Objectif : vérifier l'état, récupérer des informations et assurer une configuration de base

Définir la mission : audit et standardisation avec Ansible

L'objectif principal de cette phase d'apprentissage est de maîtriser les capacités d'Ansible pour effectuer un audit complet de l'état de vos serveurs, collecter des données système pertinentes et, sur cette base, établir une configuration minimale et standardisée. Il s'agit d'une compétence fondamentale en administration système, permettant d'assurer la cohérence, la sécurité et la fiabilité de votre infrastructure. Que vous gériez quelques machines ou un parc de plusieurs centaines de serveurs, Ansible vous offre les outils pour accomplir ces tâches de manière efficace et reproductible.

Vérifier l'état d'un serveur implique plus qu'un simple test de connectivité. Il s'agit de s'assurer que les services critiques fonctionnent, que les ressources système (CPU, mémoire, disque) sont dans des limites acceptables, et que les configurations de sécurité fondamentales sont en place. Ansible, grâce à ses nombreux modules, permet d'interroger ces aspects de manière détaillée sans nécessiter de connexion manuelle à chaque machine.

Récupérer des informations va de pair avec la vérification. Ansible excelle dans la collecte de "facts", des variables contenant une multitude d'informations sur le système d'exploitation, le matériel, le réseau, etc. Ces informations sont cruciales non seulement pour l'audit, mais aussi pour prendre des décisions éclairées lors de l'application de configurations ou de déploiements, permettant par exemple d'adapter les actions en fonction du type de distribution Linux ou de la version d'un logiciel.

Les mécanismes d'Ansible pour l'audit et la collecte d'informations

Pour atteindre l'objectif de vérification et de collecte d'informations, Ansible met à votre disposition plusieurs mécanismes puissants. Le plus direct est l'utilisation des commandes ad-hoc. Celles-ci permettent d'exécuter rapidement des modules spécifiques sur un groupe d'hôtes pour obtenir des réponses immédiates. Par exemple, le module ping teste la connectivité, le module setup collecte une grande quantité de "facts" système, et le module command ou shell permet d'exécuter des commandes arbitraires pour des vérifications spécifiques.

Les "facts" (ou "discovered variables") sont au coeur de la capacité d'Ansible à comprendre son environnement. Lorsqu'un playbook est exécuté (ou lors de l'utilisation du module setup), Ansible collecte par défaut une multitude d'informations sur les noeuds gérés. Ces informations, stockées dans des variables préfixées par ansible_ (par exemple, ansible_os_family, ansible_distribution_version, ansible_memtotal_mb), peuvent ensuite être utilisées dans vos playbooks pour conditionner des tâches, remplir des templates, ou simplement afficher des rapports d'état.

# Exemple de commande ad-hoc pour afficher tous les facts d'un serveur
ansible mon_serveur -m setup

# Exemple pour afficher un fact spécifique (adresse IPv4 principale)
ansible mon_serveur -m setup -a "filter=ansible_default_ipv4.address"

Au-delà des facts standards, vous pouvez créer vos propres "custom facts" pour récupérer des informations très spécifiques à votre application ou à votre environnement. De plus, des modules comme service_facts permettent de récupérer l'état de tous les services sur une machine, ou encore package_facts pour lister les paquets installés, fournissant ainsi des données structurées prêtes à être exploitées pour l'audit.

Assurer une configuration de base : principes et modules clés

Une fois l'état vérifié et les informations collectées, l'étape suivante est d'assurer une configuration de base homogène. Cela signifie s'assurer que certains paquets sont installés, que des fichiers de configuration spécifiques sont en place, que des services essentiels sont démarrés et activés, ou encore que des utilisateurs et groupes sont correctement définis. L'idempotence d'Ansible est ici un atout majeur : un playbook décrivant l'état désiré peut être appliqué de manière répétée, Ansible ne modifiant que ce qui est nécessaire pour atteindre cet état.

Pour la gestion des paquets, les modules comme package (générique), apt (pour Debian/Ubuntu), yum ou dnf (pour les systèmes basés sur RPM) sont fondamentaux. Ils permettent de s'assurer qu'un paquet est présent (state: present), absent (state: absent), ou à une version spécifique.

- name: Assurer l'installation de NTP
  package:
    name: ntp
    state: present
  become: true

Pour la gestion des fichiers, les modules copy (pour transférer des fichiers depuis le noeud de contrôle), template (pour transférer des fichiers en utilisant le moteur de templating Jinja2), et file (pour gérer les attributs des fichiers et répertoires comme les permissions, la présence, le type) sont incontournables. Pour la gestion des services, les modules service ou systemd permettent de contrôler leur état (démarré, arrêté, redémarré) et leur activation au démarrage.

- name: S'assurer que le service sshd est démarré et activé
  service:
    name: sshd
    state: started
    enabled: yes
  become: true

En combinant ces modules au sein de playbooks bien structurés, vous pouvez définir de manière déclarative la configuration de base souhaitée pour vos serveurs. L'objectif n'est pas seulement d'appliquer une configuration initiale, mais de pouvoir la maintenir et la vérifier continuellement, garantissant ainsi la conformité de votre parc.

Bénéfices et bonnes pratiques pour un audit et une configuration efficaces

L'atteinte de cet objectif – vérifier l'état, récupérer des informations et assurer une configuration de base – apporte des bénéfices considérables. Vous gagnez en visibilité sur votre infrastructure, réduisez les risques liés à des configurations hétérogènes ou non conformes, et accélérez le provisionnement de nouvelles machines. L'automatisation de ces tâches libère également du temps pour des activités à plus forte valeur ajoutée.

Pour maximiser l'efficacité, quelques bonnes pratiques sont à observer. Organisez vos playbooks de manière logique, par exemple en utilisant des rôles pour séparer les préoccupations (un rôle pour la configuration de base, un autre pour la sécurité, etc.). Utilisez les variables et les facts d'Ansible pour rendre vos playbooks dynamiques et adaptables à différents environnements sans modifier le code. Documentez vos playbooks avec des commentaires clairs expliquant l'intention de chaque tâche.

Enfin, testez régulièrement vos playbooks, notamment avec l'option --check (mode dry-run) pour anticiper les changements avant de les appliquer réellement. L'intégration de vos playbooks dans un système de contrôle de version comme Git est également indispensable pour suivre les modifications, collaborer et revenir à des versions antérieures si nécessaire. En adoptant ces pratiques, vous transformerez Ansible en un puissant allié pour la gestion proactive et standardisée de votre parc de serveurs.