Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub

Inventaire Statique vs Dynamique : Choisir la Bonne Stratégie Ansible pour la Montée en Charge

Comparez l'inventaire Ansible statique et dynamique, avec des conseils pratiques pour les environnements cloud, sur site et mixtes.

Inventaire Statique vs Dynamique : Choisir la Bonne Stratégie Ansible pour la Montée en Charge

L'inventaire Ansible est la liste des machines qu'Ansible est autorisé à toucher, ainsi que les groupes et variables qui expliquent comment les atteindre. Si cette liste est erronée, le playbook peut être parfait et l'exécution peut néanmoins être dangereuse. Vous pourriez manquer de nouveaux hôtes, continuer à gérer des hôtes supprimés, ou exécuter une tâche de base de données sur un nœud web parce qu'un nom de groupe a dérivé.

Le choix entre un inventaire Ansible statique et dynamique n'est pas un badge de maturité. Les fichiers statiques restent la réponse la plus propre pour de nombreux petits environnements stables. L'inventaire dynamique est généralement meilleur lorsque l'infrastructure est créée et détruite par des API cloud, des groupes d'autoscaling, Kubernetes, Terraform, ou une autre source de vérité. La question utile n'est pas "lequel est le plus avancé ?" mais "où réside déjà la vérité sur ces hôtes ?"

Comprendre l'Inventaire Ansible

À la base, un inventaire Ansible est une liste d'hôtes qu'Ansible va gérer. Ces hôtes peuvent être des serveurs, des périphériques réseau, ou tout autre nœud géré. L'inventaire peut être structuré de diverses manières, notamment par groupes, ce qui permet d'appliquer des configurations à un sous-ensemble de votre infrastructure.

Un fichier d'inventaire (ou source) peut être au format INI ou YAML. Par exemple, un inventaire simple au format INI pourrait ressembler à ceci :

[webservers]
web1.example.com
web2.example.com

[databases]
db1.example.com

Cette structure définit deux groupes, webservers et databases, avec des hôtes spécifiques assignés à chacun. Ansible peut alors cibler ces groupes dans ses playbooks, par exemple, pour déployer des configurations de serveur web sur tous les hôtes du groupe webservers.

Inventaire Statique : Simplicité et Contrôle

L'inventaire statique fait référence à une source d'inventaire où la liste des hôtes est explicitement définie et maintenue manuellement. Cela se fait généralement à l'aide de fichiers texte brut (INI ou YAML) qui sont mis à jour chaque fois que l'infrastructure change.

Caractéristiques de l'Inventaire Statique

  • Définition Manuelle : Les hôtes et leurs appartenances aux groupes sont directement listés dans un fichier.
  • Structure Fixe : L'inventaire reste constant jusqu'à ce qu'il soit modifié manuellement.
  • Simple à Démarrer : Facile à mettre en place pour des environnements petits et stables.
  • Prévisible : Vous savez toujours exactement quels hôtes Ansible va cibler.

Avantages de l'Inventaire Statique

  • Simplicité : Pour les environnements petits et prévisibles, l'inventaire statique est simple à gérer.
  • Contrôle : Offre un contrôle total sur les hôtes inclus et leur regroupement.
  • Facilité de Compréhension : La structure est facile à lire et à comprendre.

Inconvénients de l'Inventaire Statique

  • Problèmes de Passage à l'Échelle : Gérer manuellement un grand nombre d'hôtes devient chronophage et sujet aux erreurs.
  • Frais de Maintenance : Chaque ajout, suppression ou modification de l'infrastructure nécessite des mises à jour manuelles du fichier d'inventaire.
  • Inadapté aux Environnements Dynamiques : Dans les environnements cloud où les instances sont fréquemment lancées et terminées, l'inventaire statique devient rapidement obsolète.

Quand Utiliser l'Inventaire Statique

L'inventaire statique est un excellent choix pour :

  • Les infrastructures sur site de petite taille avec des changements peu fréquents.
  • Les environnements de développement ou de test avec un ensemble fixe de machines.
  • Les situations où un contrôle précis des nœuds gérés est primordial et où les changements sont rares.

Inventaire Dynamique : Automatisation et Élasticité

L'inventaire dynamique, quant à lui, permet à Ansible de découvrir et de gérer les hôtes automatiquement. Au lieu de lister manuellement les hôtes, Ansible interroge une source de données externe (comme une API de fournisseur cloud, une CMDB, ou un script) pour récupérer l'état actuel de votre infrastructure.

