Ansible项目管理与版本控制实战指南：如何高效协同避免配置混乱与代码冲突

引言：为什么Ansible项目需要严格的版本控制与管理

在现代DevOps实践中，Ansible已成为自动化配置管理和应用部署的行业标准工具。然而，随着团队规模的扩大和基础设施复杂度的提升，许多团队在使用Ansible时会面临一个共同的挑战：如何在多人协作环境中高效管理Ansible项目，避免配置混乱和代码冲突。

一个典型的场景是：运维工程师A修改了Web服务器的配置模板，同时开发工程师B调整了应用部署的Playbook，而安全工程师C更新了所有系统的安全加固策略。如果没有良好的管理机制，这些变更很可能产生冲突，导致生产环境配置不一致，甚至引发严重的故障。

本文将深入探讨如何构建一个健壮的Ansible项目管理体系，结合Git等版本控制工具的最佳实践，帮助团队实现高效协同，避免配置混乱和代码冲突。

一、Ansible项目结构设计：从混乱到有序

1.1 标准化的项目目录结构

良好的项目结构是高效管理的基础。一个混乱的目录结构会让团队成员难以定位文件，增加出错概率。以下是一个经过实战检验的Ansible项目结构：

ansible-project/ ├── ansible.cfg # Ansible配置文件 ├── inventory/ # 动态或静态库存文件 │ ├── production # 生产环境库存 │ ├── staging # 测试环境库存 │ └── group_vars/ # 组变量 │ ├── all.yml # 全局变量 │ ├── webservers.yml # Web服务器变量 │ └── dbservers.yml # 数据库服务器变量 ├── roles/ # 角色目录 │ ├── nginx/ # Nginx角色 │ │ ├── tasks/ │ │ ├── handlers/ │ │ ├── templates/ │ │ ├── files/ │ │ └── vars/ │ ├── postgresql/ # PostgreSQL角色 │ └── common/ # 通用角色 ├── playbooks/ # Playbook文件 │ ├── site.yml # 主Playbook │ ├── web.yml # Web服务器部署 │ └── db.yml # 数据库部署 ├── collections/ # Ansible Collections ├── group_vars/ # 全局组变量 ├── host_vars/ # 主机特定变量 ├── files/ # 静态文件 ├── templates/ # Jinja2模板 ├── scripts/ # 辅助脚本 ├── tests/ # 测试相关 └── README.md # 项目文档

1.2 结构设计原则

1.2.1 单一职责原则 每个角色应该只负责一个明确的职责。例如，nginx角色只负责Nginx的安装和配置，不应该包含数据库配置。这使得角色可以被复用，也便于维护。

1.2.2 环境隔离 通过inventory目录下的不同文件（如production、staging）来隔离不同环境的配置。同时，使用group_vars和host_vars来管理环境特定的变量。

1.2.3 变量分层管理 Ansible的变量优先级机制允许我们分层管理变量：

roles/xxx/defaults/：默认变量，优先级最低
roles/xxx/vars/：角色变量
inventory/group_vars/：组变量
inventory/host_vars/：主机变量
命令行传递的变量：优先级最高

这种分层设计使得我们可以灵活地覆盖配置，而无需修改角色内部代码。

二、Git版本控制策略：分支模型与工作流

2.1 分支策略选择

对于Ansible项目，推荐使用Git Flow或简化版Git Flow作为分支策略。以下是两种推荐的策略：

2.1.1 Git Flow（适合大型团队）

main (或 master) ←--- 生产环境代码，始终稳定 ↓ develop ←--- 集成开发分支，用于日常开发 ↓ feature/xxx ←--- 功能分支，从develop创建 hotfix/xxx ←--- 紧急修复分支，从main创建 release/xxx ←--- 发布分支，准备新版本发布

2.1.2 简化版Git Flow（适合中小型团队）

main ←--- 生产环境代码，受保护分支 ↓ develop ←--- 集成开发分支 ↓ feature/xxx ←--- 功能分支

2.2 分支命名规范

清晰的命名规范有助于快速识别分支用途：

功能分支：feature/[简短描述]，如 feature/nginx-config-update
修复分支：hotfix/[问题简述]，如 hotfix/fix-postgres-port
发布分支：release/[版本号]，如 release/v1.2.0

