Verwalten von Inventories in großen Umgebungen

In großen IT-Umgebungen, die Hunderte oder sogar Tausende von Hosts umfassen, ist eine durchdachte und skalierbare Inventarstruktur entscheidend. Eine einfache Liste von Hosts reicht hier oft nicht aus, um die Komplexität der Umgebung zu bewältigen. Stattdessen werden erweiterte Konzepte wie hierarchische Gruppierung, strukturierte Verzeichnisse und dynamische Inventories eingesetzt.

24.1.1 Modern strukturierte Inventory-Organisation

Die empfohlene Praxis für große Umgebungen ist die Verwendung eines strukturierten inventory/-Verzeichnisses:

24.1.2 Best Practices für skalierbare Inventories

24.1.2.1 1. Hierarchische Gruppierung mit YAML

# inventory/hosts.yml
all:
  children:
    production:
      children:
        webservers:
          hosts:
            web1.prod.example.com:
            web2.prod.example.com:
        databases:
          hosts:
            db1.prod.example.com:
            db2.prod.example.com:
    staging:
      children:
        webservers:
          hosts:
            web1.staging.example.com:
        databases:
          hosts:
            db1.staging.example.com:
    datacenter_east:
      children:
        production:
        staging:
  vars:
    ansible_user: ansible
    ntp_server: ntp.internal.example.com

24.1.2.2 2. Geografische und funktionale Segmentierung

# Geografische Aufteilung
all:
  children:
    datacenter_europe:
      children:
        eu_web_tier:
          hosts:
            web-eu-1.example.com:
            web-eu-2.example.com:
        eu_db_tier:
          hosts:
            db-eu-1.example.com:
    datacenter_americas:
      children:
        us_web_tier:
          hosts:
            web-us-1.example.com:
            web-us-2.example.com:
        us_db_tier:
          hosts:
            db-us-1.example.com:

24.1.2.3 3. Umgebungsbasierte Organisation

# inventory/production.yml
production:
  children:
    prod_frontend:
      hosts:
        web[01:10].prod.example.com:
    prod_backend:
      hosts:
        api[01:05].prod.example.com:
    prod_database:
      hosts:
        db[01:03].prod.example.com:

24.2 Verwaltung mehrerer Inventar-Dateien

24.2.1 Ansible-Konfiguration für große Umgebungen

[defaults]
inventory = ./inventory/
remote_user = ansible
host_key_checking = False
timeout = 30
gathering = smart
fact_caching = jsonfile
fact_caching_connection = ./ansible_cache
fact_caching_timeout = 3600

[inventory]
enable_plugins = yaml, ini, script, auto, aws_ec2, azure_rm

[ssh_connection]
ssh_args = -o ControlMaster=auto -o ControlPersist=60s
pipelining = True

24.2.2 Zusammenführung mehrerer Inventory-Quellen

24.2.2.1 1. Verzeichnis-basierte Zusammenführung

ansible-playbook -i inventory/ site.yml

24.2.2.2 2. Explizite Angabe mehrerer Quellen

ansible-playbook -i inventory/static.yml -i inventory/dynamic/ playbook.yml

24.2.2.3 3. Kombinierte statische und dynamische Inventories

# inventory/combined.yml
plugin: constructed
strict: False
compose:
  ansible_host: network.v4[0]
  datacenter: placement.region
  environment: tags.Environment | default('unknown')
groups:
  webservers: "'web' in inventory_hostname"
  databases: "'db' in inventory_hostname"
  production: "environment == 'prod'"
  staging: "environment == 'staging'"

24.3 Effiziente Gruppierung und Performance-Optimierung

24.3.1 Strategische Gruppierung

24.3.1.1 1. Funktionsbasierte Gruppierung

all:
  children:
    web_tier:
      vars:
        http_port: 80
        https_port: 443
      children:
        apache_servers:
          hosts:
            web[01:05].example.com:
        nginx_servers:
          hosts:
            nginx[01:03].example.com:
    
    db_tier:
      vars:
        db_port: 3306
      children:
        mysql_primary:
          hosts:
            mysql-master.example.com:
        mysql_secondary:
          hosts:
            mysql-slave[01:02].example.com:

24.3.1.2 2. Rollenbasierte Gruppierung

# group_vars/webservers.yml
---
packages:
  - nginx
  - php-fpm
  - certbot

firewall_rules:
  - port: 80
    protocol: tcp
  - port: 443
    protocol: tcp

# group_vars/databases.yml
---
packages:
  - mysql-server
  - mysql-client

firewall_rules:
  - port: 3306
    protocol: tcp
    source: "{{ groups['webservers'] }}"

24.3.2 Performance-Optimierung für große Umgebungen

24.3.2.1 1. Fact-Caching aktivieren

# ansible.cfg
[defaults]
gathering = smart
fact_caching = jsonfile
fact_caching_connection = ./ansible_cache
fact_caching_timeout = 3600

24.3.2.2 2. Host-Limits verwenden

# Nur Webserver ausführen
ansible-playbook -i inventory/ --limit webservers site.yml

# Nur spezifische Hosts
ansible-playbook -i inventory/ --limit "web01.example.com,web02.example.com" site.yml

# Pattern-basierte Limits
ansible-playbook -i inventory/ --limit "web*:&production" site.yml

24.3.2.3 3. Parallelisierung optimieren

# ansible.cfg
[defaults]
forks = 20
strategy = free

[ssh_connection]
pipelining = True
ssh_args = -o ControlMaster=auto -o ControlPersist=300s

