任务验证:检查模式和差异模式

Ansible提供两种用于验证任务的执行模式:检查模式和差异模式。这些模式可以单独或一起使用。当您创建或编辑剧本或角色并想知道它将执行什么操作时,这些模式非常有用。在检查模式下,Ansible运行而不会对远程系统进行任何更改。支持检查模式的模块会报告它们本来会进行的更改。不支持检查模式的模块不会报告任何内容,也不会执行任何操作。在差异模式下,Ansible提供前后比较。支持差异模式的模块会显示详细信息。您可以结合使用检查模式和差异模式来详细验证您的剧本或角色。

使用检查模式

检查模式只是一个模拟。它不会为使用基于已注册变量的条件语句(先前任务的结果)的任务生成输出。但是,它非常适合验证一次在一个节点上运行的配置管理剧本。要在检查模式下运行剧本

ansible-playbook foo.yml --check

强制或阻止任务的检查模式

2.2版新增功能。

如果您希望某些任务始终或从不以检查模式运行,而不管您是否使用--check运行剧本,您可以向这些任务添加check_mode选项

  • 要强制任务以检查模式运行,即使在不使用--check调用剧本时也是如此,请设置check_mode: true

  • 要强制任务以正常模式运行并对系统进行更改,即使在使用--check调用剧本时也是如此,请设置check_mode: false

例如

tasks:
  - name: This task will always make changes to the system
    ansible.builtin.command: /something/to/run --even-in-check-mode
    check_mode: false

  - name: This task will never make changes to the system
    ansible.builtin.lineinfile:
      line: "important config"
      dest: /path/to/myconfig.conf
      state: present
    check_mode: true
    register: changes_to_important_config

使用check_mode: true运行单个任务对于测试Ansible模块非常有用,无论是测试模块本身还是测试模块进行更改的条件。您可以对这些任务注册变量(参见条件语句),以更详细地了解潜在的更改。

注意

在2.2版之前,只存在等同于check_mode: false的表示方法。当时的表示法是always_run: true

在检查模式下跳过任务或忽略错误

2.1版新增功能。

如果您希望在检查模式下运行Ansible时跳过任务或忽略任务中的错误,可以使用布尔型魔术变量ansible_check_mode,当Ansible在检查模式下运行时,该变量设置为True。例如

tasks:

  - name: This task will be skipped in check mode
    ansible.builtin.git:
      repo: ssh://[email protected]/mylogin/hello.git
      dest: /home/mylogin/hello
    when: not ansible_check_mode

  - name: This task will ignore errors in check mode
    ansible.builtin.git:
      repo: ssh://[email protected]/mylogin/hello.git
      dest: /home/mylogin/hello
    ignore_errors: "{{ ansible_check_mode }}"

使用差异模式

ansible-playbook的--diff选项可以单独使用,也可以与--check一起使用。当您在差异模式下运行时,任何支持差异模式的模块都会报告所做的更改,或者如果与--check一起使用,则报告本来会进行的更改。差异模式在操作文件的模块(例如,模板模块)中最常见,但其他模块也可能会显示“前后”信息(例如,用户模块)。

差异模式会产生大量的输出,因此最好一次检查一个主机时使用。例如

ansible-playbook foo.yml --check --diff --limit foo.example.com

2.4版新增功能。

强制或阻止任务的差异模式

由于--diff选项可能会泄露敏感信息,您可以通过指定diff: false来禁用任务的差异模式。例如

tasks:
  - name: This task will not report a diff when the file changes
    ansible.builtin.template:
      src: secret.conf.j2
      dest: /etc/secret.conf
      owner: root
      group: root
      mode: '0600'
    diff: false