Comment Fonctionne l'Inventaire Dynamique

Les sources d'inventaire dynamique sont généralement implémentées sous forme de scripts ou de plugins qui adhèrent à l'API d'inventaire dynamique d'Ansible. Lorsqu'Ansible a besoin de données d'inventaire, il exécute ce script ou plugin, qui interroge ensuite le système concerné et renvoie les informations sur les hôtes au format JSON. Cette sortie JSON inclut les hôtes, leurs groupes et toutes les variables associées.

Ansible fournit un support intégré pour de nombreux fournisseurs et services cloud, ce qui facilite l'intégration de l'inventaire dynamique. Par exemple, pour utiliser AWS EC2 comme source d'inventaire dynamique, vous pouvez installer le plugin d'inventaire aws_ec2.

Caractéristiques de l'Inventaire Dynamique

  • Découverte Automatique : Les hôtes sont découverts à partir de sources externes.
  • Mises à Jour en Temps Réel : L'inventaire reflète l'état actuel de l'infrastructure.
  • Intégration avec les Fournisseurs Cloud : Fonctionne de manière transparente avec AWS, Azure, GCP et d'autres plateformes cloud.
  • Étiquetage et Métadonnées : Exploite les étiquettes et métadonnées des sources externes pour le regroupement et l'attribution de variables.

Avantages de l'Inventaire Dynamique

  • Passage à l'Échelle : Gère sans effort des environnements avec des centaines ou des milliers d'hôtes.
  • Automatisation : Élimine la maintenance manuelle de l'inventaire, réduisant les erreurs et gagnant du temps.
  • Résilience : Prend automatiquement en compte les ressources nouvellement provisionnées ou terminées.
  • Flexibilité : S'adapte à la nature dynamique du cloud computing.

Inconvénients de l'Inventaire Dynamique

  • Complexité : La configuration initiale peut être plus impliquée que pour l'inventaire statique.
  • Dépendance vis-à-vis des Systèmes Externes : Dépend de la disponibilité et de l'exactitude de la source de données externe.
  • Potentiel de Sur-Gestion : Sans une configuration minutieuse, Ansible pourrait tenter de gérer des ressources qui ne sont pas destinées à être gérées.

Sources d'Inventaire Dynamique Populaires

  • Plugins de Fournisseurs Cloud : aws_ec2, azure_rm, gcp_compute.
  • Orchestrateurs de Conteneurs : kubernetes.core.k8s.
  • CMDB et Systèmes d'Actifs : ServiceNow, NetBox, ou un catalogue de services interne.
  • Scripts Personnalisés : Tout script produisant du JSON valide.

Exemple : Utilisation de l'Inventaire Dynamique AWS EC2

Pour utiliser des instances AWS EC2 comme inventaire dynamique, vous configureriez généralement le plugin aws_ec2. Cela peut impliquer la création d'un fichier de configuration d'inventaire Ansible (par exemple, aws_ec2.yml) qui spécifie la région AWS, les identifiants et les filtres.

# aws_ec2.yml
plugin: aws_ec2
regions:
  - us-east-1
filters:
  instance-state-name: running
keyed_groups:
  - key: tags.Environment
    prefix: env
  - key: tags.Project
    prefix: project
compose:
  ansible_host: private_ip_address

Avec cette configuration, Ansible interrogera AWS pour les instances EC2 en cours d'exécution dans us-east-1. Il créera automatiquement des groupes basés sur les étiquettes Environment et Project, en les préfixant respectivement par env_ et project_. Il définira également ansible_host sur l'adresse IP privée de chaque instance.

Vous pouvez ensuite exécuter des commandes ou des playbooks Ansible en utilisant cette source d'inventaire dynamique :

ansible-inventory --graph -i aws_ec2.yml
ansible-playbook -i aws_ec2.yml site.yml

Quand Passer à l'Inventaire Dynamique

La décision de passer d'un inventaire statique à un inventaire dynamique est souvent dictée par les caractéristiques de votre infrastructure et votre maturité opérationnelle.