2.3 提交信息规范

规范的提交信息是协作的基础。推荐使用Conventional Commits规范：

<type>[optional scope]: <description> [optional body] [optional footer(s)]

类型（type）：

feat: 新功能
fix: 修复bug
docs: 文档更新
style: 代码格式调整
refactor: 重构
perf: 性能优化
test: 测试相关
chore: 构建/工具变动

示例：

# 好的提交信息 feat(nginx): 添加HTTP/2支持配置 fix(postgresql): 修正监听地址配置错误 docs(readme): 更新部署流程说明 # 差的提交信息 update config fix bug

2.4 Git工作流实战

2.4.1 日常开发流程

# 1. 从develop创建功能分支 git checkout develop git pull origin develop git checkout -b feature/add-redis-support # 2. 开发并提交 # ... 修改代码 ... git add . git commit -m "feat(redis): 添加Redis安装和配置角色" # 3. 推送到远程仓库 git push -u origin feature/add-redis-support # 4. 创建Pull Request/Merge Request # 在GitLab/GitHub上创建PR，请求合并到develop # 5. 代码审查通过后合并 # 合并后删除功能分支

2.4.2 紧急修复流程

# 1. 从main创建修复分支 git checkout main git pull origin main git checkout -b hotfix/fix-nginx-port # 2. 修复问题并提交 # ... 修改代码 ... git add . git commit -m "fix(nginx): 修正默认端口配置为8080" # 3. 推送并创建PR到main和develop git push -u origin hotfix/fix-nginx-port # 创建PR到main和develop，确保两个分支都包含修复

三、Ansible代码冲突预防策略

3.1 变量管理最佳实践

3.1.1 避免硬编码

错误示例：

# playbook.yml - hosts: webservers tasks: - name: 安装Nginx yum: name: nginx state: present when: ansible_os_family == "RedHat"

正确示例：

# group_vars/webservers.yml nginx_package_name: "nginx" nginx_service_name: "nginx" nginx_config_path: "/etc/nginx/nginx.conf" # playbook.yml - hosts: webservers tasks: - name: 安装Nginx yum: name: "{{ nginx_package_name }}" state: present when: ansible_os_family == "RedHat"

3.1.2 使用角色默认变量

在roles/nginx/defaults/main.yml中定义可覆盖的默认值：

# roles/nginx/defaults/main.yml nginx_version: "1.18.0" nginx_user: "nginx" nginx_worker_processes: "{{ ansible_processor_vcpus }}" nginx_listen_port: 80 nginx_max_upload_size: "10m"

3.2 使用Jinja2模板的注意事项

3.2.1 模板继承与包含

当多个服务需要相似的配置模板时，使用Jinja2的继承机制：

# templates/base.conf.j2 # 基础配置模板 user {{ nginx_user }}; worker_processes {{ nginx_worker_processes }}; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; # 公共配置 sendfile on; keepalive_timeout 65; {% block http_block %}{% endblock %} } # templates/nginx.conf.j2 {% extends "base.conf.j2" %} {% block http_block %} # Web服务器特定配置 server { listen {{ nginx_listen_port }}; server_name {{ server_name }}; location / { root /var/www/html; index index.html; } } {% endblock %}

3.2.2 防止模板语法冲突

当在模板中需要使用原始的大括号时（如JSON），使用{% raw %}和{% endraw %}：

# 需要输出原始JSON的场景 {% raw %} { "app": { "name": "myapp", "version": "1.0" } } {% endraw %}

3.3 任务标签与条件执行

使用标签（tags）来组织任务，允许选择性执行：

# playbooks/web.yml - hosts: webservers tasks: - name: 安装基础软件包 apt: name: "{{ item }}" state: present with_items: - curl - wget - vim tags: always # 总是执行 - name: 安装Nginx apt: name: nginx state: present tags: nginx - name: 配置Nginx template: src: nginx.conf.j2 dest: /etc/nginx/nginx.conf tags: nginx notify: restart nginx handlers: - name: restart nginx service: name: nginx state: restarted tags: nginx

使用示例：

# 只执行Nginx相关任务 ansible-playbook playbooks/web.yml --tags "nginx" # 排除Nginx任务 ansible-playbook playbooks/web.yml --skip-tags "nginx"

