Parla con un esperto
Home / DevOps & CI/CD / Ansible
Config management · agentless

Ansible

Quello che Terraform crea, Ansible lo configura. Idempotente, agentless, leggibile come prosa.

ANSIBLE · open source
Ansible
Cos'è

Configuration management semplice da leggere, robusto da eseguire.

Ansible è il config management tool più adottato in azienda — non a caso. Agentless (parla SSH/WinRM, niente da installare sui target), idempotente (rieseguibile mille volte), playbook YAML leggibili anche a chi non è dev.

Lo usiamo per OS hardening (CIS benchmark, STIG), patching automatico, application deploy su VM/bare-metal, configurazione network device via NAPALM, post-provisioning di tutto quello che Terraform crea.

Ansible Automation Platform / AWX per scheduling, RBAC, dashboard, audit. Inventory dinamico letto da Clodino Cloud, vSphere, AD.

Caratteristiche chiave

Quello che mantiene Ansible al centro della config management.

Semplice, espressivo, universale.

Agentless

SSH/WinRM, nessun agent da installare/aggiornare/sicurizzare. Funziona ovunque.

Idempotente

Rieseguibile mille volte, stesso risultato. Niente side-effect indesiderati.

Inventory dinamico

Letto da Clodino Cloud, vSphere, AWS, AD: i target arrivano da soli.

Network ready

NAPALM/netconf per switch, router, firewall (Cisco, Juniper, Arista, Fortinet).

AWX / AAP

UI, RBAC, scheduling, audit log. Self-service workflow per i team.

Ruoli condivisi

Galaxy: migliaia di ruoli pronti (postgres, redis, nginx, prometheus, ...).

Come lo usiamo

Come usiamo Ansible nei progetti reali.

Ansible 2.16+AWX / AAPOpenSCAP / CIS-CATGalaxyNAPALMAnsible Lint
  • Post-provisioning automatico delle VM Terraform: utenti, ssh keys, hardening, monitoring agent.
  • OS hardening CIS Level 2 con compliance scoring (CIS-CAT / OpenSCAP).
  • Patching automatico mensile con maintenance window, rollback testato.
  • Network device config su Cisco/Juniper/Fortinet con Ansible network modules.
  • AWX su K8s per scheduling job, RBAC verso AD, audit log su SIEM cliente.
  • Galaxy interno con ruoli Clodino: clodino-baseline, clodino-monitoring-agent, clodino-postgres-ha.
“Ansible è il martello che sa fare i 100 lavoretti che Terraform non vuole fare.”
Hands on

Playbook Ansible: hardening + monitoring agent.

yaml · playbook~/clodino
 baseline.yml
- hosts: production
  become: true
  roles:
    - clodino-baseline       # utenti, sudoers, ssh, fail2ban
    - clodino-hardening-cis  # CIS Level 2
    - clodino-monitoring-agent
    - clodino-patch-policy
  tasks:
    - name: Ensure docker is removed
      package: { name: docker.io, state: absent }

$ ansible-playbook baseline.yml -i inventory/prod
PLAY RECAP ************************************************
host-01  : ok=47 changed=12 unreachable=0 failed=0
host-02  : ok=47 changed=0  unreachable=0 failed=0
host-03  : ok=47 changed=2  unreachable=0 failed=0

Hai parco VM da governare?

Setup Ansible + AWX + ruoli baseline + patching automatico. Hardening CIS incluso.

← DevOpsParla con noi