Debian Distributions Update mit Ansible

[Gast deRoOx]

Hey

Ich bin als Azubi zum Fachinformatiker für Systemintegration in einer kleinen Firma angestellt und den Auftrag bekommen mich mit Ansible zu beschäftigen, da das noch keiner in der Firma bisher beherrscht.
Daher bin ich auch in Sachen Ansible ein absoluter Neuling (okay, in Debian, bzw. Linux allgemein auch xD).

Jedenfalls haben wir in Zukunft vor, unsere Debian 9 Server auf Debian 10 zu aktualisieren. Dies soll mit Ansible geschehen.
Daher habe ich heute nun ein kleines Playbook geschrieben und dieses ausgetestet. Das reine Distributionsupdate klappt auf alle Fälle schon.
Jedoch stellt sich mir die Frage, ob ich da irgendwas übersehe/vergessen habe, was zu Problemen führen könnte.
Könnte sich das jemand eventuell kurz anschauen und mir ein paar Ratschläge dazu geben?
Sicherheitsabfragen, wie z.B. dass das Playbook wirklich nur auf Debian Servern ausgeführt wird etc, kommen später dazu. Es handelt sich also wirklich nur um das reine Dist Update ^^

 

---
- hosts:
    all
  become: yes
  gather_facts: yes
  tasks:
    - name: vorbereiten
      shell: sed -i 's/stretch/buster/g' /etc/apt/sources.list
      shell: apt-get update
    - name: update
      apt:
        update_cache: yes
        upgrade: dist
        autoremove: yes
~
 

Danke schonmal an alle die sich die Mühe machen, sich dies anzuschauen

[Han_Trio]

Moin,

abseits von Ansible: Sei bereit, bei einem dist-upgrade potentiell mit.. unschönen Dingen zu rechnen.
Es werden andere Versionen von Paketen eingesetzt, die ggf. gewisse Funktionen nicht mehr unterstützen, Konfig-Dateien befinden sich "plötzlich" an anderer Stelle, oder es wird gar ein Paket überhaupt nicht mehr ausgeliefert bzw. ersetzt.
Muss alles nicht, kann aber.

Ich kann grundsätzlich im Umgang mit Ansible empfehlen, alles, was man automatisieren möchte, vorher auch "zu Fuß" zu beherrschen, also in diesem Fall: Wie würde ein dist upgrade mit den einzelnen Commands in der Konsole ablaufen.
Erspart hinterher ne Menge Zeit beim Troubleshooting.

Konkret fällt mir an deinem Playbook eigentlich nur eine kleine Kritik ein:
"shell: apt-get update" und "apt: update_cache=yes" machen genau das Gleiche
-> siehe: https://docs.ansible.com/ansible/2.3/apt_module.html

Es wird mit dem shell Modul auch funktionieren, aber grundsätzlich würde ich, falls ein passendes Modul vorhanden ist, immer dieses empfehlen.

Außerdem bin ich persönlich ein Fan von Roles - aber das kommt mit der Zeit, es bezieht sich eher auf den Aufbau eines Playbooks in Bezug auf Übersichtlichkeit + Wiederverwendbarkeit.
Wenn Playbooks später immer größer werden (und das WERDEN sie), ist diese Aufteilung umso sinnvoller.

Also als Tips für die Zukunft:
- mach das Ganze vorher auch "zu Fuß", damit du verstehst, was da passiert
- setze dich mittelfristig mit der Auslagerung in Ansible-Rollen auseinander
- die (noch fehlende) Spezifität in Bezug auf Debian hast du ja selber schon angesprochen. Vermutlich hast du dann von "Ansible Conditionals" bereits zumindest gehört

[charmanta]

Wozu denn die Hose mit ner Kneifzange anziehen ?
Das lohnt doch den Aufwand gar nicht oder sollst Du auch AE lernen ?