Un style guide Ansible n’est pas du purisme — c’est ce qui rend un projet relisible six mois plus tard et reviewable par un collègue. Cette page synthétise les conventions imposées en 2026 sur le code Ansible : FQCN obligatoire, tâches toujours nommées, modules command/shell à proscrire en priorité, tags orthogonaux, variables préfixées. Toutes ces règles sont vérifiables automatiquement via ansible-lint que vous intégrerez dans votre CI.
Le style guide ci-dessous est compatible RHCE EX294 et avec les profils ansible-lint modernes (production, safety, min). Adopter ce référentiel dès vos premiers playbooks vous épargne la dette technique d’une refacto massive plus tard.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Les conventions de nommage des tâches, plays, variables, tags ;
- L’usage du FQCN (Fully Qualified Collection Name) — obligatoire RHCE et recommandé ailleurs ;
- Les modules à éviter (
command,shell) et quand ils sont quand même légitimes ; - Les commentaires utiles vs inutiles dans un playbook ;
- L’usage d’
ansible-linten CI avec les profilsproductionetsafety.
Conventions de nommage
Section intitulée « Conventions de nommage »Chaque play a un name: qui décrit l’objectif business, pas la liste des modules :
# ❌ Trop technique, paraphrase les modules- name: Run dnf install nginx and systemd start hosts: webservers
# ✅ Décrit l'objectif business- name: Déployer nginx sur les serveurs web hosts: webserversLe name: apparaît dans le PLAY RECAP et dans les sorties — il doit aider à diagnostiquer en lecture rapide.
Chaque tâche a un name: obligatoire. C’est l’une des règles strictes d’ansible-lint (name[missing]) :
# ❌ Pas de name → ansible-lint refuse- ansible.builtin.dnf: name: nginx state: present
# ✅ Name explicite- name: Installer nginx ansible.builtin.dnf: name: nginx state: presentVerbe à l’infinitif, capitale en début, pas de point final. Le name: apparaît dans la sortie : TASK [Installer nginx] *******.
Variables
Section intitulée « Variables »Les variables sont préfixées par le rôle ou le composant — évite les collisions sur une équipe :
# ❌ Variables génériques, conflits garantis entre rôlesport: 80user: ansibleversion: "1.26"
# ✅ Préfixées par le rôle/composantnginx_port: 80nginx_user: ansiblenginx_version: "1.26"pg_port: 5432pg_user: postgresSnake_case pour les variables (jamais kebab-case ni camelCase, c’est la convention Ansible).
Tags orthogonaux et descriptifs. Le rôle d’un tag est de pouvoir cibler un sous-ensemble de tâches via --tags ou les ignorer via --skip-tags :
# ❌ Tags non descriptifs, redondants avec le nametags: - tag1 - step2
# ✅ Tags descriptifs et orthogonauxtags: - nginx # service concerné - firewall # type d'opération - configuration # phaseConvention : nom de service, type d’opération, phase. Pas de pluriel (nginx pas nginxs).
FQCN : obligatoire en 2026
Section intitulée « FQCN : obligatoire en 2026 »Le FQCN (Fully Qualified Collection Name) prend la forme <namespace>.<collection>.<module> :
| Forme courte | FQCN |
|---|---|
dnf | ansible.builtin.dnf |
systemd | ansible.builtin.systemd |
firewalld | ansible.posix.firewalld |
selinux | ansible.posix.selinux |
timezone | community.general.timezone |
Le FQCN est obligatoire :
- Pour la RHCE EX294 depuis 2024 — perte de points si la forme courte est utilisée.
- Pour
ansible-lintprofilproduction(fqcn[action-core]). - Pour éviter les collisions : deux collections peuvent fournir un module du même nom court.
# ❌ Forme courte, accepte uniquement ansible.builtin.* et écarte les autres- name: Ouvrir SSH dans firewalld firewalld: # ← ambiguë, peut casser si ansible.posix vs autre service: ssh state: enabled
# ✅ FQCN explicite- name: Ouvrir SSH dans firewalld ansible.posix.firewalld: service: ssh state: enabledModules command et shell : derniers recours
Section intitulée « Modules command et shell : derniers recours »Les modules command et shell sont non-idempotents par défaut et constituent un anti-pattern dès qu’un module dédié existe. Avant d’écrire un shell:, posez-vous trois questions :
- Existe-t-il un module dédié ?
dnf,service,user,file,copy,lineinfile,template,git,unarchive. Privilégiez-les systématiquement. - Si vous insistez sur
shell: avez-vous mis uncreates:ouremoves:pour le rendre idempotent ? - Avez-vous justifié dans un commentaire pourquoi
shellest nécessaire ?