Signes que Vous Devriez Envisager l'Inventaire Dynamique

  • Infrastructure Croissante : Lorsque les modifications manuelles de l'inventaire entraînent des hôtes manqués, des hôtes obsolètes ou des révisions lentes.
  • Adoption du Cloud : Si vous utilisez massivement des plateformes cloud comme AWS, Azure ou GCP, où les ressources sont éphémères et auto-dimensionnées.
  • Changements Fréquents : Lorsque votre infrastructure est fréquemment mise à jour, mise à l'échelle ou subit des déploiements fréquents.
  • Objectifs d'Automatisation : Pour atteindre des niveaux d'automatisation plus élevés et réduire l'intervention manuelle dans la gestion de l'infrastructure.
  • Intégration d'Orchestration : Si vous utilisez des orchestrateurs de conteneurs comme Kubernetes, l'inventaire dynamique est essentiel pour gérer les pods et les services.

Le Processus de Transition

  1. Évaluez Votre Infrastructure : Comprenez où vos hôtes sont gérés (cloud, sur site, conteneurs) et comment ils sont provisionnés.
  2. Identifiez Votre Source de Données : Déterminez le système externe qui détient la liste définitive de votre infrastructure (par exemple, API du fournisseur cloud, CMDB).
  3. Choisissez le Bon Plugin/Script : Sélectionnez ou développez le plugin ou script d'inventaire dynamique approprié pour votre source de données.
  4. Configurez le Regroupement et les Variables : Définissez comment vous souhaitez regrouper les hôtes (par exemple, par étiquettes, types d'instance) et comment les variables seront attribuées.
  5. Testez de Manière Approfondie : Exécutez des commandes Ansible contre l'inventaire dynamique dans un environnement de staging avant de déployer en production.
  6. Mettez à Jour les Playbooks (si nécessaire) : Assurez-vous que vos playbooks sont compatibles avec les nouvelles structures de regroupement et de variables.

Meilleures Pratiques pour la Gestion de l'Inventaire

Que vous choisissiez un inventaire statique ou dynamique, le respect des meilleures pratiques garantira des opérations Ansible efficaces et fiables :

  • Gardez-le Organisé : Utilisez des noms de groupe significatifs et des conventions de nommage cohérentes pour les hôtes.
  • Tirez Parti des Variables : Utilisez les variables Ansible (host_vars, group_vars) pour gérer les différences de configuration et éviter les répétitions dans les playbooks.
  • Utilisez des Alias et des Faits : Pour l'inventaire statique, envisagez d'utiliser des alias. Pour l'inventaire dynamique, exploitez autant que possible les étiquettes et métadonnées du fournisseur cloud pour l'attribution dynamique des variables.
  • Révisez et Auditez Régulièrement : Vérifiez périodiquement l'exactitude et l'exhaustivité de votre inventaire, surtout si vous utilisez un inventaire statique.
  • Sécurisez les Identifiants : Lorsque vous utilisez des plugins d'inventaire dynamique nécessitant un accès API, assurez-vous que les identifiants sont gérés de manière sécurisée (par exemple, en utilisant Ansible Vault, les rôles IAM).

À Quoi Cela Ressemble en Pratique

Pour un petit environnement statique, un fichier d'inventaire simple peut être meilleur qu'une intégration astucieuse. Imaginez trois serveurs web, un serveur de base de données et un hôte bastion dans un petit bureau ou un petit déploiement de production :

[webservers]
web01 ansible_host=10.20.1.11
web02 ansible_host=10.20.1.12
web03 ansible_host=10.20.1.13

[databases]
db01 ansible_host=10.20.2.20

[all:vars]
ansible_user=deploy

Tout le monde peut réviser ce fichier dans Git. Une demande de tirage qui déplace db01 dans le mauvais groupe est facile à repérer. Il n'y a pas d'identifiant cloud à gérer, pas de cache de plugin à déboguer, et pas de surprise due à une panne d'API. Si la liste des serveurs change une fois par trimestre, l'inventaire statique n'est pas une faiblesse.

Les problèmes commencent lorsque le fichier ne reflète plus la réalité. Une équipe ajoute des instances via Terraform, une autre équipe termine un nœud lors d'un incident, et l'inventaire Ansible est mis à jour plus tard "quand quelqu'un s'en souvient." Cet écart est la source d'une automatisation obsolète. Vous voyez des erreurs comme des hôtes inaccessibles, ou pire, vous ne corrigez que la moitié du parc car les nouveaux hôtes n'ont jamais été ajoutés.

