静的インベントリと動的インベントリ：スケールに適したAnsible戦略の選択

Ansibleインベントリは、Ansibleが操作を許可されたマシンのリストであり、それらに到達する方法を説明するグループと変数を含みます。そのリストが間違っていると、プレイブックが完璧でも実行が危険になる可能性があります。新しいホストを見逃したり、削除されたホストを管理し続けたり、グループ名がずれてデータベースタスクをWebノードに対して実行してしまうかもしれません。

静的インベントリと動的インベントリの選択は、成熟度のバッジではありません。静的ファイルは、多くの小規模で安定した環境において依然として最もクリーンな答えです。動的インベントリは通常、インフラストラクチャがクラウドAPI、オートスケーリンググループ、Kubernetes、Terraform、または他の信頼できる情報源によって作成および破棄される場合に適しています。有用な質問は「どちらがより高度か？」ではなく、「これらのホストに関する真実はすでにどこにあるのか？」です。

Ansibleインベントリの理解

その核心において、AnsibleインベントリはAnsibleが管理するホストのリストです。これらのホストは、サーバー、ネットワークデバイス、またはその他の管理対象ノードであり得ます。インベントリは、グループを含むさまざまな方法で構造化でき、インフラストラクチャのサブセットに設定を適用できます。

インベントリファイル（またはソース）は、INIまたはYAML形式にすることができます。例えば、シンプルなINI形式のインベントリは次のようになります：

[webservers]
web1.example.com
web2.example.com

[databases]
db1.example.com

この構造は、webserversとdatabasesの2つのグループを定義し、それぞれに特定のホストが割り当てられています。Ansibleはプレイブックでこれらのグループをターゲットにでき、例えばwebserversグループ内のすべてのホストにWebサーバー設定をデプロイできます。

静的インベントリ：シンプルさと制御

静的インベントリとは、ホストのリストが明示的に定義され、手動で管理されるインベントリソースを指します。これは通常、インフラストラクチャが変更されるたびに更新されるプレーンテキストファイル（INIまたはYAML）を使用して行われます。

静的インベントリの特徴

• 手動定義: ホストとそのグループメンバーシップがファイルに直接リストされます。
• 固定構造: インベントリは手動で編集されるまで一定です。
• 開始が簡単: 小規模で安定した環境向けに簡単にセットアップできます。
• 予測可能: Ansibleがターゲットとするホストを常に正確に把握できます。

静的インベントリの長所

• シンプルさ: 小規模で予測可能な環境では、静的インベントリは管理が簡単です。
• 制御: どのホストを含め、どのようにグループ化するかを完全に制御できます。
• 理解の容易さ: 構造が読みやすく理解しやすいです。

静的インベントリの短所

• スケーラビリティの問題: 多数のホストを手動で管理するのは時間がかかり、エラーが発生しやすくなります。
• メンテナンスのオーバーヘッド: インフラストラクチャの追加、削除、変更のたびに、インベントリファイルを手動で更新する必要があります。
• 動的環境には不向き: インスタンスが頻繁に起動および終了されるクラウド環境では、静的インベントリはすぐに古くなります。

静的インベントリを使用すべき場合

静的インベントリは、以下に最適な選択肢です：

• 変更がまれな小規模なオンプレミスインフラストラクチャ。
• 固定されたマシンセットを持つ開発環境やテスト環境。
• 管理対象ノードの正確な制御が最も重要で、変更がまれな状況。

動的インベントリ：自動化と弾力性

一方、動的インベントリを使用すると、Ansibleはホストを自動的に発見および管理できます。ホストを手動でリストする代わりに、Ansibleは外部データソース（クラウドプロバイダーAPI、CMDB、スクリプトなど）にクエリを実行して、インフラストラクチャの現在の状態を取得します。

動的インベントリの仕組み

動的インベントリソースは通常、Ansibleの動的インベントリAPIに準拠したスクリプトまたはプラグインとして実装されます。Ansibleがインベントリデータを必要とするとき、このスクリプトまたはプラグインを実行し、関連するシステムにクエリを実行して、ホスト情報をJSON形式で返します。このJSON出力には、ホスト、そのグループ、および関連する変数が含まれます。

Ansibleは多くのクラウドプロバイダーおよびサービス向けの組み込みサポートを提供しており、動的インベントリの統合を容易にします。例えば、AWS EC2を動的インベントリソースとして使用するには、aws_ec2インベントリプラグインをインストールします。

動的インベントリの特徴

• 自動発見: ホストが外部ソースから発見されます。
• リアルタイム更新: インベントリはインフラストラクチャの現在の状態を反映します。
• クラウドプロバイダーとの統合: AWS、Azure、GCPなどのクラウドプラットフォームとシームレスに連携します。
• タグとメタデータ: グループ化と変数割り当てのために、外部ソースからのタグとメタデータを活用します。

