笙亿网络策划

Ansible inventory 主机清单如何动态获取阿里云 ECS 实例列表

约 7 分钟读完 1 阅
文章导读
使用 Ansible 的 alibaba.cloud 集合插件可直接通过 API 动态获取阿里云 ECS 实例列表,适合实例频繁变更或自动伸缩的场景,需注意 AccessKey 权限最小化配置。
📋 目录
  1. 命令速用版
  2. 为什么会这样
  3. 分步处理
  4. 怎么验证是否生效
  5. 常见坑
  6. 常见问题
  7. 参考来源
A A

使用 Ansible 的 alibaba.cloud 集合插件可直接通过 API 动态获取阿里云 ECS 实例列表,适合实例频繁变更或自动伸缩的场景,需注意 AccessKey 权限最小化配置。

先说结论:通过安装 alibaba.cloud 集合并配置动态 inventory 文件,Ansible 可在每次运行时实时拉取阿里云 ECS 实例信息,无需手动维护主机列表。

  • 适合:实例 IP 频繁变化、使用自动伸缩组、多地域混合管理的场景。
  • 先准备:阿里云 AccessKey 权限账号、安装 alibaba.cloud 集合、配置环境变量。
  • 验收:执行 ansible-inventory `--list` 能正确输出实例 IP 和分组信息。

命令速用版

以下命令用于安装集合并测试动态清单连通性,假设环境变量已配置。

ansible-galaxy collection install alibaba.cloud
export ALICLOUD_ACCESS_KEY=your_key
export ALICLOUD_SECRET_KEY=your_secret
export ALICLOUD_REGION=cn-hangzhou
ansible-inventory -i inventory_alicloud.yml `--list`

为什么会这样

静态 inventory 文件无法感知云厂商 API 层面的实例变更,动态插件通过调用阿里云 OpenAPI 实时获取状态。

传统静态文件需要人工更新 IP 列表,当 ECS 实例释放、重建或弹性伸缩时,静态文件会立即失效。动态 inventory 插件在 Ansible 运行前调用阿里云 ECS API,根据标签、地域或状态筛选实例,生成临时主机列表,确保操作目标始终与云端实际资源一致。

分步处理

按顺序完成集合安装、认证配置、清单编写和连通测试,每步需确认无报错。

步骤 1:安装阿里云集合
在控制节点执行安装命令,确保 Ansible 版本兼容。

ansible-galaxy collection install alibaba.cloud

检查点:命令执行完成后显示成功提示,无权限报错。

步骤 2:配置认证信息
推荐使用环境变量或 RAM 角色,避免明文写入文件。

export ALICLOUD_ACCESS_KEY=your_access_key
export ALICLOUD_SECRET_KEY=your_secret_key
export ALICLOUD_REGION=cn-hangzhou

风险边界:AccessKey 需具备 ECS 只读权限,严禁使用主账号 AK。

步骤 3:编写动态清单文件
创建 inventory_alicloud.yml,指定插件和筛选条件。

plugin: alibaba.cloud.ecs
regions:
  - cn-hangzhou
filters:
  tag:env: production
keyed_groups:
  - key: tags
type: ecs

操作动作:根据实际地域和标签调整 filters 配置。

步骤 4:执行连通测试
使用 ansible-inventory 命令验证能否获取主机。

ansible-inventory -i inventory_alicloud.yml `--graph`

验证结果:输出树状结构包含实例 ID 和 IP 地址即为成功。

怎么验证是否生效

通过列出主机图和变量检查确认实例信息已正确加载。

执行以下命令查看主机树状结构,确认实例 ID 在列表中。

ansible-inventory -i inventory_alicloud.yml `--graph`

执行以下命令查看特定主机的变量,确认 ansible_host 字段为公网或内网 IP。

ansible-inventory -i inventory_alicloud.yml `--host` i-bp1234567890

日志位置:若报错,检查 Ansible 输出中的 traceback 信息,通常指向认证失败或 API 超时。

常见坑

以下场景容易导致动态清单获取失败或安全风险,需谨慎处理。

  • AccessKey 权限过大:赋予写权限可能导致误操作,建议仅授予 ReadOnlyAccess 或 ECS 只读策略。
  • 地域配置错误:filters 中的 region 必须与实例实际所在地域一致,否则列表为空。
  • 网络连通性问题:控制节点需能访问阿里云 OpenAPI endpoint,内网环境需配置代理或 VPC 端点。
  • 插件版本不兼容:旧版 alicloud 插件已废弃,必须使用 alibaba.cloud 集合。

常见问题

如何不使用 AK/SK 进行认证?

在 ECS 实例上运行 Ansible 时,可绑定 RAM 角色实现免 AK 认证。

为运行 Ansible 的 ECS 实例绑定 RAM 角色,插件会自动获取临时凭证,无需配置 ALICLOUD_ACCESS_KEY 环境变量。

如何只获取特定标签的实例?

在 inventory 文件的 filters 字段中指定 tag 键值对。

配置 filters 如下:filters: { tag:Project: Web },仅标签 Project 为 Web 的实例会被纳入清单。

动态 inventory 会影响执行速度吗?

每次运行前需调用 API 获取列表,相比静态文件会有少量延迟。

公开资料中没有看到可靠的量化数据,但实例数量较多时建议开启事实缓存或缩小筛选范围以减少 API 调用时间。

参考来源

  • Ansible 官方文档:Working with dynamic inventory(https://docs.ansible.com/ansible/latest/inventory_guide/intro_dynamic.html)
  • Alibaba Cloud Ansible Collection:GitHub 仓库及文档(https://github.com/alibabacloud/ansible-collection)
  • Ansible Galaxy:alibaba.cloud 集合页面(https://galaxy.ansible.com/ui/repo/published/alibaba/cloud/)