3.4 使用Ansible Vault保护敏感数据

敏感数据（如密码、API密钥）不应存储在Git仓库中。使用Ansible Vault加密：

# 创建加密文件 ansible-vault create group_vars/secrets.yml # 编辑加密文件 ansible-vault edit group_vars/secrets.yml # 加密现有文件 ansible-vault encrypt group_vars/secrets.yml # 解密文件（临时） ansible-vault view group_vars/secrets.yml # 在playbook中使用 - hosts: all vars_files: - group_vars/secrets.yml tasks: - name: 使用加密变量 debug: msg: "API Key is {{ api_key }}"

Git忽略配置：

# .gitignore *.vault *.key group_vars/secrets.yml

四、高效协同工作流

4.1 代码审查（Code Review）流程

4.1.1 审查清单

创建一个.github/pull_request_template.md文件：

## Ansible代码审查清单 ### 代码质量 - [ ] 变量命名是否清晰且一致？ - [ ] 是否避免了硬编码？ - [ ] 角色是否遵循单一职责原则？ - [ ] 模板是否使用了适当的Jinja2特性？ ### 安全性 - [ ] 敏感数据是否使用Ansible Vault加密？ - [ ] 是否避免了在命令中暴露密码？ - [ ] 文件权限设置是否正确？ ### 可维护性 - [ ] 是否添加了必要的注释？ - [ ] 任务是否具有描述性的name？ - [ ] 是否使用了handlers来处理服务重启？ ### 测试 - [ ] 是否在测试环境验证过？ - [ ] 是否考虑了回滚方案？ - [ ] 是否更新了相关文档？

4.1.2 自动化检查

使用ansible-lint进行静态代码分析：

# 安装 pip install ansible-lint # 在项目中运行 ansible-lint # 在GitLab CI中配置 # .gitlab-ci.yml lint: stage: test script: - pip install ansible-lint - ansible-lint only: - merge_requests - develop - main

4.2 使用Ansible Molecule进行角色测试

Molecule是Ansible角色的测试框架，可以自动化测试角色在不同环境下的行为。

4.2.1 初始化Molecule

# 为nginx角色创建测试 cd roles/nginx molecule init scenario -r nginx -d docker

4.2.2 配置Molecule

# molecule/default/molecule.yml dependency: name: galaxy driver: name: docker platforms: - name: instance image: geerlingguy/docker-ubuntu2004-ansible:latest pre_build_image: true provisioner: name: ansible verifier: name: ansible

4.2.3 编写测试

# molecule/default/verify.yml - name: Verify hosts: all tasks: - name: Check Nginx is installed command: which nginx register: nginx_path changed_when: false - name: Check Nginx is running service: name: nginx state: started check_mode: true register: nginx_status failed_when: nginx_status.changed

4.2.4 运行测试

# 运行完整测试流程 molecule test # 仅执行验证 molecule verify # 开发模式（创建环境、执行playbook、验证） molecule converge

4.3 持续集成/持续部署（CI/CD）集成

4.3.1 GitLab CI配置示例

# .gitlab-ci.yml stages: - lint - test - deploy variables: ANSIBLE_VAULT_PASSWORD_FILE: ".vault-password" before_script: - pip install ansible ansible-lint molecule[docker] lint: stage: lint script: - ansible-lint only: - merge_requests - develop - main test_roles: stage: test script: - cd roles/nginx && molecule test - cd roles/postgresql && molecule test only: - merge_requests - develop deploy_staging: stage: deploy script: - ansible-playbook playbooks/site.yml -i inventory/staging --check - ansible-playbook playbooks/site.yml -i inventory/staging environment: name: staging only: - develop deploy_production: stage: deploy script: - ansible-playbook playbooks/site.yml -i inventory/production --check - ansible-playbook playbooks/site.yml -i inventory/production environment: name: production when: manual # 需要手动触发 only: - main

