Как организовано хранение переменных в Ansible

Организация хранения переменных в Ansible

В Ansible существует гибкая и многоуровневая система управления переменными, которая позволяет эффективно разделять данные, обеспечивать безопасность и адаптировать конфигурации для разных окружений. Основные принципы — инкапсуляция, приоритетность и динамичность.

Основные источники переменных

1. Инвентори (inventory): переменные могут быть связаны с хостами или группами.

    *   **Групповые переменные**: определяются в файлах `group_vars/<группа>.yml` или внутри инвентори в секции `[<группа>:vars]`.
    *   **Хостовые переменные**: в файлах `host_vars/<хост>.yml` или в инвентори `[<хост>:vars]`.

```yaml
# Пример в inventory.yml
[webservers]
web1.example.com
web2.example.com

[webservers:vars]
http_port=80
```

2. Playbook и Tasks: переменные могут быть заданы непосредственно в плейбуках.

    *   Ключ `vars:` на уровне play.
    *   Ключ `vars_files:` для включения внешних YAML файлов.
    *   Модуль `set_fact` для создания динамических переменных во время выполнения.

```yaml
- hosts: webservers
  vars:
    deployment_user: "ansible"
  vars_files:
    - "secrets/prod_db_pass.yml"
  tasks:
    - name: Set dynamic fact
      set_fact:
        cache_dir: "/tmp/{{ inventory_hostname }}"
```

3. Роли (Roles): наиболее структурированный способ.

    *   **`roles/<role>/defaults/main.yml`**: переменные с низким приоритетом (могут быть легко переопределены).
    *   **`roles/<role>/vars/main.yml`**: переменные с высоким приоритетом (чаще для внутренней логики роли).

```yaml
# roles/apache/defaults/main.yml
apache_port: 80
apache_version: "2.4"
```

4. Файлы переменных в vars/: централизованное хранилище, часто используемое для общих или секретных данных, подключаемое через vars_files.

Ключевые механизмы управления

• Приоритет переменных: Ansible использует строгий порядок, где, например, переменные из set_fact имеют более высокий приоритет, чем переменные из defaults роли. Это важно для управления переопределениями.
• Секретные переменные и Ansible Vault: Для защиты чувствительных данных (паролей, ключей) используется Ansible Vault. Файлы шифруются и могут безопасно храниться в репозитории.

  # Создание зашифрованного файла
  ansible-vault create vars/secrets.yml
  

    В плейбуке такой файл обрабатывается с флагом `--ask-vault-pass` или через зашифрованный пароль в файле.

• Динамические переменные и Facts: Ansible автоматически собирает facts (системную информацию) о каждом хосте перед выполнением tasks. Эти данные доступны как переменные (например, {{ ansible_os_family }}). Также можно создавать собственные динамические переменные через set_fact или регистрировать вывод задач (register).

  tasks:
    - name: Get free memory
      shell: free -m | awk '/Mem:/ {print $4}'
      register: memory_result
    - name: Use registered variable
      debug:
        msg: "Free memory is {{ memory_result.stdout }} MB"
  

Практические рекомендации по организации

• Разделение по окружениям: используйте разные директории (group_vars/prod/, group_vars/dev/) или инвентори файлы для isolation.
• Иерархия в инвентори: сложные группы (например, prod_webservers) позволяют наследовать переменные.
• Шаблонизация через defaults: в ролях задавайте "общие" значения в defaults/main.yml, чтобы их легко переопределять на уровне плейбука или инвентори.
• Минимизация vars/ в ролях: переменные в roles/<role>/vars/main.yml имеют высокий приоритет и плохо переопределяются, используйте их для внутренних констант роли.
• Централизация общих данных: часто используемые переменные (версии ПО, порты) можно хранить в group_vars/all.yml.

Таким образом, система переменных в Ansible — это не просто хранилище, а мощный инструмент для построения идемпотентных, безопасных и адаптируемых конфигураций, где правильное структурирование напрямую влияет на управляемость и масштабируемость инфраструктуры.