Automatiser les processus de déploiement avec Ansible
Ansible pour le déploiement : mon retour d'expérience
Ansible, je l'utilise depuis plus de 8 ans. Mon utilisation la plus intensive : chez Epiconcept, pendant 4 ans, pour automatiser le déploiement et la configuration d'infrastructures de santé publique utilisées par l'INSERM et les Armées. Voici ce que cette expérience m'a appris.
Ansible en production : bien plus que des playbooks
Les playbooks Ansible, c'est la surface visible de l'iceberg. En production chez Epiconcept, j'ai structuré le code en rôles modulaires : un rôle pour le hardening sécurité (CIS benchmarks), un pour Docker, un pour les certificats TLS, un pour les agents de monitoring. Chaque rôle est testé avec Molecule, documenté, et versionné dans Git. Le tout s'exécute via GitHub Actions en CI pour valider avant l'application en production.
Le déploiement automatisé : un cas concret
Chez un client dans le secteur de la santé publique, le déploiement d'un nouveau serveur se faisait en 2 jours de travail manuel. Avec Ansible, c'est 15 minutes : provisioning, installation des paquets, configuration réseau, hardening, déploiement de l'application, configuration du monitoring. Et surtout, le résultat est identique à chaque fois. Quand on gère des serveurs pour des applications critiques, cette reproductibilité est non négociable.
Ansible dans l'écosystème DevOps
Chez Bloomflow, Ansible s'intègre dans un workflow plus large. Terraform provisionne les instances sur le cloud provider (OVH, AWS ou Outscale selon le client), puis Ansible configure les machines. Sur les serveurs qui hébergent Kubernetes, Ansible installe les prérequis (containerd, kubelet), configure le réseau, et applique les politiques de sécurité. Ensuite, Kubernetes prend le relais pour l'orchestration des applications. Chaque outil a son périmètre clair.
Ansible pour le hardening sécurité
Un usage d'Ansible que je recommande systématiquement : le hardening sécurité. Chez un client dans la Défense, j'utilise des rôles Ansible pour appliquer automatiquement les recommandations CIS : désactivation des services inutiles, configuration du pare-feu, audit des fichiers systèmes, configuration SSH durcie. Sans Ansible, ce travail prendrait des heures par serveur. Avec Ansible, c'est fait en quelques minutes et c'est auditable.
Ansible et le monitoring
Chez Metronome, Ansible déploie et configure les agents Prometheus sur chaque nœud du cluster Kubernetes. Les exporters (node-exporter, cAdvisor) sont installés et configurés via des playbooks. Quand un nouveau nœud est ajouté au cluster, le playbook s'exécute automatiquement et le monitoring est opérationnel en quelques minutes. La supervision n'est pas un afterthought, elle est intégrée dès le provisioning.
Ansible : un investissement durable
Après 8 ans d'utilisation intensive, Ansible reste un pilier de ma toolbox. Il n'est pas parfait (la gestion des dépendances entre rôles peut être délicate, et les performances sur de grands inventaires nécessitent de l'optimisation), mais pour la gestion de configuration et le déploiement de serveurs, il n'a pas d'équivalent en termes de simplicité et d'efficacité. C'est un investissement qui se rembourse dès la première utilisation.