4.3.2 GitHub Actions配置示例

# .github/workflows/ansible-ci.yml name: Ansible CI on: push: branches: [ develop, main ] pull_request: branches: [ develop, main ] jobs: lint: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 - name: Setup Python uses: actions/setup-python@v4 with: python-version: '3.9' - name: Install dependencies run: | pip install ansible ansible-lint - name: Run ansible-lint run: ansible-lint test: runs-on: ubuntu-latest strategy: matrix: role: [nginx, postgresql, common] steps: - uses: actions/checkout@v3 - name: Setup Python uses: actions/setup-python@v4 with: python-version: '3.9' - name: Install dependencies run: | pip install ansible molecule[docker] - name: Test role run: | cd roles/${{ matrix.role }} molecule test

五、冲突解决与回滚策略

5.1 常见冲突场景及解决方案

5.1.1 变量冲突

场景：两个开发者同时修改了同一个变量文件。

解决方案：

使用host_vars或group_vars细分：将变量尽可能细分到具体主机或组
使用变量优先级：通过不同层级的变量文件解决冲突

# 开发者A修改了全局变量 # group_vars/all.yml nginx_port: 80 # 开发者B需要为特定环境覆盖 # inventory/production/group_vars/webservers.yml nginx_port: 8080 # 生产环境使用不同端口

5.1.2 任务顺序冲突

场景：两个任务都修改同一个配置文件，但顺序敏感。

解决方案：使用notify和handlers确保配置变更后只重启一次服务。

- name: 修改配置1 template: src: config1.j2 dest: /etc/app/config notify: restart app - name: 修改配置2 template: src: config2.j2 dest: /etc/app/config notify: restart app handlers: - name: restart app service: name: app state: restarted

5.2 Git冲突解决

5.2.1 冲突预防

使用.gitattributes文件指定合并策略：

# .gitattributes # YAML文件使用union合并策略 *.yml merge=union *.yaml merge=union # 配置文件使用文本合并 *.conf merge=text

5.2.2 冲突解决步骤

当Git冲突发生时：

# 1. 拉取最新代码 git checkout develop git pull origin develop # 2. 合并或变基 git merge feature/branch-with-conflict # 3. 查看冲突文件 git status # 4. 手动解决冲突 # 编辑冲突文件，保留需要的变更 # 5. 标记为已解决 git add <resolved-file> # 6. 完成合并 git commit # 7. 推送 git push origin develop

5.3 回滚策略

5.3.1 Ansible内置回滚

使用--check和--diff模式预先检查变更：

# 检查模式（不实际执行） ansible-playbook site.yml --check --diff # 限制执行范围 ansible-playbook site.yml --limit webservers

5.3.2 基于Git的回滚

# 回滚到上一个稳定版本 git log --oneline # 选择要回滚的commit git revert <commit-hash> # 或者直接回退（谨慎使用） git reset --hard <commit-hash> git push --force origin main

5.3.3 创建回滚Playbook

# playbooks/rollback.yml - hosts: all tasks: - name: 获取当前配置版本 command: cat /etc/app/version register: current_version changed_when: false - name: 回滚到指定版本 template: src: "config-{{ rollback_version }}.j2" dest: /etc/app/config when: current_version.stdout != rollback_version - name: 重启服务 service: name: app state: restarted

使用示例：

ansible-playbook playbooks/rollback.yml -e "rollback_version=v1.0.0"

六、高级技巧与工具

6.1 使用Ansible Collections管理依赖

Collections是Ansible 2.9+引入的打包格式，用于分发角色、模块和插件。

6.1.1 创建Collection

ansible-galaxy collection init mycompany.nginx

目录结构：

mycompany-nginx/ ├── README.md ├── galaxy.yml ├── docs/ ├── plugins/ │ ├── modules/ │ └── lookup/ └── roles/ └── nginx/

6.1.2 使用Collection

# requirements.yml collections: - name: mycompany.nginx version: ">=1.0.0" # playbook.yml - hosts: all roles: - mycompany.nginx

安装依赖：

ansible-galaxy install -r requirements.yml

6.2 使用Jinja2宏和过滤器

6.2.1 创建宏文件

# templates/macros.j2 {% macro nginx_server_block(server_name, root, port=80) %} server { listen {{ port }}; server_name {{ server_name }}; root {{ root }}; location / { try_files $uri $uri/ =404; } } {% endmacro %}

6.2.2 使用宏

# templates/nginx.conf.j2 {% from "macros.j2" import nginx_server_block %} http { {{ nginx_server_block("example.com", "/var/www/example") }} {{ nginx_server_block("test.com", "/var/www/test", 8080) }} }

