Mh. J'en parlais ici : http://www.mypersonnaldata.eu/shaarli/?q82DIQ
Et pour le coup, je préfère largement Rudder (http://www.rudder-project.org/site/) à Ansible. L'interface est plus sympa, Rudder permet d'appliquer un ensemble de règles à un groupe de serveurs directement et CONTRÔLE LA CONFORMITÉ (et rollback sur la version certifiée en cas de changement).
Rudder intègre un gestionnaire de version de fichiers (git). Du coup, vous avez automatiquement un versionning des fichiers de conf que vous modifiez.
De plus, plutôt que de demander un accès root ou équivalent en SSH, Rudder fonctionne en mode client-serveur. Ce qui a l'inconvénient d'avoir à installer le client sur les serveurs mais le gros avantage de ne pas avoir à laisser un compte root configuré quelque part (perso c'est une architecture que je préfère).
Comme outil de sysadmin pragmatique et comme outil de gestion de conformité, Rudder se pose là.
Ce qui ne dispense pas de faire des sauvegardes.