Ansible模块——管理100台Linux的最佳实践

使用 Ansible 管理 100 台 Linux 服务器时,推荐遵循以下 最佳实践,以提升可维护性、可扩展性和安全性。以下内容结合实战经验进行总结,适用于中大型环境(如 100 台服务器):

一、基础架构设计

  1. 分组与分层

使用 inventory 文件分组管理主机(建议使用 YAML 格式的 inventory,更清晰):

复制代码
[webservers]web01 ansible_host=192.168.1.10web02 ansible_host=192.168.1.11
[dbservers]db01 ansible_host=192.168.1.20
[prod:children]webserversdbservers

或 inventory.yaml:

复制代码
all:  children:    webservers:      hosts:        web01:          ansible_host: 192.168.1.10        web02:          ansible_host: 192.168.1.11    dbservers:      hosts:        db01:          ansible_host: 192.168.1.20

建议: 按"业务线"、"环境(prod/dev/test)"、"服务类型"进行分组。

二、目录结构规范

(遵循官方推荐)​​​​​​​

复制代码
ansible-project/├── inventories/│   └── prod/│       ├── hosts.yaml│       └── group_vars/│           └── all.yaml├── roles/│   └── nginx/│       ├── tasks/│       ├── templates/│       └── vars/├── playbooks/│   └── deploy_nginx.yaml├── files/├── ansible.cfg└── requirements.yml

使用 roles 实现模块化、重用性强的 Playbook 管理方式。

三 连接优化和性能提升

  1. 配置连接参数(ansible.cfg)​​​​​​​

    [defaults]forks = 50timeout = 30inventory = ./inventories/prod/hosts.yamlremote_user = ansiblehost_key_checking = Falseretry_files_enabled = Falselog_path = ./ansible.log
    [ssh_connection]pipelining = Truessh_args = -o ControlMaster=auto -o ControlPersist=60s

forks:并发数设置为 20~50,视服务器负载能力。

pipelining:提升执行效率。

ControlPersist:复用 SSH 连接,减少频繁握手。

四、变量管理规范

使用 group_vars/ 和 host_vars/ 管理配置变量。

all.yaml 中放通用配置,按需覆盖。​​​​​​​

复制代码
# group_vars/webservers.yamlnginx_port: 80nginx_user: www-data

使用 Roles 实现可复用

模块化部署

建议使用 ansible-galaxy init 创建角色目录结构。例如:

复制代码
ansible-galaxy init roles/nginx

每个角色专注于一个功能,例如:

nginx

mysql

firewalld

user_manage

、使用 Tags 精准执行任务​​​​​​​

复制代码
- name: install nginx  apt:    name: nginx    state: present  tags: install

使用时:

复制代码
ansible-playbook site.yaml --tags "install"

七、使用 Vault 加密敏感信息

复制代码
ansible-vault encrypt group_vars/prod/db.yaml

然后通过 --ask-vault-pass 或 --vault-password-file 解密。

八、自动化与审计

  1. 启用日志记录

ansible.cfg:

复制代码
log_path = ./logs/ansible.log
  1. 定期巡检脚本(自动执行)

利用 crontab 或 CI/CD(如 GitLab CI)定期运行:

复制代码
ansible-playbook check_system_status.yaml

九、版本控制与协作

使用 Git 管理 Playbook 和 Inventory

使用分支区分测试/生产环境

合并请求流程控制配置变更

十、安全与合规

使用最小权限原则配置 SSH 用户

使用 become 进行权限提升,不直接用 root

定期清理旧的 SSH 密钥和权限

相关推荐
地球被支点撬走啦6 分钟前
jetson ubuntu 打不开 firefox和chromium浏览器
linux·firefox·jetson
Lovyk15 分钟前
完整实验命令解析:从集群搭建到负载均衡配置
linux·运维·服务器
qq_3411604420 分钟前
文件系统挂载详细分析(《图解Linux内核》虚拟文件系统篇笔记二)
linux·服务器·笔记
Yyyy48241 分钟前
MyCAT高可用
java·运维
Fireworkitte1 小时前
Ubuntu 系统 tar 包源码安装 Nginx
linux·nginx·ubuntu
熬夜苦读学习1 小时前
Reactor 反应堆模式
运维·服务器·网络·网络协议·http·智能路由器·php
刘一说1 小时前
CentOS安装Maven详细教程
linux·centos·maven
ElendaLee1 小时前
笔记本电脑Windows+Ubuntu 双系统,Ubuntu无法挂载Windows的硬盘 报错问题解决
linux·运维·ubuntu
QtSeeker2 小时前
Ubuntu22.04安装VMware Tools
linux·ubuntu
向日葵花籽儿3 小时前
#运维 | 前端 # Linux http.server 实践:隐藏长文件名,简短路径 (http://IP:port/别名 ) 访问
linux·运维·前端