Pourquoi pas un script Bash / Perl / Python ?
Ben oui, il y a beaucoup de gens qui se sont fait leur propre script afin de configurer rapidement leur serveur. Mais en vrai les scripts c'est pas idéal :
- C'est long à développer et ce n'est pas forcément votre métier.
- Plus le script est complexe moins il sera lisible.
- Le script doit être copié et exécuté à la main sur chaque serveur.
- Il se contente d'exécuter une série de commandes sans se soucier du résultat.
- Bon courage pour gérer un inventaire centralisé et des variables dynamiques.
- Même en documentant votre script, vous serez le seul à comprendre réellement comment il marche.
- Qui n'a jamais eu à déboguer un script obscur vieux de 10 ans ?
Ansible est beaucoup plus propre car depuis une unique machine vous gérez votre inventaire de serveurs et vos playbooks dans un même projet. Vous ne vous souciez que du résultat, vous ne demandez pas à ansible de faire un apt-get install curl, vous lui dites juste que le paquet curl doit être présent, à lui de faire en sorte de l'installer si besoin .Et c'est important non seulement car Ansible sait ce qu'il fait, mais il sait aussi le faire plusieurs fois, c'est ce qu'on appelle l'idempotence (sous réserve de ne pas faire n'importe quoi avec les playbooks, bien entendu). Enfin, il y a une énorme communauté d'utilisateurs et beaucoup de modules tiers, on trouve donc toujours des solutions aux problèmes
Exemple d'utilisation
Avertissement : Il y a plusieurs moyens de structurer un projet Ansible, consultez la page Best Practises. L'organisation que j'ai choisi n'engage que moi, vous êtes libre de faire autrement si ça colle mieux à vos besoins !
Voici un exemple de projet Ansible qui utilise un inventaire, des playbooks et des roles. Il sera utilisé pour configurer les nouveaux serveurs fraîchement installés. Objectifs :
- Installer une liste de paquets de base
- Configurer le /etc/hostname avec le nom du serveur
- Configurer la locale fr_FR.UTF-8.
- Configurer la timezone Europe/Paris.
- Installer Nginx et Php-fpm sur les serveurs web
- Tout en étant compatible Debian 8 & Ubuntu 16.04 (les paquets php n'ont pas le même nom !)
Arborescence du projet :
├── deploy-newserver.yml
├── group_vars
│ └── all
├── host_vars
│ ├── server01.example.org
│ └── web01.example.org
├── production.ini
└── roles
├── configure-newserver
│ └── tasks
│ └── main.yml
│ └── templates
│ └── hostname.j2
├── install-nginx
| └── tasks
| └── main.yml
└── install-php-fpm
└── tasks
└── main.ymlDétail des fichiers :
---
# deploy-newserver.yml
- hosts: all
roles:
- configure-newserver
- hosts: webservers
roles:
- install-nginx
- install-php-fpm---
# group_vars/all
ansible_user: root---
# host_vars/server01.example.org
ansible_host: 172.16.42.190---
# host_vars/web01.example.org
ansible_host: 172.16.42.180# production.ini
server01.example.org
[webservers]
web01.example.org---
# roles/configure-newserver/tasks/main.yml
- name: set hostname (volatile)
hostname:
name: '{{ inventory_hostname }}'
- name: set hostname (permanent)
template:
src: hostname.j2
dest: /etc/hostname
force: yes
- name: generate locales
locale_gen:
name: '{{ locale }}'
state: present
with_items:
- en_EN.UTF-8
- fr_FR.UTF-8
- name: set default locale
lineinfile:
dest: /etc/default/locale
regexp: '^LANG=.*$'
line: 'LANG=fr_FR.UTF-8'
create: yes
state: present
- name: set timezone
file:
src: /usr/share/zoneinfo/Europe/Paris
dest: /etc/localtime
force: yes
state: link
- name: common packages
apt:
name: "{{ item }}"
state: present
with_items:
- apt-transport-https
- bsd-mailx
- ca-certificates
- htop
- manpages
- net-tools
- openssl
- pciutils
- postfix
- ntp
- ntpdate
- rsync
- tree
- tzdata
- ufw
- unzip
- vim# roles/configure-newserver/templates/hostname.j2
{{ inventory_hostname }}---
# roles/install-nginx/tasks/main.yml
- name: install
apt:
name: nginx
state: present---
# roles/install-php-fpm/tasks/main.yml
- name: php5-fpm if Debian <= 8
apt:
name: '{{ item }}'
state: present
with_items:
- php5-fpm
- php5-gd
when:
- ansible_distribution == "Debian" and ansible_distribution_major_version <= '8'
- name: php7.0-fpm if Ubuntu => 16
apt:
name: '{{ item }}'
state: present
with_items:
- php7.0-fpm
- php7.0-xml
- php7.0-gd
when:
- ansible_distribution == "Ubuntu" and ansible_distribution_major_version >= '16'Lancer en dry-run (ne modifie rien) :
$ ansible-playbook -i production.ini deploy-newserver.yml --checkLancer le déploiement :
$ ansible-playbook -i production.ini deploy-newserver.ymlLancer le déploiement sur web01.example.org uniquement :
$ ansible-playbook -i production.ini deploy-newserver.yml --limit web01.example.orgEt voilà.
Ansible et moi
J'utilise régulièrement Ansible et maintient des playbooks pour des projets persos et pro, et j'en suis très satisfait. La documentation m'a permis d'être autonome et à l'aise assez vite et m'a même poussé à automatiser plus de choses que nécessaire, comme le déploiement de sites web alors que je pensais me limiter à la stack nginx / php-fpm / letsencrypt.
Même si je suis pleinement convaincu et satisfait par Ansible, je rencontre quand même certaines limitations. Par exemple l'inventaire n'est pas idéal quand on a beaucoup de serveurs et de groupes, ça peut rapidement devenir illisible. Il y a aussi certains modules tels que authorized_key pour lesquels j'aimerai plus de fonctionnalités, en l’occurrence pouvoir utiliser le paramètre 'exclusive' avec plusieurs clés.
Petits conseils en vrac
- Ansible évolue vite, utilisez une version récente, disponible dans les backports debian ou via pip.
- Le
state: presentest souvent implicite, vous n'avez donc pas besoin de le mettre, cependant c'est mieux de le faire, pour rendre le playbook plus évident à comprendre. - Pensez à utiliser les variables, pour les URLs ou les numéros de version.
- Ne mettez pas de mot de passe ou de credential dans les playbooks, utilisez des variables passées au moment de l'exécution, ou dans un fichier que vous prendrez soin d'exclure si vous utilisez un repo public.
- Faites un dry-run pour tester vos playbooks, on ne sait jamais.
- Attention au module file et plus particulièrement aux permissions, surtout quand vous travaillez sur des fichiers existants (tels que le resolv.conf).
- La commande
ansible hostname -m setupvous permet de récupérer tous les 'facts' (OS, version, ip...) d'une cible, ils peuvent être utilisés dans les playbooks. - Testez vos playbooks jusqu'au bout : redémarrez le serveur pour vérifier que les modifications ne sont pas volatiles.
- Faites des choses propres et simples. Si vos besoins sont trop variés ou spécifiques, n'utilisez pas Ansible, ou limitez vous au minimum.
- La machine sur laquelle vous exécutez Ansible est critique, car en général vous aurez l'accès root without-password à tous vos serveurs, c'est donc un point d'entrée que vous devez sécuriser au maximum.
Conclusion
Si vous souhaitez unifier, accélérer et automatiser vos déploiements ou tout simplement vous initier au devops, Ansible est un outil que je recommande fortement, l'essayer c'est l'adopter.
