Module package Ansible : installation agnostique multi-distro

ansible.builtin.package installe des paquets de manière agnostique : Ansible détecte automatiquement la distribution (ansible_pkg_mgr) et appelle dnf: sur RHEL, apt: sur Debian, pacman: sur Arch, zypper: sur SUSE. Idéal pour des rôles multi-distros.

Sur un parc 100% RHEL/RockyLinux/AlmaLinux, préférer dnf: qui expose des options spécifiques (enablerepo, security, bugfix).

# Liste de paquets en une tâche (3-5× plus rapide qu'une boucle)
- ansible.builtin.package:
    name:
      - vim-enhanced
      - htop
      - tree
      - bash-completion
    state: present     # PAS "latest" : pas d'upgrade silencieuse en prod
  become: true

# Suppression
- ansible.builtin.package:
    name: telnet       # paquet déconseillé (cleartext)
    state: absent
  become: true

Sécurité non négociable :

state: present par défaut — state: latest upgrade le paquet à chaque run, casse l’idempotence et peut introduire des CVE non testées un mardi midi en prod. Réserver latest aux mises à jour de sécurité explicites et documentées.
Toujours une liste dans name: plutôt qu’une boucle loop: — bien plus rapide (un seul dnf transaction) et atomique (rollback si un paquet échoue).
become: true mandatory (installation = root).
Sur des paquets téléchargés (URL ou RPM local), valider la signature GPG côté repo plutôt que disable_gpg_check: true.

Ce que vous allez apprendre

Quand utiliser package: (multi-distro) vs dnf:/apt: (mono-distro avec options).
Les 3 valeurs de state: : present, latest, absent.
Comment installer plusieurs paquets en une tâche (liste vs boucle).
Le piège state: latest sur des paquets critiques (mises à jour non maîtrisées).

Prérequis

Avoir un managed node avec become: true configuré.
Connaître la syntaxe d’un play (cf. Plays et tasks).

Installation simple

- name: Installer vim-enhanced
  ansible.builtin.package:
    name: vim-enhanced
    state: present

state: present est le défaut — n’installe que si absent. Si déjà installé, la tâche est ok (pas changed). C’est l’idempotence par défaut de package:.

Liste de paquets — une seule tâche, plusieurs paquets

- name: Installer plusieurs paquets en une fois
  ansible.builtin.package:
    name:
      - vim-enhanced
      - bash-completion
      - tree
      - htop
    state: present

Bien plus efficace qu’une boucle : Ansible fait un seul appel au gestionnaire (résout les dépendances en une passe). Avec loop:, chaque paquet déclenche un appel séparé — 4× plus lent sur des paquets indépendants.

Les 3 valeurs de `state:`

`state:`	Comportement	Usage
`present`	Installe si absent — n’upgrade pas	Défaut — installation idempotente
`latest`	Installe et upgrade vers la dernière version	Mise à jour systématique
`absent`	Supprime si présent	Nettoyage de paquets obsolètes

Attention à state: latest : sur un parc en production, c’est une mise à jour non maîtrisée au moindre run. Préférer state: present + un play de patch dédié (cf. dnf: security: true).

Désinstallation

- name: Supprimer telnet (en clair)
  ansible.builtin.package:
    name: telnet
    state: absent

state: absent est idempotent — si déjà absent, tâche ok. Utile pour les durcissements de poste (CIS Benchmark) : forcer l’absence de paquets dangereux comme telnet, rsh, xinetd.

Forcer le module sous-jacent — `use:`

Par défaut, Ansible auto-détecte (use: auto). Vous pouvez forcer :

- name: Forcer dnf meme si Ansible detecte autre chose
  ansible.builtin.package:
    name: htop
    state: present
    use: dnf

Cas réel : machine RHEL avec apt installé (rare, mais arrive sur des images Docker bizarres). use: dnf garantit que c’est dnf qui exécute.

Quand `package:` ne suffit plus

package: n’expose que les options communes à tous les gestionnaires. Pour utiliser :

enablerepo: / disablerepo: — passer à dnf:.
Mises à jour de sécurité uniquement (security: true) — dnf: uniquement.
update_cache: (refresh apt/dnf cache) — dnf: ou apt: directement.
Modules de groupe (@web-server sur RHEL) — dnf: avec name: '@web-server'.

Idempotence et performance

package: consulte la base de données du gestionnaire pour savoir si le paquet est installé. Sur 100 hôtes, vérifier 10 paquets = 1000 requêtes DB locales. C’est rapide mais pas instantané.

Pour des plays courants (smoke test post-déploiement), grouper les paquets dans une seule tâche name: [...] comme montré plus haut — division par N du temps total.

Pièges courants

Symptôme	Cause	Fix
`Could not find a match` sur RHEL	Repo manquant ou désactivé	Activer le repo : passer à `dnf: enablerepo:`
`state: latest` upgrade un paquet critique en prod	Mise à jour non maîtrisée	Préférer `present` + cycle de patching dédié
Boucle `loop:` lente sur 50 paquets	Un appel au gestionnaire par paquet	Utiliser `name: [<liste>]` à la place
`package: name: vim` sur RHEL ne donne pas vim	`vim-enhanced` est le paquet réel sur RHEL	Vérifier le nom exact selon la distro

À retenir

package: = multi-distro, dnf:/apt: = mono-distro avec options spécifiques.
Liste de paquets dans name: [...] plutôt que boucle — 4× plus rapide.
state: latest est dangereux sur des paquets critiques en prod — préférer present + cycle de patching.
state: absent est l’outil de durcissement (CIS Benchmark) — supprimer telnet, rsh, etc.

Pratiquer dans le lab

Cette page a un lab d’accompagnement : labs/modules-paquets/package/ dans stephrobert/ansible-training.

Challenge — sur web1.lab :

Installer vim-enhanced, bash-completion, tree en une seule tâche.
S’assurer que telnet est absent.

Validation pytest+testinfra :

ansible-playbook solution.yml
pytest -v labs/modules-paquets/package/challenge/tests/

5 tests vérifient l’installation des paquets, l’absence de telnet et la disponibilité du binaire vim.

Prochaines étapes

Module dnf — options RHEL enablerepo, security, bugfix, exclude — les options qui font la différence sur RHEL

Module systemd_service Démarrer et activer le service correspondant après installation

Module cron Planifier des tâches récurrentes (backup, cleanup)

Pivot Modules Ansible Vue d'ensemble : modules builtin, posix, community.general, FQCN obligatoire