Shell 脚本能用但不宜当主力,适合单机轻量任务;ansible 是分水岭而非终点;Terraform+Packer+gitOps 接近闭环但缺健康信号与自动修复;自动化越强越需明确人工干预点。
Shell 脚本还能撑多久?
能撑,但别当主力。Shell 适合单机、轻量、一次性任务,比如日志轮转、服务启停检查、简单备份。一旦涉及多主机协同、状态收敛、配置回滚、依赖管理,ssh 套壳就容易出错——权限混乱、输出解析失败、超时无反馈、并发失控都是常态。
实操建议:
- 把 Shell 当“胶水”,只做
systemctl is-active、curl -I这类原子检查,不拼逻辑 - 避免在脚本里写
for host in $(cat hosts.txt),改用parallel --sshloginfile或交由上层工具调度 - 所有 Shell 脚本必须加
set -euo pipefail,否则静默失败比报错更危险
Ansible 是不是运维自动化的终点?
不是终点,是分水岭。Ansible 把“人肉执行”变成了“声明式描述”,靠 playbook 和 inventory 解耦了操作与目标,适合中小规模批量部署和配置同步。但它不解决状态持久化、变更审计、跨生命周期依赖(比如某次内核升级需配套更新驱动模块)这类问题。
常见踩坑点:
-
copy模块硬拷文件却不校验内容哈希,下次运行可能跳过实际已变更的配置 - 过度依赖
when条件判断,导致 playbook 可读性崩坏、分支路径难以覆盖测试 - 用
shell模块绕过幂等性设计,等于把 Shell 的缺陷又搬进 Ansible
terraform + Packer + GitOps 算不算“自动化闭环”?
接近闭环,但闭环不在工具链长度,而在“触发—验证—反馈”是否自动完成。Terraform 管 IaC,Packer 打镜像,GitOps(如 Argo CD)做配置同步——这三者组合能实现环境从代码到运行态的拉通。但缺两块关键拼图:一是运行时健康信号(比如 kubectl get pods --field-selector=status.phase!=Running),二是自动修复策略(比如发现 Pod 崩溃超过 3 次,触发 rollback 或告警升级)。
实操注意:
- Terraform state 文件绝不能本地存,必须用
remote_backend "s3"或"consul"统一托管 - Packer 模板中避免写死密码或密钥,统一走
variables+environment_vars注入 - GitOps 不等于“git push 就完事”,必须配
sync wave控制资源就绪顺序,否则 Service 可能早于 Deployment 就绪
为什么越自动越需要人工干预点?
因为自动化会掩盖模糊地带。比如 Ansible 报 failed: [web01] => {"changed": false, "msg": "Connection refused"},你得立刻判断:是目标宕机?防火墙拦了?还是 SSH 密钥过期?再比如 Terraform plan 显示要删掉一个 RDS 实例,到底是误配,还是真该下线?这些节点没法全自动决策,必须留出明确的人工确认入口(比如审批 Slack bot、Web ui 钩子、apply_require_approval = true)。
真正难的不是写脚本,是定义哪些环节必须卡住、谁有权限放行、卡住后怎么快速定位上下文——这些规则往往比代码更难维护。