L'inventaire dynamique fonctionne mieux lorsque le système externe est déjà considéré comme faisant autorité. Dans AWS, cela peut être les étiquettes EC2. Dans un centre de données, cela peut être NetBox. Dans une équipe plateforme, cela peut être un catalogue de services alimenté par des pipelines de provisionnement. Le plugin d'inventaire doit être un lecteur de cette vérité, et non un second endroit où les opérateurs inventent une nouvelle logique de groupe.

La qualité des étiquettes est plus importante que le plugin. Cet exemple AWS regroupe par étiquettes Environment et Project :

plugin: amazon.aws.aws_ec2
regions:
  - us-east-1
filters:
  instance-state-name: running
keyed_groups:
  - key: tags.Environment
    prefix: env
  - key: tags.Project
    prefix: project
compose:
  ansible_host: private_ip_address

Cela est propre uniquement si chaque instance possède ces étiquettes, et si les valeurs des étiquettes sont cohérentes. prod, production et Production créeront des groupes différents à moins que vous ne les normalisiez. Avant de déplacer des playbooks importants vers un inventaire dynamique, exécutez :

ansible-inventory -i aws_ec2.yml --graph
ansible-inventory -i aws_ec2.yml --list --yaml

Recherchez les groupes vides, les noms de groupe inattendus, les adresses IP publiques là où des adresses IP privées devraient être utilisées, et les hôtes qui apparaissent à trop d'endroits. La sortie graphique permet souvent de détecter les erreurs plus rapidement qu'un playbook échoué.

Une approche mixte est courante et tout à fait raisonnable. Vous pouvez conserver un inventaire statique pour les appliances réseau, les serveurs de base de données existants et les hôtes bastion, tout en utilisant un inventaire dynamique pour les nœuds d'application à mise à l'échelle automatique. Ansible peut charger plusieurs sources d'inventaire à la fois :

ansible-playbook -i inventory/static.ini -i inventory/aws_ec2.yml site.yml

Lorsque vous combinez des sources, nommez les groupes avec soin. Si un fichier statique et un plugin dynamique créent tous deux webservers, Ansible fusionnera l'appartenance au groupe. Cela peut être utile, mais cela peut aussi cacher une erreur. Je préfère les noms de groupe qui révèlent la source ou l'intention, tels que aws_web, dc_web, prod_web et legacy_db, puis créer des groupes parents intentionnellement.

Décidez également comment les variables seront gérées avant la migration. L'inventaire dynamique est bon pour découvrir les hôtes et les métadonnées ; ce n'est pas toujours le meilleur endroit pour stocker la configuration de l'application. Conservez les paramètres à long terme dans group_vars/ et host_vars/ lorsqu'ils appartiennent à Ansible, et utilisez des étiquettes ou des métadonnées pour regrouper les faits qui existent déjà en dehors d'Ansible. Une étiquette cloud comme Environment=prod est un bon signal de regroupement. Un mot de passe de base de données ne l'est pas.

La mise en cache mérite une mention rapide. De nombreux plugins d'inventaire dynamique peuvent mettre en cache les résultats afin que chaque commande n'atteigne pas l'API du fournisseur. La mise en cache peut accélérer les exécutions et réduire les problèmes de limite de débit, mais elle introduit une autre question : à quel point l'inventaire peut-il être obsolète ? Pour l'automatisation du déploiement, un cache court peut convenir. Pour une réponse d'urgence après un événement de mise à l'échelle, vous pouvez actualiser l'inventaire explicitement.

La transition ne doit pas nécessairement se faire en une seule coupure risquée. Commencez par générer l'inventaire dynamique et comparez-le avec le fichier statique. Exécutez ensuite des commandes en lecture seule via la source dynamique :

ansible -i aws_ec2.yml env_prod -m ping
ansible -i aws_ec2.yml env_prod -m setup -a "filter=ansible_hostname"

Après cela, déplacez un playbook à faible risque. Conservez l'ancien inventaire jusqu'à ce que l'équipe ait confiance dans le comportement de regroupement et de variables. La meilleure stratégie d'inventaire est celle que les opérateurs peuvent expliquer lors d'une panne, pas celle qui a le plus d'automatisation sur le papier.