動的インベントリの長所

• スケーラビリティ: 数百または数千のホストを持つ環境を簡単に処理できます。
• 自動化: 手動によるインベントリメンテナンスを排除し、エラーを減らし時間を節約します。
• 回復力: 新しくプロビジョニングされたリソースや終了されたリソースを自動的に考慮します。
• 柔軟性: クラウドコンピューティングの動的な性質に適応します。

動的インベントリの短所

• 複雑さ: 初期設定と構成は静的インベントリよりも手間がかかる場合があります。
• 外部システムへの依存: 外部データソースの可用性と正確性に依存します。
• 過剰管理の可能性: 注意深く構成しないと、Ansibleが管理対象外のリソースを管理しようとする可能性があります。

人気のある動的インベントリソース

• クラウドプロバイダープラグイン: aws_ec2、azure_rm、gcp_compute。
• コンテナオーケストレーター: kubernetes.core.k8s。
• CMDBと資産システム: ServiceNow、NetBox、または内部サービスカタログ。
• カスタムスクリプト: 有効なJSONを出力する任意のスクリプト。

例：AWS EC2動的インベントリの使用

AWS EC2インスタンスを動的インベントリとして使用するには、通常aws_ec2プラグインを設定します。これには、AWSリージョン、認証情報、フィルターを指定するAnsibleインベントリ設定ファイル（例：aws_ec2.yml）の作成が含まれる場合があります。

# aws_ec2.yml
plugin: aws_ec2
regions:
  - us-east-1
filters:
  instance-state-name: running
keyed_groups:
  - key: tags.Environment
    prefix: env
  - key: tags.Project
    prefix: project
compose:
  ansible_host: private_ip_address

この設定により、Ansibleはus-east-1の実行中のEC2インスタンスをAWSにクエリします。EnvironmentおよびProjectタグに基づいて自動的にグループを作成し、それぞれenv_およびproject_をプレフィックスとして付けます。また、各インスタンスのansible_hostをプライベートIPアドレスに設定します。

その後、この動的インベントリソースを使用してAnsibleコマンドまたはプレイブックを実行できます：

ansible-inventory --graph -i aws_ec2.yml
ansible-playbook -i aws_ec2.yml site.yml

動的インベントリに移行すべきタイミング

静的インベントリから動的インベントリへの移行の決定は、多くの場合、インフラストラクチャの特性と運用の成熟度によって決まります。

動的インベントリを検討すべき兆候

• インフラストラクチャの成長: 手動のインベントリ編集がホストの見落とし、古いホスト、またはレビューの遅延を引き起こしている場合。
• クラウド導入: AWS、Azure、GCPなどのクラウドプラットフォームを多用しており、リソースが一時的で自動スケーリングされる場合。
• 頻繁な変更: インフラストラクチャが頻繁に更新、スケールアップ/ダウン、またはデプロイされる場合。
• 自動化の目標: より高いレベルの自動化を達成し、インフラストラクチャ管理への手動介入を減らすため。
• オーケストレーション統合: Kubernetesなどのコンテナオーケストレーターを使用する場合、動的インベントリはポッドとサービスの管理に不可欠です。

移行プロセス

1. インフラストラクチャを評価する: ホストがどこで管理されているか（クラウド、オンプレミス、コンテナ）と、どのようにプロビジョニングされているかを理解します。
2. データソースを特定する: インフラストラクチャの決定版リストを保持する外部システム（例：クラウドプロバイダーAPI、CMDB）を特定します。
3. 適切なプラグイン/スクリプトを選択する: データソースに適した動的インベントリプラグインまたはスクリプトを選択または開発します。
4. グループ化と変数を設定する: ホストをどのようにグループ化するか（例：タグ、インスタンスタイプ）と、変数をどのように割り当てるかを定義します。
5. 徹底的にテストする: 本番環境にデプロイする前に、ステージング環境で動的インベントリに対してAnsibleコマンドを実行します。
6. 必要に応じてプレイブックを更新する: プレイブックが新しいグループ化と変数構造と互換性があることを確認します。

インベントリ管理のベストプラクティス

静的インベントリと動的インベントリのどちらを選択しても、ベストプラクティスに従うことで、効率的で信頼性の高いAnsible運用が保証されます：

• 整理整頓を保つ: 意味のあるグループ名と一貫したホスト命名規則を使用します。
• 変数を活用する: Ansible変数（host_vars、group_vars）を使用して設定の違いを管理し、プレイブックでの繰り返しを避けます。
• エイリアスとファクトを使用する: 静的インベントリの場合はエイリアスの使用を検討します。動的インベントリの場合は、動的変数割り当てのためにクラウドプロバイダーのタグとメタデータを最大限に活用します。
• 定期的にレビューと監査を行う: 特に静的インベントリを使用している場合は、定期的にインベントリの正確性と完全性を確認します。
• 認証情報を保護する: APIアクセスが必要な動的インベントリプラグインを使用する場合、認証情報が安全に管理されていることを確認します（例：Ansible Vault、IAMロールの使用）。

