Installer ansible-navigator et ansible-builder sur AlmaLinux 10 et Ubuntu 24.04

Trois outils suffisent pour démarrer avec les EE : Podman, ansible-navigator, ansible-builder. Cette page installe le trio sur AlmaLinux 10 (cible RHCE EX294) et Ubuntu 24.04 LTS (postes dev), pose un fichier ansible-navigator.yml minimal, et valide tout via un premier podman pull + ansible-navigator run de démo.

À la fin, votre poste exécute des playbooks Ansible dans un EE sans avoir besoin de venv local pour ansible-core.

# 1. Podman (rootless par défaut)
sudo dnf install -y podman                          # AlmaLinux/RHEL
# ou : sudo apt install -y podman                   # Ubuntu

# 2. ansible-navigator + ansible-builder via pipx
pipx install ansible-navigator
pipx install ansible-builder       # nécessite v3.1+

# 3. Vérifier
podman --version                    # 5.x+
ansible-navigator --version         # 25.x+
ansible-builder --version           # 3.1+

# 4. ansible-navigator.yml minimal (à la racine du projet)
cat > ansible-navigator.yml <<'EOF'
---
ansible-navigator:
  execution-environment:
    image: quay.io/ansible/creator-ee:latest
    pull:
      policy: missing      # tag pinné en prod (PAS latest)
  mode: stdout             # mode terminal classique (pas TUI)
EOF

# 5. Test : lancer un playbook dans l'EE
ansible-navigator run site.yml

Sécurité non négociable :

Podman rootless par défaut — pas besoin de privilèges root pour lancer un EE. C'est l'avantage majeur sur Docker côté sécurité.
Image EE pinnée par tag/SHA en production — creator-ee:latest OK pour démarrer, mais en prod c'est creator-ee:24.0.0 ou creator-ee@sha256:.... latest = drift garanti.
pipx pour navigator/builder — isolation Python, pas de conflit avec ansible-core local. JAMAIS sudo pip install.
pull.policy: missing en dev (pull une seule fois), always en CI (refait pull à chaque run pour vérifier qu'on a la version attendue).

Ce que vous allez apprendre

Installer Podman sur AlmaLinux 10 et Ubuntu 24.04 (rootless par défaut).
Installer ansible-navigator via pipx (recommandé) ou dnf/apt.
Installer ansible-builder via pipx, version v3.1+.
Configurer un fichier ansible-navigator.yml projet par défaut.
Vérifier l'installation avec un pull EE + run de démo.

Prérequis

Distribution Linux récente : AlmaLinux 10, Rocky Linux 10, Ubuntu 24.04 LTS ou Fedora 40+.
Accès internet pour pull les images EE (~1 GB).
Python 3.11+ sur le système (présent par défaut sur ces distros).

Installation Podman

Podman est le runtime conteneur recommandé pour les EE en 2026 (rootless natif, pas de daemon, intégration RHEL).

sudo dnf install -y podman
podman --version
# → podman version 5.x.x

sudo apt-get update
sudo apt-get install -y podman
podman --version

sudo dnf install -y podman
podman --version

Vérification rapide :

podman info | head -20
podman run --rm docker.io/library/hello-world

Cas particulier : WSL2 (Windows)

Sur WSL2 Ubuntu 24.04, l'installation Podman fonctionne avec apt natif (plus besoin du dépôt opensuse:kubic qu'on rencontrait il y a 2-3 ans). Mais un piège spécifique à WSL2 fait planter ansible-navigator au premier lancement :

Error: Execution environment support while using podman requires
       a '/dev/mqueue/' directory.

WSL2 ne monte pas /dev/mqueue par défaut, et Podman en a besoin pour les POSIX message queues utilisées par les conteneurs. Le fix tient en deux lignes — automatiser le montage au démarrage de WSL :

# /etc/wsl.conf  (sur Windows 11)
[boot]
command="mkdir -p /dev/mqueue && mount -t mqueue none /dev/mqueue"

Le démarrage suivant de WSL exécute la commande automatiquement (wsl --shutdown côté Windows pour forcer un reboot propre).

Sur Windows 10, la section [boot] n'est pas supportée — créer un script podman-wsl.bat à lancer manuellement après chaque démarrage :

wsl ~ -u root -d Ubuntu -e sh -c "mkdir -p /dev/mqueue && mount -t mqueue none /dev/mqueue"

Vérification : mountpoint /dev/mqueue doit retourner /dev/mqueue is a mountpoint. Sinon, ansible-navigator plantera silencieusement avec Configuration failed.

Installation ansible-navigator

Méthode recommandée 2026 : pipx — isole l'installation dans son propre venv, pas de pollution du Python système.

