Для чего Ansible должна быть идемпотентна?

Идемпотентность в Ansible — это принцип, согласно которому выполнение плейбука (или задачи) несколько раз не приведет к изменениям в системе, если система уже находится в нужном состоянии. То есть, если состояние системы после первого применения плейбука соответствует ожидаемому, повторный запуск не должен вносить изменений.

Зачем это нужно?

1. Предсказуемость и повторяемость:
   Идемпотентность позволяет гарантировать, что система не будет неожиданно изменена при повторном применении плейбука. Это особенно важно в средах с высокой динамичностью, например, в облаке или при автоматизированном управлении большим количеством серверов. Если ты запускал плейбук вчера, ты можешь быть уверен, что его повторное выполнение не приведет к непредсказуемым изменениям в системе.

2. Избежание ненужных изменений:
   Без идемпотентности, каждый запуск плейбука может вносить новые изменения, даже если система уже в правильном состоянии. Например, установка пакета, если он уже установлен, может привести к его повторной установке или перезапуску служб, что может вызвать сбои в работе. Идемпотентность минимизирует такие риски.

3. Постоянство состояния:
   В продакшен-средах часто требуется поддержание системы в определенном состоянии. Например, если на сервере должна быть установлена только одна версия приложения, повторный запуск плейбука не должен изменить версию, если она уже установлена. Это дает уверенность в том, что состояние системы будет оставаться неизменным, если оно уже соответствует ожиданиям.

4. Меньше ошибок при автоматизации:
   Когда задачи идемпотентны, проще понять, что произошло при запуске. Например, задача по установке пакета, которая не выполнена, или которая требует изменений, будет ясно показывать, что нужно сделать. Но если пакет уже установлен в правильной версии, то задача просто ничего не сделает, и можно уверенно перейти к следующей. Это снижает количество ошибок, которые могут возникнуть из-за неожиданных изменений в системе.

Как Ansible достигает идемпотентности?

1. Проверка состояния системы:
   Прежде чем выполнять изменения, Ansible всегда проверяет текущее состояние системы. Например, при установке пакета он сначала проверяет, установлен ли этот пакет, и только в случае необходимости выполняет установку.

2. Минимизация изменений:
   Даже если состояние системы изменяется, Ansible стремится выполнить только те действия, которые необходимы для достижения нужного состояния, избегая ненужных изменений. Это особенно важно для критичных и производственных систем, где любые изменения могут повлиять на стабильность.

3. Ресурсные модули:
   В Ansible есть множество специализированных модулей для работы с ресурсами (например, file, package, service и т.д.), которые инкапсулируют логику проверки состояния. Например, модуль file для управления файлами проверяет, существует ли файл в нужном состоянии (с нужными правами доступа, владельцем и т.д.) и только затем принимает решение, нужно ли его изменять.

4. Контроль изменений с помощью changed_when:
   В некоторых случаях можно явно указать, что задача должна считаться измененной или неизмененной. Например, в кастомных задачах можно использовать директиву changed_when, чтобы сообщить Ansible, что задача не должна считаться измененной в определенных условиях.