如何在Ansible设置中测试配置和配置？

正在尝试尝试在我们的Ansible设置中建立一些弹性，以处理配置和配置。

我了解在事物的配置方面进行测试的几种方法，但是我想知道如何最好地在事物的配置方面进行测试，以及是否有任何工具可以帮助实现这种类型的实现。

目前，我们的许多测试是在剧本期间连续进行的，这对于诸如“有服务出现； vip可用；异步任务已完成”之类的事情很有用，但真正令我感到担忧的是我们管理漂移的能力。在应用程序层和供应层进行配置（例如VM配置）。我知道Ansible并不是解决配置漂移的最佳工具，但我很想知道您的意见。

如果您有什么可以使流程完全自动化的更好。（我们有一些丑陋的脚本，它们每天都会以松弛状态返回报告）。

注意：现在，在一些情况下，可能会发生重新配置（例如，从备份进行重建，严重的系统问题），但是通常情况下，它只是循环执行一些烦人的配置任务，因此不再考虑其他事情。

一些选择。

测试工具：按github stars排序

• Serverspec -Ruby，目前最流行的工具，基于ruby的rspec构建
• Goss -YAML，简单，<10MB的自包含二进制文件，非常快，可以从系统状态生成测试
• Inspec -Ruby，将其视为由厨师们制作的改进的serverspec（几乎相同的语法）。建立起来比serverspec更容易扩展
• Testinfra -Python，具有很酷的功能，能够使用Ansible的清单/变量

它们之间的主要区别：

最终，我建议花一天的时间对所有这些人进行试验，以使他们对自己有一种感觉，然后再决定自己。

• 除了Goss之外，所有框架都可以在远程计算机上运行（例如，通过ssh）。Goss仅在本地或dgoss的docker中运行。
• 所有框架都可以在服务器上本地运行，但是需要安装或嵌入Python或Ruby。Inspec提供了一个独立的<150MB捆绑包，其中包含嵌入式版本的ruby。Goss是单个<10MB二进制文件，没有外部依赖关系。
• Goss内置了对nagios / sensu输出的支持，这使得与监视工具的集成更加容易。
• Goss测试基于YAML，因此往往更简单，但灵活性较差。其他框架允许您利用基本语言Python / Ruby的全部功能来编写测试或扩展工具的功能。（简单性与灵活性）
• Goss允许您从当前系统状态生成测试
• 据我所知，Testinfra是唯一内置支持ansible库存和变量的产品
• Inspec由厨师支持

连续/发散测试：

• 厨师合规 -与inspec一起持续测试您的服务器和付费产品
• 高斯 -可以轻松地挂接到Nagios或Sensu。此外，还支持将服务器测试公开为http端点。

测试开发工具：

• kitchen-测试工具，启动实例，运行配置管理代码，运行测试套件。由厨师们制作
• 分子 -与测试厨房相似，但专门为Ansible设计

完全披露：我是高斯的作者

更新： InSpec 4.x或更高版本使用混合的商业/开源许可证-请参阅注释。

我看到的两个工具是InSpec和ServerSpec。Serverspec是基于RSpec的基于Ruby的工具。InSpec受到RSpec和ServerSpec的启发。

我用过ServerSpec。很酷，但可能不是100％稳定的。我在Ubuntu上测试特定版本的软件时遇到问题。

我已经阅读了InSpec文档，但没有深入研究。它与Serverspec基本上具有相同的作用。

从Github提交来看，ServerSpec上的工作似乎已经结束了一些，而InSpec才刚刚开始。

更新： InSpec 4.x或更高版本使用混合的商业/开源许可证-请参阅注释。

使用Ansible等配置管理工具时，该工具本身将负责防止配置漂移。使用Ansible设置特定配置后，Ansible的重复执行将确保您的配置符合您的定义。这还要求您的Ansible代码以幂等的方式编写。

鉴于以上所述，可以通过从某些服务器循环执行Ansible剧本来实现测试配置。例如，一个cron作业或Jenkins可以每30分钟执行一次剧本，并报告任何故障。没有故障意味着您的配置处于检查中，拥有故障意味着使服务器进入所需状态存在问题。

如果您不信任将代码写为幂等的，因此您无法真正在自动服务器的循环中真正真正地重复执行Ansible，则存在解决方法。您可以执行与上述相同的操作（循环运行Ansible），但使用其空运行模式。每当Ansible报告需要进行更改时，Jenkins作业（或cron作业）都可以通知您您的预配置已更改，并且服务器未处于所需状态。

为了确保您的Ansible代码确实在按照您认为的方式工作，请使用Dave Swersky提到的解决方案。无论INSPEC和Serverspec是验证的工具，不同的方式，你的剧本其实没有你的意思。在测试环境（甚至是Docker容器）中执行此类工具的一种好方法是使用kitchen.ci，它处理各种基础单元测试工具之间的所有胶水，并执行您的剧本/模块/菜谱。

Kitchen.ci最初用于测试Chef食谱，但是也存在Ansible和其他CM工具的插件。

Test Kitchen有一个厨房可配置的供应商插件，用于测试Ansible代码。它不像Chef集成那样深入，但是在大多数情况下确实可以完成工作。还有最近的Molecule项目，它是专用的Ansible测试系统。

您可以使用Outthentic跟踪配置/基础结构差异/漂移，创建测试套件以“修复”所需状态并在每次需要跟踪不想要的更改时重新运行它很容易。