理解 Ansible 时,最容易走偏的一步,是把它简化成一句“通过 SSH 运行的 YAML”。这句话带着一层事实,却把真正决定生产体验的部分遮住了。Ansible 更准确的形状,是一套由 inventory、顺序化的 plays 与 tasks、connection plugin,以及逐项声明状态的模块拼起来的控制面。[1][2][3][4][5][6]

这份架构笔记之所以值得写,在于许多第二阶段的问题,本质上都出在边界上。团队把环境逻辑塞进 inventory,用大量 shell 任务替代模块,再把结果称作幂等;或者听到“agentless”这几个字,就把控制端与远端之间仍然存在的运行契约一起抹平。官方文档给出的模型收得更窄,也更有用。[1][2][3][4][5][6]

配图说明:封面图拍的是 Ansible 创建者 Michael DeHaan 在 2014 年 All Things Open 的发言现场。这里把它当作项目原始操作思路的文献性锚点来使用:把远端足迹收轻,同时把控制端对主机、传输和任务执行的描述写得足够明确。[7]

1. Inventory 是控制面的一部分,并非边角文件

inventory 指南是最好的入口,因为它规定了 playbook 运行之前,控制端究竟掌握了哪些世界信息。主机与分组的命名、变量的挂接、连接行为的差异,都从这里进入系统。[2] 文档也写得很清楚,inventory 并不只是一份放在 /etc/ansible/hosts 下的静态文件;它可以来自多份 source、一个目录,或者通过 dynamic inventory plugin 从云资源与其他外部系统里枚举出来。[2]

这样一来,inventory 的角色就远不止“机器清单”。它是控制端的目标选择面和作用域表面。playbook 里的 pattern 从这张图上选主机与组,而并非在执行时重新发现基础设施。[1][2] 一套 Ansible 代码库开始变得难读,原因常常就出在这里:inventory 悄悄长成了第二层应用逻辑,里面充满环境分叉、重复变量与逐机例外。

这也带出一个很现实的结论。inventory 一旦混乱,后面的每个 play 都会跟着变得费解,因为主机选择、变量继承和连接行为在任务执行之前就已经被揉成一团。[2]

2. Playbook 负责派工顺序,真正做事的是模块

playbook 文档把它描述成一套可重复、可复用的配置管理与多机部署系统。[1] 这页里有一句很关键的话:playbook 是按顺序排列的 plays 列表,每个 play 运行一个或多个 task,而每个 task 调用的是一个 Ansible module。[1] 这一句把架构骨架直接摆了出来。

顺着这个角度看,YAML 文件本身并非执行引擎。YAML 描述的是顺序、目标与参数,真正完成状态变更的是被调用的模块。[1][6] 这也解释了为什么两份看上去都很整齐的 playbook,进入生产后会呈现出完全不同的行为。一份建立在真正理解当前状态、能够有限报告变更的模块上;另一份则只是把复杂性重新压回操作员身上的 shellcommand 包装层。

playbook 的执行模型把这件事说得更明白。Ansible 自上而下执行 playbook,play 里的 task 也依次向下运行。[1] 这层顺序性很朴素,却正是它在数据库步骤、Web 层步骤与服务重启这类多主机编排中依然有力量的原因。[1] 控制端负责安排流程,模块负责为每一步给出本地而具体的状态承诺。

3. “Agentless”说的是传输方式,执行契约仍然存在

connection plugin 文档直接说明了控制端如何抵达目标主机:靠的是 connection plugin。每个 host 在同一时刻只能使用一种 connection plugin,常见内建选择包括 sshparamiko_sshlocal。[3] 这段定义很重要,因为它让架构重新变得可见。Ansible 并不会把意图直接送进机器,它要经过一层明确定义的传输表面。

权限提升文档在同一个层面上保持了这种现实感。become 调用的是现成的权限提升系统,如 sudosupfexecdoasmachinectl,它自己并不再造一套独立的权限宇宙。[4] 这些设置可以放在 play 或 task 层,也可以通过 connection variable 覆盖,底层依旧受目标环境上真实存在的权限工具与规则约束。[4]