6.3 使用Ansible的插件系统

6.3.1 自定义Lookup插件

# plugins/lookup/custom_config.py from ansible.plugins.lookup import LookupBase import yaml class LookupModule(LookupBase): def run(self, terms, variables=None, **kwargs): # 从外部API获取配置 import requests response = requests.get('https://api.example.com/config') return [response.json()]

6.3.2 使用插件

- hosts: all tasks: - name: 从外部API获取配置 set_fact: dynamic_config: "{{ lookup('custom_config') }}"

七、实战案例：构建完整的Ansible项目

7.1 项目初始化

# 创建项目目录 mkdir ansible-infrastructure cd ansible-infrastructure # 初始化Git仓库 git init echo ".vault-password" >> .gitignore echo "*.log" >> .gitignore echo "*.pyc" >> .gitignore # 创建基本结构 mkdir -p inventory/{group_vars,host_vars} mkdir -p playbooks mkdir -p roles/{common,nginx,postgresql}/{tasks,handlers,templates,files,vars,defaults} mkdir -p tests # 创建Ansible配置 cat > ansible.cfg << 'EOF' [defaults] inventory = inventory remote_user = ansible private_key_file = ~/.ssh/id_rsa host_key_checking = False retry_files_enabled = False roles_path = roles:~/.ansible/roles:/usr/share/ansible/roles [privilege_escalation] become = True become_method = sudo become_user = root EOF # 创建主Playbook cat > playbooks/site.yml << 'EOF' --- - hosts: all gather_facts: yes roles: - common - hosts: webservers roles: - nginx - hosts: dbservers roles: - postgresql EOF # 创建README cat > README.md << 'EOF' # Ansible Infrastructure as Code ## 项目结构 - inventory/ - 环境配置和变量 - playbooks/ - 主Playbook文件 - roles/ - Ansible角色 - tests/ - 测试脚本 ## 快速开始 1. 安装依赖: `ansible-galaxy install -r requirements.yml` 2. 配置库存: 编辑 inventory/production 或 inventory/staging 3. 测试执行: `ansible-playbook playbooks/site.yml -i inventory/staging --check` 4. 生产部署: `ansible-playbook playbooks/site.yml -i inventory/production` ## 安全 敏感数据使用Ansible Vault加密，密码文件为 `.vault-password` EOF

7.2 创建Common角色

# 创建tasks cat > roles/common/tasks/main.yml << 'EOF' --- - name: 更新APT缓存（Debian系） apt: update_cache: yes when: ansible_os_family == "Debian" tags: - common - packages - name: 安装基础工具包 package: name: - curl - wget - vim - git - htop state: present tags: - common - packages - name: 配置时区 timezone: name: "{{ timezone | default('Asia/Shanghai') }}" tags: common - name: 创建ansible用户 user: name: ansible groups: sudo shell: /bin/bash create_home: yes tags: common - name: 配置SSH密钥认证 authorized_key: user: ansible key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}" tags: common EOF # 创建默认变量 cat > roles/common/defaults/main.yml << 'EOF' --- # 时区设置 timezone: "Asia/Shanghai" # 基础软件包 base_packages: - curl - wget - vim - git - htop EOF

