Chris Engelhard
    Home / Nieuw / Best Practices / Automation / Ansible best practices en security: wanneer wél en niet gebruiken

    Ansible best practices en security: wanneer wél en niet gebruiken

    Chris Engelhard

    , ,
    Arno Senoner

    Inhoudsopgave

    Ansible best practices zijn cruciaal voor iedereen die infrastructuur veilig en efficiënt wil automatiseren. Hoewel Ansible een krachtig hulpmiddel is, is het belangrijk te weten wanneer het wél en wanneer het níet geschikt is. In deze blog behandelen we die momenten en nemen we een veelgebruikt voorbeeld onder de loep: SSH-gebaseerde monitoring via Ansible. Dit voorbeeld wordt vaak gepromoot door influencers in hun homelabs, maar kent valkuilen die je in productie beter vermijdt.

    [top]

    Wat is het idee achter SSH-monitoring met Ansible?

    Je ziet het steeds vaker: influencers op YouTube en andere social mediakanalen — vaak vanuit hun homelab — laten zien hoe je met Ansible, gecombineerd met cronjobs of schedulers, periodiek via SSH inlogt op remote systemen. Deze aanpak wordt als makkelijk en snel gepresenteerd om basismetrics zoals geheugen- en diskgebruik te monitoren.

    Het werkt zo:

    • Een cronjob op een centrale machine start regelmatig een Ansible-playbook.
    • Dit playbook maakt via SSH verbinding met verschillende servers.
    • Via simpele shellcommando’s (free -m, df -h, uptime) worden systeemstatistieken verzameld.
    • De resultaten worden gelogd of via e-mail of chattools gedeeld.

    Hoewel dit een toegankelijke methode lijkt, is het vooral geschikt voor kleine homelabs en niet voor productieomgevingen. Het voldoet namelijk niet aan Ansible best practices, zeker niet op het gebied van security en schaalbaarheid.

    [top]

    Waarom is dit problematisch?

    1. Securityrisico’s

    Deze werkwijze vereist vaak dat je SSH-keys zonder passphrase gebruikt, en dat de monitoringgebruiker sudo-toegang krijgt zonder wachtwoord. Dit opent grote kwetsbaarheden: een enkele compromittering van de Ansible-controller kan volledige toegang tot je infrastructuur betekenen. Dit druist in tegen de principes van minimaal privilege en veilige automatisering, kernpunten van Ansible best practices.

    2. Inefficiëntie en vertraging

    SSH-verbindingen zijn relatief zwaar door handshakes en authenticatie. Bij tientallen of honderden systemen kan dit leiden tot hoge latencies en vertraging in data-acquisitie. De pollingfrequentie is daardoor beperkt, waardoor je mogelijk kritieke pieken en dalen mist.

    3. Geen real-time monitoring

    Monitoring moet idealiter continue en event-driven zijn, gebaseerd op tijdreeksen. De SSH-pullmethode geeft slechts snapshots, geen vloeiende inzichten in trends of afwijkingen. Dit beperkt je mogelijkheden om snel op incidenten te reageren.

    4. Slechte schaalbaarheid

    Voor een handvol servers werkt deze methode nog, maar bij groei naar tientallen of honderden systemen ontstaan problemen met SSH-concurrenties, cronjob-overlap en het beheren van logbestanden.

    [top]

    Waarom promoten influencers dit?

    De populariteit van deze aanpak onder influencers komt vooral doordat het makkelijk te maken en te demonstreren is. Een kort Ansible-playbook en zichtbare terminaloutput zijn aantrekkelijk voor tutorials en demo’s. Echter, ze geven vaak niet aan dat dit vooral een homelab-oplossing is, waar veiligheid en schaalbaarheid minder kritisch zijn. Voor productieomgevingen is dit geen best practice.

    [top]

    Wanneer Ansible wél gebruiken volgens best practices

    Ansible blinkt uit in:

    • Configuratiebeheer (packages, services, configuraties).
    • Provisioning van infrastructuur (cloud, containers).
    • Orchestratie van workflows en multi-step deploys.
    • Eenmalige of periodieke taken zoals updates en patches.

    Gebruik Ansible vooral voor declaratieve, herhaalbare processen en niet voor continue monitoring of polling.

    [top]

    Wat gebruik je dan wel voor monitoring?

    1. Lightweight agents

    Installeer agents als Netdata, Node Exporter, Zabbix Agent of Telegraf op je servers. Deze draaien met minimale rechten en verzenden metrics veilig naar een centrale server.

    2. Monitoring stacks

    Bouw een monitoringomgeving met tools als Prometheus + Grafana, Zabbix, Elastic Stack of Netdata Cloud.

    3. Push-based logging

    Laat systemen logs en metrics actief verzenden via tools als Rsyslog, Filebeat of Vector.dev, in plaats van pull via SSH.

    4. Beveiliging

    Zorg dat monitoringaccounts minimale rechten hebben, beveilig de datastromen met TLS, monitor zelf ook je monitoringinfrastructuur, en beperk dashboardtoegang.

    [top]

    Conclusie

    Ansible best practices helpen je automatisering veilig, schaalbaar en betrouwbaar te houden. SSH-gebaseerde monitoring via Ansible, zoals vaak getoond in homelabs, is slechts geschikt voor demo’s en kleinschalige setups. Voor serieuze productieomgevingen kies je voor gespecialiseerde monitoringtools en minimaliseer je risico’s door veilige, moderne architecturen.

    «
    ,

    Geef een reactie