# 推荐的项目结构
[root@ansible ~]# tree /fglinux/ansible/
/fglinux/ansible/
├── ansible.cfg
├── inventory/
│ ├── production/
│ │ ├── hosts
│ │ └── group_vars/
│ │ ├── all.yml
│ │ └── webservers.yml
│ └── staging/
│ ├── hosts
│ └── group_vars/
├── roles/
│ ├── common/
│ │ ├── tasks/
│ │ ├── handlers/
│ │ ├── templates/
│ │ ├── files/
│ │ ├── vars/
│ │ └── defaults/
│ ├── nginx/
│ ├── mysql/
│ └── redis/
├── playbooks/
│ ├── site.yml
│ ├── deploy.yml
│ └── update.yml
├── files/
├── templates/
└── vars/

# ansible.cfg配置
[root@ansible ~]# cat > /fglinux/ansible/ansible.cfg << 'EOF' [defaults] inventory = ./inventory/production/hosts roles_path = ./roles host_key_checking = False retry_files_enabled = False gathering = smart fact_caching = jsonfile fact_caching_connection = /tmp/ansible_facts fact_caching_timeout = 86400 stdout_callback = yaml callbacks_enabled = profile_tasks log_path = /var/log/ansible.log [privilege_escalation] become = True become_method = sudo become_user = root become_ask_pass = False [ssh_connection] ssh_args = -o ControlMaster=auto -o ControlPersist=60s pipelining = True EOF # 主Playbook示例 [root@ansible ~]# cat > /fglinux/ansible/playbooks/site.yml << 'EOF' --- - name: 基础系统配置 hosts: all roles: - common - name: 部署Web服务器 hosts: webservers roles: - nginx - php-fpm - name: 部署数据库服务器 hosts: dbservers roles: - mysql - name: 部署缓存服务器 hosts: cacheservers roles: - redis EOF

# 性能优化配置
[root@ansible ~]# cat > /fglinux/ansible/docs/performance_tuning.txt << 'EOF' Ansible性能优化指南 ================== 1. SSH优化 - 启用SSH pipelining - 使用SSH ControlMaster - 配置SSH密钥认证 2. Facts缓存 - 启用fact_caching - 使用jsonfile或redis缓存 - 设置合理的缓存时间 [defaults] gathering = smart fact_caching = jsonfile fact_caching_connection = /tmp/ansible_facts fact_caching_timeout = 86400 3. 并发控制 - 调整forks参数 - 使用serial控制批次 - 使用async异步执行 [defaults] forks = 50 - name: 批量执行 hosts: all serial: 10 4. 模块优化 - 使用shell模块替代command - 避免不必要的register - 使用with_items替代loop 5. 网络优化 - 使用本地连接 - 减少网络传输 - 压缩传输数据 6. Playbook优化 - 减少任务数量 - 合并相似任务 - 使用标签选择性执行 - name: 安装软件 dnf: name: "{{ packages }}" state: present tags: [install, packages] EOF # 优化示例Playbook [root@ansible ~]# cat > /fglinux/ansible/playbooks/optimized.yml << 'EOF' --- - name: 优化部署示例 hosts: all become: yes gather_facts: no serial: 10 vars: packages: - nginx - mysql - redis tasks: - name: 批量安装软件 dnf: name: "{{ packages }}" state: present tags: install - name: 异步执行长时间任务 command: /opt/fgedu/scripts/long_running_task.sh async: 300 poll: 0 register: long_task - name: 配置服务 template: src: config.j2 dest: /etc/fgedu/config.ini notify: Restart service tags: config - name: 检查异步任务状态 async_status: jid: "{{ long_task.ansible_job_id }}" register: job_result until: job_result.finished retries: 30 delay: 10 handlers: - name: Restart service service: name: fgedu-app state: restarted EOF

# 安全最佳实践
[root@ansible ~]# cat > /fglinux/ansible/docs/security_best_practices.txt << 'EOF' Ansible安全最佳实践 ================== 1. 敏感信息管理 - 使用Ansible Vault加密 - 分离敏感配置文件 - 使用外部密钥管理系统 2. 访问控制 - 使用最小权限原则 - 配置sudo权限 - 使用SSH密钥认证 3. 审计日志 - 记录所有操作 - 配置日志轮转 - 定期审计日志 4. 网络安全 - 使用SSH隧道 - 限制SSH访问 - 配置防火墙规则 5. 代码安全 - 不在代码中硬编码密码 - 使用变量文件管理配置 - 定期更新依赖 6. 执行安全 - 使用--check检查模式 - 使用--diff查看变更 - 使用--limit限制范围 EOF # 安全配置示例 [root@ansible ~]# cat > /fglinux/ansible/playbooks/secure_deploy.yml << 'EOF' --- - name: 安全部署 hosts: production become: yes vars_files: - ../vars/secrets.yml tasks: - name: 检查变量是否加密 fail: msg: "敏感变量未加密" when: db_password is not encrypted - name: 使用加密变量 mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" no_log: true - name: 记录操作日志 lineinfile: path: /var/log/ansible_audit.log line: "{{ ansible_date_time.iso8601 }} - {{ inventory_hostname }} - {{ ansible_user }} - Deploy completed" create: yes EOF