7.3 创建Nginx角色

# 创建tasks cat > roles/nginx/tasks/main.yml << 'EOF' --- - name: 安装Nginx package: name: nginx state: present tags: nginx - name: 创建配置目录 file: path: /etc/nginx/conf.d state: directory mode: '0755' tags: nginx - name: 配置Nginx主配置文件 template: src: nginx.conf.j2 dest: /etc/nginx/nginx.conf notify: restart nginx tags: nginx - name: 配置默认站点 template: src: default.conf.j2 dest: /etc/nginx/conf.d/default.conf notify: restart nginx tags: nginx - name: 确保Nginx服务启用并运行 service: name: nginx state: started enabled: yes tags: nginx EOF # 创建handlers cat > roles/nginx/handlers/main.yml << 'EOF' --- - name: restart nginx service: name: nginx state: restarted listen: "restart nginx" EOF # 创建模板 cat > roles/nginx/templates/nginx.conf.j2 << 'EOF' user {{ nginx_user }}; worker_processes {{ nginx_worker_processes }}; pid /run/nginx.pid; events { worker_connections {{ nginx_worker_connections }}; } http { sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; client_max_body_size {{ nginx_max_upload_size }}; include /etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; gzip on; gzip_vary on; gzip_min_length 1024; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; include /etc/nginx/conf.d/*.conf; } EOF cat > roles/nginx/templates/default.conf.j2 << 'EOF' server { listen {{ nginx_listen_port }}; server_name {{ nginx_server_name }}; root {{ nginx_document_root }}; index index.html index.htm index.php; location / { try_files $uri $uri/ =404; } # PHP-FPM配置（如果启用） location ~ .php$ { fastcgi_pass unix:/var/run/php/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } EOF # 创建默认变量 cat > roles/nginx/defaults/main.yml << 'EOF' --- nginx_user: "nginx" nginx_worker_processes: "{{ ansible_processor_vcpus }}" nginx_worker_connections: 1024 nginx_max_upload_size: "10m" nginx_listen_port: 80 nginx_server_name: "_" nginx_document_root: "/var/www/html" EOF

7.4 创建库存和变量

# 生产环境库存 cat > inventory/production << 'EOF' [webservers] web1.example.com ansible_host=192.168.1.10 web2.example.com ansible_host=192.168.1.11 [dbservers] db1.example.com ansible_host=192.168.1.20 [all:vars] ansible_user=ansible ansible_ssh_private_key_file=~/.ssh/id_rsa EOF # 测试环境库存 cat > inventory/staging << 'EOF' [webservers] staging-web1 ansible_host=10.0.1.10 [dbservers] staging-db1 ansible_host=10.0.1.20 [all:vars] ansible_user=ansible ansible_ssh_private_key_file=~/.ssh/id_rsa EOF # 生产环境组变量 cat > inventory/production/group_vars/webservers.yml << 'EOF' --- nginx_listen_port: 80 nginx_server_name: "www.example.com" nginx_document_root: "/var/www/example" nginx_max_upload_size: "100m" EOF # 测试环境组变量 cat > inventory/staging/group_vars/webservers.yml << 'EOF' --- nginx_listen_port: 8080 nginx_server_name: "staging.example.com" nginx_document_root: "/var/www/staging" EOF # 创建加密的敏感变量文件 cat > inventory/group_vars/secrets.yml << 'EOF' --- # 使用ansible-vault encrypt编辑此文件 db_password: "super_secret_password" api_key: "your_api_key_here" EOF # 加密文件（需要先创建vault密码文件） echo "my_vault_password" > .vault-password chmod 600 .vault-password ansible-vault encrypt inventory/group_vars/secrets.yml

7.5 创建测试

# 创建Molecule测试 cd roles/nginx molecule init scenario -r nginx -d docker # 修改molecule.yml cat > molecule/default/molecule.yml << 'EOF' --- dependency: name: galaxy driver: name: docker platforms: - name: nginx-instance image: geerlingguy/docker-ubuntu2004-ansible:latest pre_build_image: true published_ports: - "8080:80" provisioner: name: ansible verifier: name: ansible EOF # 创建验证任务 cat > molecule/default/verify.yml << 'EOF' --- - name: Verify Nginx installation hosts: all tasks: - name: Check Nginx is installed command: which nginx register: nginx_path changed_when: false failed_when: nginx_path.rc != 0 - name: Check Nginx service is running service: name: nginx state: started check_mode: true register: nginx_service failed_when: nginx_service.changed - name: Test HTTP response uri: url: "http://localhost:80" return_content: yes register: nginx_response failed_when: "'Welcome to nginx' not in nginx_response.content" EOF

7.6 执行部署

# 测试环境部署（检查模式） ansible-playbook playbooks/site.yml -i inventory/staging --check --diff # 测试环境部署（实际执行） ansible-playbook playbooks/site.yml -i inventory/staging # 生产环境部署（检查模式） ansible-playbook playbooks/site.yml -i inventory/production --check --diff # 生产环境部署（实际执行，需要输入vault密码） ansible-playbook playbooks/site.yml -i inventory/production --vault-password-file .vault-password # 限制执行范围 ansible-playbook playbooks/site.yml -i inventory/production --limit webservers