# Installer pipx si absent
sudo dnf install -y pipx     # AlmaLinux/RHEL
sudo apt-get install -y pipx # Ubuntu
pipx ensurepath
exec $SHELL                  # recharger le PATH

# Installer ansible-navigator
pipx install ansible-navigator
ansible-navigator --version
# → ansible-navigator 25.x.x

Méthodes alternatives :

# Activer le repo ansible-automation-platform (Subscription Red Hat) ou EPEL
sudo dnf install -y ansible-navigator

# Pas de paquet officiel : passer par pipx ou pip
pipx install ansible-navigator

python3 -m venv ~/venvs/ansible
source ~/venvs/ansible/bin/activate
pip install ansible-navigator

Installation ansible-builder

Même logique que pour navigator :

pipx install ansible-builder
ansible-builder --version
# → 3.1.0 ou supérieur

Configuration ansible-navigator.yml

Un fichier ansible-navigator.yml placé à la racine d'un projet fixe l'EE par défaut, le mode d'exécution, le container engine, les volumes mounts.

ansible-navigator:
  execution-environment:
    image: quay.io/ansible/creator-ee:latest
    container-engine: podman
    pull:
      policy: missing       # missing | always | never | tag
    volume-mounts:
      - src: "{{ HOME }}/.ssh"
        dest: "/home/runner/.ssh"
        options: "ro,Z"
  mode: stdout              # stdout | interactive
  playbook-artifact:
    enable: false           # mettre à true en CI pour replay
  logging:
    level: warning          # debug | info | warning | error

Trois clés à comprendre :

pull.policy: missing : l'image n'est pull que si absente localement. Bon défaut en dev. always force le pull à chaque run (utile en CI pour la fraîcheur).
volume-mounts : par défaut, le conteneur n'a pas accès à votre ~/.ssh. Sans le mount, vos clés ne sont pas disponibles dans l'EE → SSH échoue. :Z = label SELinux pour le bind mount.
mode : stdout pour CI/scripts, interactive pour debug TUI.

Fichier cherché dans cet ordre :

$ANSIBLE_NAVIGATOR_CONFIG (variable d'env).
./ansible-navigator.yml (cwd).
./ansible-navigator.yaml.
~/.ansible-navigator.yml.
~/.ansible-navigator.yaml.

EE communautaire vs EE Red Hat officiel — quelle image utiliser

Pilier Operational Excellence, Sovereignty. L'EE choisi détermine la fidélité du lab par rapport à l'environnement Red Hat officiel — important quand on prépare la RHCE EX294 ou qu'on déploie en SecNumCloud.

Usage	Image / méthode recommandée
Labs publics + apprentissage	`quay.io/ansible/creator-ee` pinnée par tag
Préparation RHCE stricte	Dev Container Red Hat + `registry.redhat.io`
CI open source	EE custom construite avec `ansible-builder`
Production entreprise	EE signée, scannée, registry interne

L'image quay.io/ansible/creator-ee (communautaire) est parfaite pour les labs publics et l'apprentissage — elle embarque ansible-core, ansible-lint, les collections les plus courantes. C'est ce qu'on utilise dans la majorité des guides du site.

Pour la préparation RHCE stricte, Red Hat documente un Ansible development container distribué via registry.redhat.io qui reproduit exactement l'environnement de l'examen. L'install RPM des outils Ansible n'est plus supportée sur RHEL 10 — le Dev Container est devenu la voie officielle. Authentification requise sur registry.redhat.io avec un compte Red Hat Developer (gratuit).

# Login sur registry.redhat.io (compte Red Hat Developer)
podman login registry.redhat.io

# Pull de l'EE Red Hat officiel (exemple — vérifier la dernière version
# dans la doc Red Hat AAP en cours)
podman pull registry.redhat.io/ansible-automation-platform-25/ee-supported-rhel9

Premier test complet

# 1. Pull l'EE community
podman pull quay.io/ansible/creator-ee:latest

# 2. Vérifier
podman images | grep creator-ee

# 3. Créer un playbook minimal
cat > ping.yml <<'EOF'
---
- hosts: localhost
  gather_facts: false
  tasks:
    - name: Ping local
      ansible.builtin.ping:
EOF

# 4. Exécuter dans l'EE
ansible-navigator run ping.yml -m stdout

Sortie attendue :

PLAY [localhost] *********
TASK [Ping local] *********
ok: [localhost]
PLAY RECAP ****************
localhost : ok=1  changed=0  unreachable=0  failed=0

🎯 Bravo — votre premier playbook a tourné dans un EE.

Dépannage installation

Symptôme	Cause probable	Solution
`podman: command not found`	Paquet non installé	`sudo dnf install -y podman`
`ansible-navigator: command not found` après `pipx install`	PATH non rechargé	`pipx ensurepath ; exec $SHELL`
`Error: short-name resolution enforced`	Image sans registre explicite	Toujours utiliser `quay.io/ansible/...` complet
`Permission denied` sur volume mount	SELinux	Ajouter `:Z` à `-v src:dest:Z`
`pull failed: 401 Unauthorized`	Registre privé	`podman login quay.io`

À retenir

Trio Podman + ansible-navigator + ansible-builder suffit pour tout le parcours EE.
pipx est la méthode d'install recommandée (isolation propre).
ansible-builder v3.1+ est obligatoire pour le schéma version: 3.
ansible-navigator.yml centralise la config projet.
:Z systématique sur les volume mounts en environnement SELinux.
pull.policy : missing en dev, always en CI.

Prochaines étapes

Modes interactifs (TUI vs stdout) Sous-commandes ansible-navigator, navigation TUI, debug riche.

Inspecter un EE ansible-navigator images, doc, collections : explorer avant de consommer.

Construire son EE execution-environment.yml v3, ansible-builder, multi-stage.

Lab 84 sur GitHub Hello EE — premier run dans creator-ee avec tests pytest.