Linter avant de débugger, c'est le réflexe qui transforme un débutant en praticien. ansible-lint détecte en secondes les erreurs prévisibles : oubli de FQCN, mode: non quoté, with_items legacy, command: sans changed_when, missing name:. Sans linter, vous découvrez ces problèmes au runtime sur 50 hôtes, bien plus douloureux.
Cette page vous fait passer de 0 à "linter activé" en 10 minutes. Pour creuser (profils, CI/CD, configuration avancée), allez sur la page complète ansible-lint.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Pourquoi linter dès le premier playbook (et pas plus tard).
- Installer ansible-lint en 1 commande.
- Lancer ansible-lint et lire la sortie (rule IDs, sévérités).
- Corriger automatiquement avec
--fix. - Top 5 règles que vous croiserez sur vos premiers playbooks.
Pourquoi linter dès le départ
Section intitulée « Pourquoi linter dès le départ »Trois bénéfices concrets :
- Erreurs catchées en local (sans utiliser SSH ni les managed nodes), feedback en quelques secondes.
- Conformité RHCE 2026, le linter applique les conventions modernes (FQCN obligatoire,
loop:au lieu dewith_*, etc.). En suivant ses recommandations, vous apprenez les bons réflexes. - Lecture de code par d'autres, le code linté est homogène et plus facile à reviewer en équipe.
Inversement, ne pas linter mène à :
- Apprendre des anti-patterns sans s'en rendre compte (
mode: 0644non quoté,with_items:legacy). - Découvrir des erreurs au runtime sur le managed node, moins lisible, plus long.
- Faire des review code chronophages où chaque convention doit être discutée à la main.
Installation
Section intitulée « Installation »# Via pip (recommandé — version la plus récente)pip install --user ansible-lint
# Ou via dnf sur RHEL/AlmaLinux/Rockysudo dnf install ansible-lint
# Vérifieransible-lint --versionPremier run sur votre playbook
Section intitulée « Premier run sur votre playbook »Sur le playbook que vous avez créé dans le premier playbook :
ansible-lint premier-playbook.ymlSortie typique (sur un playbook débutant) :
WARNING: PRE RUN: Profile 'production' is selected which has 41 rules.WARNING: Listing 5 violation(s) that are fatal
name[casing]: All names should start with an uppercase letter.premier-playbook.yml:5 Task name: 'install httpd'
fqcn[action-core]: Use FQCN for builtin module actions (dnf).premier-playbook.yml:6 Task/Handler: dnf
no-changed-when: Commands should not change things if nothing needs doing.premier-playbook.yml:14 Task/Handler: command
yaml[indentation]: Wrong indentation: expected 4 but found 2.premier-playbook.yml:8
risky-file-permissions: File permissions unset or incorrect.premier-playbook.yml:11 Task/Handler: copyLire la sortie
Section intitulée « Lire la sortie »Chaque ligne suit le format :
<rule-id>: <description courte><fichier>:<ligne> <contexte>| Élément | Rôle |
|---|---|
rule-id | Identifiant unique (fqcn[action-core], name[casing]), utilisable pour --skip-list ou config |
| Description | Ce qui ne va pas, en 1 phrase |
| Fichier:ligne | Localisation précise dans votre playbook |
3 niveaux de sévérité : fatal (rouge, corriger absolument), warning (jaune), notice (gris).
Top 5 règles que vous croiserez
Section intitulée « Top 5 règles que vous croiserez »| Rule ID | Cas typique | Fix |
|---|---|---|
fqcn[action-core] | dnf: au lieu de ansible.builtin.dnf: | Préfixer avec ansible.builtin. |
name[missing] | Tâche sans name: | Ajouter name: "Description claire" |
name[casing] | name: "install httpd" (minuscule) | name: "Install httpd" (majuscule initiale) |
risky-file-permissions | copy: sans mode: | Toujours préciser mode: "0644" |
no-changed-when | command: sans changed_when: | Ajouter changed_when: false (lecture seule) ou expression |
Plus de détails par règle dans la page complète.
Auto-correction avec --fix
Section intitulée « Auto-correction avec --fix »# Voir ce qui SERAIT modifie (dry-run)ansible-lint --fix --dry-run premier-playbook.yml
# Appliquer pour de vraiansible-lint --fix premier-playbook.ymlMigrations automatiques courantes :
with_items:/with_dict:/with_subelements:→loop:+ filtres Jinja2.dnf:→ansible.builtin.dnf:(FQCN).name: foo→name: Foo(capitalisation).
À auditer après --fix :
- Cas où la migration
with_*→loop:change la sémantique (rare mais possible). - Cas où le linter ne sait pas combler une règle (vous devez le faire à la main).
Toujours committer avant --fix, vous pouvez vouloir revenir en arrière.
Configuration .ansible-lint
Section intitulée « Configuration .ansible-lint »Pour skipper des règles dans un projet (rarement justifié, mais utile) :
# .ansible-lint a la racine du projetprofile: production # production | shared | safety | basic | min
skip_list: - 'no-changed-when' # Pour des labs ou les commands sont demonstratives
exclude_paths: - .cache/ - tests/integration/Profils :
min, bare minimum (syntaxe valide).basic, quelques règles essentielles.safety, sécurité (no shell pipe, no risky perms).shared, pour rôles partagés.production, toutes les règles (défaut RHCE 2026).
Plus de détails dans la page complète, section profils.
Intégrer dans votre workflow
Section intitulée « Intégrer dans votre workflow »Trois options, du plus simple au plus automatisé :
En CLI manuel
Section intitulée « En CLI manuel »# Avant chaque ansible-playbookansible-lint premier-playbook.yml && ansible-playbook premier-playbook.ymlLe && garantit que le playbook ne tourne pas si le lint a échoué.
Dans VS Code (extension)
Section intitulée « Dans VS Code (extension) »Installer l'extension redhat.ansible : elle intègre ansible-lint
au fil de la frappe. Erreurs visibles directement dans le code, sans
même lancer ansible-lint en CLI.
En pre-commit hook
Section intitulée « En pre-commit hook »Bloquer les commits qui ne passent pas le lint :
repos: - repo: https://github.com/ansible/ansible-lint rev: v25.0.0 hooks: - id: ansible-lintpre-commit installDésormais chaque git commit lance ansible-lint automatiquement, un commit avec des erreurs lint est refusé.
Pièges typiques
Section intitulée « Pièges typiques »| Symptôme | Cause | Fix |
|---|---|---|
Could not find Ansible config | ansible-lint cherche ansible.cfg ou roles/ | Ignorer le warning, ou créer ansible.cfg minimal |
| Règle skip silencieusement | Règle dans skip_list: du .ansible-lint | Auditer le skip_list, chaque entrée mérite une justification |
--fix casse l'idempotence | Migration with_subelements → loop: mal interprétée | Toujours tester après --fix, lire le diff |
| Profile trop strict | production impose 41 règles | Démarrer avec profile: basic, monter progressivement |
À retenir
Section intitulée « À retenir »- Linter avant de débugger = réflexe n°1 du praticien Ansible.
pip install --user ansible-lintsuffit pour démarrer.ansible-lint <fichier>.yml= run,--fix= auto-correction.- Top 5 règles :
fqcn,name,risky-file-permissions,no-changed-when,yaml[indentation]. - VS Code + extension
redhat.ansible= lint en temps réel. pre-commit hook= bloquer les commits non-lintés.