# ❌ shell sans garde, non-idempotent- name: Initialiser la base ansible.builtin.shell: pg_ctl initdb -D /var/lib/pgsql/data
# ✅ shell avec creates: (idempotent)- name: Initialiser la base si pas déjà fait ansible.builtin.shell: pg_ctl initdb -D /var/lib/pgsql/data args: creates: /var/lib/pgsql/data/PG_VERSIONansible-lint détecte les shell: sans garde via la règle command-instead-of-shell et no-changed-when.
Commentaires : pourquoi, pas quoi
Section intitulée « Commentaires : pourquoi, pas quoi »Les commentaires Ansible (lignes commençant par #) servent à expliquer le pourquoi d’une décision non-évidente, pas à paraphraser le code :
# ❌ Commentaire qui paraphrase le code- name: Installer nginx ansible.builtin.dnf: name: nginx # On installe nginx state: present # avec l'état présent
# ✅ Commentaire qui explique le pourquoi- name: Installer nginx (version pinned car 1.27 casse notre conf TLS) ansible.builtin.dnf: name: "nginx-1.26.*" state: presentPour un fichier de config qui sera lu par les futurs collègues : commentaire d’en-tête qui explique le rôle global du playbook, et c’est tout.
Indentation et formatage
Section intitulée « Indentation et formatage »- 2 espaces d’indentation (jamais de tab) — convention Ansible.
---au début de chaque fichier YAML.- Une ligne vide entre les tâches d’un même play pour aérer.
- Quotes systématiques sur les valeurs ambiguës (cf. YAML pour Ansible).
L’outil de garde-fou : ansible-lint
Section intitulée « L’outil de garde-fou : ansible-lint »ansible-lint est l’outil de référence pour faire respecter le style guide automatiquement. Configuration via .ansible-lint à la racine du projet :
---profile: production # production / safety / min / shared / nullexclude_paths: - .ansible/ - tests/
skip_list: - meta-runtime # règles que vous décidez de skipper
warn_list: - experimental # règles en warning plutôt qu'en erreurLes profils disponibles :
| Profil | Strictness | Quand l’utiliser |
|---|---|---|
min | Permissif | Démarrage rapide, projets legacy |
basic | Modéré | Projets en cours de refacto |
moderate | Standard | Projets matures |
safety | Strict (sécurité) | Audit sécurité avant prod |
production | Très strict | Production attendue à terme |
shared | Pour collections publiques | Galaxy, Automation Hub |
Lancer ansible-lint
Section intitulée « Lancer ansible-lint »ansible-lint playbooks/site.ymlansible-lint --profile production playbooks/Sortie typique :
WARNING Listing 3 violation(s) that are fatalfqcn[action-core]: Use FQCN for builtin module actions (dnf).playbooks/site.yml:8 Task/Handler: Installer nginx
name[missing]: All tasks should be named.playbooks/site.yml:15 Task/Handler: ansible.builtin.systemd
no-changed-when: Commands should not change things if nothing needs doing.playbooks/site.yml:22 Task/Handler: Initialiser la baseChaque violation pointe la ligne et la règle — fix progressif.
Intégration en CI
Section intitulée « Intégration en CI »Dans une CI GitHub Actions ou GitLab CI :
on: [push, pull_request]jobs: lint: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: actions/setup-python@v5 with: python-version: "3.12" - run: pip install ansible-lint==26.1.1 - run: ansible-lint --profile production playbooks/Bloque tout merge qui introduit des violations — la dette technique reste contenue.
Anti-patterns récurrents
Section intitulée « Anti-patterns récurrents »| Anti-pattern | Pourquoi c’est faux | Fix |
|---|---|---|
Tâche sans name: | Sortie illisible (PLAY RECAP affiche [ansible.builtin.dnf]) | Ajouter un name: qui décrit l’objectif |
Forme courte de module (dnf:) | Ambigu, incompatible RHCE | Utiliser le FQCN (ansible.builtin.dnf) |
shell: sans creates: ni removes: | Non-idempotent, changed à chaque run | Utiliser un module dédié, ou ajouter une garde |
Variables génériques (port, user) | Conflits entre rôles | Préfixer (nginx_port, pg_user) |
Secrets en clair dans host_vars/ | Visibles dans git log | ansible-vault ou manager externe |
Tags step1, step2 | Non descriptif | Tags orthogonaux : service + opération + phase |
command: qui appelle un module Python (pip install) | Bypass du module idempotent | Utiliser le module dédié (ansible.builtin.pip) |
ignore_errors: true partout | Masque les vraies erreurs | Justifier par un commentaire ; préférer failed_when: |
À retenir
Section intitulée « À retenir »name:obligatoire sur chaque tâche — décrit l’objectif business, pas le module utilisé.- FQCN obligatoire depuis 2024 (RHCE EX294 + ansible-lint production).
- Variables préfixées par le rôle/composant pour éviter les collisions.
- Modules
command/shellen dernier recours — toujours préférer un module dédié. - Commentaires expliquent le pourquoi, pas le quoi (le code est déjà documentation).
ansible-linten CI : profilproduction, blocage des violations sur PR.