因此,“agentless”这件事需要换个读法。Ansible 把远端常驻足迹收得更轻,控制端与远端之间却仍然存在一份明确的运行契约:传输路径要成立,远端执行环境要可用,权限语义也要和任务需求对齐。[3][4] 它真正提供的,是一份更小、更清楚、以控制端逻辑加远端模块执行为中心的契约,“零前提”的幻觉并不在这套设计里。

4. 幂等性落在模块里,单靠 YAML 本身承不住

Ansible 的幂等性口碑成立,有一个前提:模块层真的支持这种行为。ansible.builtin.package 模块页把这层边界写得非常清楚。它提供了一扇通用入口,底下再去调用 aptdnf 之类的具体包管理器模块;auto 模式会借助现有 facts 或自动探测选择后端。[6] 这让 playbook 作者拿到一层稳定接口,真正的状态逻辑仍然落在模块,以及更深一层的平台包管理系统里。[6]

check mode 文档把这条边界再收紧了一次。进入 check mode 后,Ansible 会在不改动远端系统的前提下运行;支持 check mode 的模块会报告自己本来会产生的变更,不支持的模块则“什么也不报告,也什么都不做”。[5] diff mode 也只会在支持它的模块上给出前后对比。[5] 同一页还特别提醒,check mode 只是模拟,对于那些依赖前序任务注册变量来做条件判断的任务,它并不会生成有效输出。[5]

由此展开,幂等性从来都并非 YAML 缩进天然带来的属性。它落在模块契约、参数写法与执行路径的交界处。一个排版整洁、却充满 shell 片段的 playbook,运行边界依旧松散;建立在清楚 state 语义、可用 check mode 支持与受约束输入之上的 playbook,才更接近大家真正想采用的那种 Ansible。[1][5][6]

5. 这种架构最适合什么场景

把 Ansible 放回这个结构里去看,它最适合的环境也会清楚很多。

它的弱点也会同步浮出来。inventory 一旦膨胀成纠缠不清的策略数据库,关键任务若主要依赖不透明的 shell 命令,再加上把 check mode 当成无条件可信的预言工具,整套系统的可读性与可预测性都会一起下滑。[2][5]

结语

Ansible 持续有效的那层架构,比它在外部世界获得的“YAML 优先”名声更小,也更严格。inventory 告诉控制端世界是什么样子。[2] play 与 task 负责安排顺序。[1] connection plugin 与 become 规定工作如何抵达目标系统,以及用什么权限执行。[3][4] 模块决定状态变化能否被限定、检查和重复运行。[5][6]

幂等性正是落在这里。它不在缩进里,也不在“已经写成 playbook”这个事实里。它落在一套 inventory 清楚的控制端,去调用那些状态声明足够精确、因此经得起重复运行的模块这一层边界上。

来源

  1. Ansible 社区文档,“Ansible playbooks”——有序的 plays 与 tasks、模块调用方式,以及可重复的多机执行模型。
  2. Ansible 社区文档,“How to build your inventory”——主机、分组、变量、多重 inventory source 与 dynamic inventory 支持。
  3. Ansible 社区文档,“Connection plugins”——按 host 生效的传输插件,以及部署中最常见的内建连接类型。
  4. Ansible 社区文档,“Understanding privilege escalation: become”——现成提权系统的使用方式,以及 play、task、host 级别的控制表面。
  5. Ansible 社区文档,“Validating tasks: check mode and diff mode”——模拟执行的边界、模块支持差异,以及 diff 报告规则。
  6. Ansible 社区文档,“ansible.builtin.package module”——通用包状态接口、后端自动探测,以及状态语义如何下沉到具体包管理器。
  7. Wikimedia Commons,“File:Michael DeHaan at All Things Open 2014 - Day 2 - (196).jpg”——本文使用的会议现场照片文件页。