24.4 Sicherheitsaspekte beim Umgang mit Inventardateien

24.4.1 Verschlüsselung sensibler Daten

24.4.1.1 1. Ansible Vault für Variablendateien

# Verschlüsseln von Gruppenvariablen
ansible-vault encrypt group_vars/production.yml

# Verschlüsseln von Host-Variablen
ansible-vault encrypt host_vars/db1.prod.example.com.yml

# group_vars/production.yml (verschlüsselt)
$ANSIBLE_VAULT;1.1;AES256
66386439653233386464626...

Falsch: Komplette Inventory-Dateien verschlüsseln (strukturelle YAML-Elemente werden unlesbar)

24.4.1.2 2. Trennung von strukturellen und sensiblen Daten

# inventory/hosts.yml (unverschlüsselt - strukturelle Daten)
all:
  children:
    databases:
      hosts:
        db1.prod.example.com:

# group_vars/databases.yml (verschlüsselt - sensible Daten)
db_password: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  66386439653233386464626...

24.4.2 Zugriffskontrollen und Berechtigungen

24.4.2.1 1. Dateiberechtigungen

# Inventory-Verzeichnis schützen
chmod 750 inventory/
chmod 640 inventory/*.yml

# Sensible Dateien extra schützen
chmod 600 group_vars/production.yml
chmod 600 host_vars/*.yml

24.4.2.2 2. Git-Integration mit Sicherheit

# .gitignore
ansible_cache/
*.retry
vault_password.txt

# Vault-Passwort aus separater Datei
ansible-playbook -i inventory/ --vault-password-file ~/.ansible/vault_pass site.yml

24.4.3 Audit und Compliance

24.4.3.1 1. Inventory-Validierung

# Inventory-Struktur prüfen
ansible-inventory -i inventory/ --list --yaml

# Gruppenmitgliedschaften verifizieren
ansible-inventory -i inventory/ --graph

# Host-Variablen anzeigen
ansible-inventory -i inventory/ --host web1.prod.example.com

24.4.3.2 2. Automatisierte Überprüfungen

# validate_inventory.yml
---
- name: Validate inventory structure
  hosts: localhost
  tasks:
    - name: Check required groups exist
      assert:
        that:
          - "'webservers' in groups"
          - "'databases' in groups"
          - "'production' in groups"
        fail_msg: "Required groups missing from inventory"
    
    - name: Verify all hosts are reachable
      ping:
      delegate_to: "{{ item }}"
      loop: "{{ groups['all'] }}"

24.5 Dynamische Inventories für Cloud-Umgebungen

24.5.1 AWS EC2 Integration

# inventory/aws_ec2.yml
plugin: aws_ec2
regions:
  - us-east-1
  - eu-west-1
hostnames:
  - tag:Name
compose:
  ansible_host: public_ip_address
  datacenter: placement.region
  environment: tags.Environment | default('unknown')
groups:
  webservers: "'web' in tags.Role"
  databases: "'db' in tags.Role"
  production: "tags.Environment == 'prod'"

24.5.2 Azure Integration

# inventory/azure_rm.yml
plugin: azure_rm
include_vm_resource_groups:
  - production-rg
  - staging-rg
auth_source: auto
compose:
  ansible_host: public_ip
  datacenter: location
groups:
  webservers: "'web' in name"
  databases: "'db' in name"

24.6 Troubleshooting und Wartung

24.6.1 Häufige Probleme und Lösungen

24.6.1.1 1. Performance bei großen Inventories

# Problem: Langsame Inventory-Verarbeitung
# Lösung: Cache verwenden und Parallelisierung optimieren

# Debug-Informationen sammeln
ansible-inventory -i inventory/ --list --export > inventory_export.json

24.6.1.2 2. Konflikte bei Gruppenvariablen

# Variablen-Priorität prüfen
ansible-inventory -i inventory/ --host hostname --vars

# Gruppen-Hierarchie visualisieren
ansible-inventory -i inventory/ --graph

24.6.2 Wartung und Updates

24.6.2.1 1. Regelmäßige Inventory-Bereinigung

#!/bin/bash
# cleanup_inventory.sh

# Nicht erreichbare Hosts identifizieren
ansible all -i inventory/ -m ping --one-line | grep UNREACHABLE > unreachable_hosts.txt

# Verwaiste Variablendateien finden
find group_vars/ host_vars/ -name "*.yml" | while read file; do
    if ! ansible-inventory -i inventory/ --list | grep -q "$(basename "$file" .yml)"; then
        echo "Orphaned file: $file"
    fi
done

24.6.2.2 2. Dokumentation der Inventory-Struktur

# inventory/README.yml
---
inventory_documentation:
  structure:
    description: "Multi-tier application inventory"
    environments:
      - production
      - staging
      - development
    tiers:
      - web
      - app
      - database
  
  groups:
    webservers:
      description: "Frontend web servers"
      variables: "group_vars/webservers.yml"
    
    databases:
      description: "Database servers"
      variables: "group_vars/databases.yml"
  
  security_notes:
    - "Sensitive variables encrypted with ansible-vault"
    - "Production access restricted to ops team"
    - "Vault password stored in secure location"

24.7 In a Nutshell

Durch die konsequente Anwendung dieser modernen Praktiken können Sie auch komplexeste Infrastrukturen effizient und sicher mit Ansible verwalten.

24 Verwalten von Inventories in großen Umgebungen

24.1 Skalierung von Inventories für große IT-Umgebungen