周一早晨，一条看似平常的 Ansible 任务，配合 state=latest 参数。四十七分钟后，支付团队触发 P1 级故障，五十台生产服务器运行着未经审批的 Nginx 版本。事后复盘的结论令人不安：Ansible 完全按照指令执行了操作。

事故复盘：问题出在哪里

故障任务定义如下：

- name: 安装 Nginx 服务
  ansible.builtin.apt:
    pkg: nginx
    state: latest
    update_cache: true

故障表现：Playbook 执行完毕后，用户立即遭遇 SSL handshake failed 错误。支付网关 API 调用超时，交易成功率在 90 秒内跌至 2% 以下。

根本原因：周末 Ubuntu 镜像同步后，state: latest 在周一早晨将 Nginx 从 1.24 版本批量升级至 1.26 版本。Nginx 1.26 引入了 TLS 配置变更，导致与支付处理商老化的中间证书链握手失败。无人测试，无人预判。任务日志显示 changed，但未记录具体变更内容。

修复方案：通过 state: present version=1.24.* 回滚版本，并在 apt 偏好设置中锁定版本。一个参数的疏忽导致四十七分钟的支付中断。

关键教训：

state: latest 不是幂等性。它是每次运行时执行升级的指令。幂等性意味着达到定义的状态，而 latest 是一个移动目标，不是定义状态。

正确安装 Ansible（Ubuntu 22.04）

官方 PPA 提供比 Ubuntu 默认仓库更新的 Ansible 版本，是搭建控制节点的正确选择：

# 添加 Ansible 官方 PPA
sudo apt-add-repository ppa:ansible/ansible -y
sudo apt update

# 安装 Ansible
sudo apt install ansible -y

# 验证安装
ansible --version

预期输出：

ansible [core 2.17.x]
  config file = /etc/ansible/ansible.cfg
  python version = 3.10.x

三种安装方式对比：

清单文件配置要点

Ansible 需要知道连接哪些主机。生产环境应使用项目级清单文件：

# inventory/prod_hosts

[webservers]
web-01.prod.local
web-02.prod.local
web-03.prod.local

[dbservers]
db-01.prod.local

[webservers:vars]
ansible_user=deployer
ansible_ssh_private_key_file=~/.ssh/deploy_key

编写 Playbook 前先测试连通性：

ansible all -i inventory/prod_hosts -m ping

预期输出：

web-01.prod.local | SUCCESS => {"ping": "pong"}
web-02.prod.local | SUCCESS => {"ping": "pong"}

若出现 UNREACHABLE 错误，检查 SSH 密钥权限（chmod 600）、目标主机 ~/.ssh/authorized_keys 配置，确认 ansible_user 在目标主机存在。

临时命令：快速运维工具

临时命令无需编写 Playbook 即可执行运维操作：

# 检查服务器运行时间
ansible webservers -i inventory/prod_hosts -m shell -a "uptime"

# 分发配置文件
ansible webservers -i inventory/prod_hosts -m copy -a "src=./httpd.conf dest=/etc/httpd/conf/httpd.conf"

# 安装软件包（注意：使用 state=present）
ansible webservers -i inventory/prod_hosts -m apt -a "pkg=httpd state=present update_cache=true"

# 重启服务
ansible webservers -i inventory/prod_hosts -m service -a "name=httpd state=restarted"

# 检查磁盘空间
ansible all -i inventory/prod_hosts -m shell -a "df -h"

核心模式：-m 模块名 -a "模块参数"。

编写规范的 Playbook

以下示例展示版本锁定的正确做法：

---
- name: 配置 Web 服务器集群
  hosts: webservers
  become: true

  vars:
    httpd_pkg_version: "2.4.*"  # 锁定次版本号

  tasks:
    - name: 安装 Apache（锁定版本）
      ansible.builtin.apt:
        pkg: "apache2={{ httpd_pkg_version }}"
        state: present        # 始终使用 present
        update_cache: true

    - name: 部署站点配置
      ansible.builtin.template:
        src: templates/vhost.conf.j2
        dest: /etc/apache2/sites-available/mysite.conf
        mode: '0644'
      notify: reload httpd

    - name: 启用站点
      ansible.builtin.command:
        cmd: a2ensite mysite
      changed_when: false

  handlers:
    - name: reload httpd
      ansible.builtin.service:
        name: apache2
        state: reloaded

执行 Playbook：

ansible-playbook -i inventory/prod_hosts deploy.yml

生产环境执行前，务必使用 --check --diff 进行预检：

ansible-playbook -i inventory/prod_hosts deploy.yml --check --diff

此命令展示即将发生的变更而不实际执行，应成为标准习惯。

防止 state:latest 事故的实践规则

对于涉及外部集成的关键软件包，永远不要使用 state: latest。

推荐模式：

vars:
  pkg_versions:
    nginx: "1.24.*"
    openssl: "3.0.*"
    python3: "3.10.*"

tasks:
  - name: 按锁定版本安装软件包
    ansible.builtin.apt:
      pkg: "{{ item.key }}={{ item.value }}"
      state: present
    loop: "{{ pkg_versions | dict2items }}"

当需要升级时，版本变更作为代码修改经过审核流程，而非 Playbook 运行的自动结果。