実際の例

小規模な静的環境では、巧妙な統合よりもプレーンなインベントリファイルの方が優れている場合があります。小さなオフィスや小規模な本番デプロイメントで、3台のWebサーバー、1台のデータベースサーバー、1台の踏み台ホストを想像してください：

[webservers]
web01 ansible_host=10.20.1.11
web02 ansible_host=10.20.1.12
web03 ansible_host=10.20.1.13

[databases]
db01 ansible_host=10.20.2.20

[all:vars]
ansible_user=deploy

誰でもGitでそのファイルをレビューできます。db01を間違ったグループに移動するプルリクエストは簡単に見つかります。管理するクラウド認証情報も、デバッグするプラグインキャッシュも、API障害による驚きもありません。サーバーリストが四半期に一度しか変わらない場合、静的インベントリは弱点ではありません。

問題が始まるのは、ファイルが現実を反映しなくなったときです。チームがTerraformを介してインスタンスを追加し、別のチームがインシデント中にノードを終了し、Ansibleインベントリは後で「誰かが覚えているときに」更新されます。そのギャップが、古くなった自動化の原因です。到達不能なホストのようなエラーが発生したり、さらに悪いことに、新しいホストが追加されなかったためにフリートの半分だけをパッチすることになります。

動的インベントリは、外部システムがすでに信頼できる情報源として扱われている場合に最も効果的です。AWSでは、それはEC2タグかもしれません。データセンターでは、NetBoxかもしれません。プラットフォームチームでは、プロビジョニングパイプラインによって入力されるサービスカタログかもしれません。インベントリプラグインはその真実の読み取り専用であるべきであり、オペレーターが新しいグループロジックを発明する第二の場所であってはなりません。

タグの品質はプラグインよりも重要です。このAWSの例は、EnvironmentおよびProjectタグでグループ化します：

plugin: amazon.aws.aws_ec2
regions:
  - us-east-1
filters:
  instance-state-name: running
keyed_groups:
  - key: tags.Environment
    prefix: env
  - key: tags.Project
    prefix: project
compose:
  ansible_host: private_ip_address

これは、すべてのインスタンスにそれらのタグがあり、タグの値が一貫している場合にのみクリーンです。prod、production、Productionは、正規化しない限り異なるグループを作成します。重要なプレイブックを動的インベントリに移行する前に、以下を実行します：

ansible-inventory -i aws_ec2.yml --graph
ansible-inventory -i aws_ec2.yml --list --yaml

空のグループ、予期しないグループ名、プライベートIPを使用すべき場所でのパブリックIP、および多すぎる場所に表示されるホストを探します。グラフ出力は、失敗したプレイブックよりも早く間違いを発見することがよくあります。

混合アプローチは一般的で、完全に合理的です。ネットワークアプライアンス、レガシーデータベースサーバー、踏み台ホストには静的インベントリを維持し、オートスケールされたアプリケーションノードには動的インベントリを使用するかもしれません。Ansibleは複数のインベントリソースを同時にロードできます：

ansible-playbook -i inventory/static.ini -i inventory/aws_ec2.yml site.yml

ソースを組み合わせる場合、グループ名には注意してください。静的ファイルと動的プラグインの両方がwebserversを作成する場合、Ansibleはグループメンバーシップをマージします。これは便利ですが、間違いを隠す可能性もあります。ソースや意図を明らかにするグループ名（例：aws_web、dc_web、prod_web、legacy_db）を使用し、意図的に親グループを作成することをお勧めします。

また、移行前に変数の処理方法を決定します。動的インベントリはホストとメタデータの発見に優れていますが、アプリケーション設定を保存するのに常に最適な場所とは限りません。長期間有効な設定は、それらがAnsibleに属する場合はgroup_vars/とhost_vars/に保持し、Ansibleの外部にすでに存在するグループ化ファクトにはタグまたはメタデータを使用します。Environment=prodのようなクラウドタグは良いグループ化シグナルです。データベースパスワードはそうではありません。

キャッシュについても簡単に触れておきます。多くの動的インベントリプラグインは結果をキャッシュできるため、すべてのコマンドがプロバイダーAPIにヒットするわけではありません。キャッシュにより実行が高速化され、レート制限の問題が軽減される可能性がありますが、別の疑問が生じます：インベントリはどの程度古くなっても許容されるのか？デプロイメント自動化の場合、短いキャッシュで問題ないかもしれません。スケールイベント後の緊急対応では、インベントリを明示的にリフレッシュしたい場合があります。

移行は、リスクの高い一度の切り替えで行う必要はありません。まず動的インベントリを生成し、静的ファイルと比較します。次に、動的ソースを介して読み取り専用コマンドを実行します：

ansible -i aws_ec2.yml env_prod -m ping
ansible -i aws_ec2.yml env_prod -m setup -a "filter=ansible_hostname"

その後、リスクの低いプレイブックを1つ移行します。チームがグループ化と変数の動作を信頼するまで、古いインベントリを保持します。最良のインベントリ戦略とは、オペレーターが障害時に説明できるものであり、紙面上で最も自動化されているものではありません。