Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Una guía práctica para depurar módulos de shell y comandos fallidos

Deja de adivinar por qué tus scripts de shell fallan en Ansible. Esta guía práctica se centra en dominar las técnicas necesarias para depurar la ejecución de comandos externos. Aprende a capturar el error estándar y los códigos de retorno utilizando la palabra clave `register`, a inspeccionar la salida con el módulo `debug` y a utilizar la crucial condición `failed_when`. Implementa lógica de fallo personalizada para manejar escenarios complejos donde los comandos devuelven un código de salida cero a pesar de producir errores lógicos, asegurando playbooks fiables e idempotentes.

202 vistas

Una guía práctica para depurar módulos Shell y Command fallidos

Los módulos command y shell de Ansible son la columna vertebral de muchas playbooks avanzadas, ya que permiten a los usuarios ejecutar binarios o scripts arbitrarios en hosts remotos. Aunque son potentes, estos módulos a menudo introducen la mayor complejidad en la depuración. Cuando un script falla, Ansible solo ve el estado de salida, no el contexto de la falla.

Dominar las técnicas de depuración para estos módulos —específicamente verificar los códigos de retorno, capturar la salida estándar de error y emplear la condición crítica failed_when— es esencial para construir playbooks de Ansible fiables y aptos para producción. Esta guía proporciona pasos prácticos y ejemplos para identificar, diagnosticar y controlar las fallas derivadas de la ejecución de comandos externos.

Command vs. Shell: Entendiendo la Diferencia

Antes de profundizar en la depuración, es fundamental comprender la diferencia fundamental entre los dos módulos, ya que su entorno de ejecución impacta los modos de falla.

ansible.builtin.command

Este módulo ejecuta el comando directamente, omitiendo el entorno shell estándar. Esto lo hace más seguro y predecible, ya que evita características del shell como la interpolación de variables, el globbing, las tuberías (|) y la redirección (>).

Mejor Práctica: Use command siempre que la tarea sea simple y no requiera características del shell.

ansible.builtin.shell

Este módulo ejecuta el comando a través del shell estándar del host remoto (/bin/sh o equivalente). Esto es necesario para operaciones complejas, variables de entorno o cuando se utiliza sintaxis de shell estándar (ejemplo: cd /tmp && ls -l).

Advertencia: Dado que shell depende del entorno, es más propenso a fallas impredecibles relacionadas con la configuración de PATH, variables de entorno ocultas o el uso complejo de comillas.

Anatomía de una Falla de Comando en Ansible

Por defecto, Ansible determina el éxito o fracaso de una tarea de módulo command o shell basándose en el código de retorno (RC) del proceso.

Código de Retorno (RC) Interpretación
rc = 0 Éxito (La tarea continúa)
rc != 0 Fallo (La tarea se detiene inmediatamente, el host se marca como fallido)

Sin embargo, esta simple verificación a menudo no capta los matices de los scripts del mundo real. Un comando puede devolver un RC de 0 pero aun así producir un resultado no deseado (un fallo lógico), o un comando puede devolver un RC distinto de cero esperado (por ejemplo, grep devuelve 1 si no encuentra coincidencias).

Para manejar estos matices, debemos capturar la salida y controlar condicionalmente el estado de fallo.

Paso 1: Capturar la Salida del Comando con register

El primer paso en una depuración efectiva es capturar todos los flujos de salida disponibles en una variable de Ansible usando la palabra clave register. Esto permite inspeccionar el código de retorno, la salida estándar y la salida estándar de error.

Para evitar que la playbook se detenga inmediatamente ante un código de retorno distinto de cero durante las pruebas iniciales, a menudo es útil usar temporalmente ignore_errors: yes.

- name: Ejecutar un comando potencialmente no confiable y capturar resultados
  ansible.builtin.shell: | 
    /usr/local/bin/check_config.sh 2>&1 || exit 1
  register: cmd_output
  ignore_errors: yes  # Permitir temporalmente RC != 0 para continuar

Una vez registrado, la variable cmd_output contendrá varias claves útiles, entre las más destacadas:

  • cmd_output.rc: El código de retorno entero.
  • cmd_output.stdout: El flujo de salida estándar.
  • cmd_output.stderr: El flujo de salida estándar de error.
  • cmd_output.failed: Un booleano que indica si Ansible considera actualmente que la tarea ha fallado.

Paso 2: Inspeccionar los Datos Capturados con debug

Utilice el módulo debug inmediatamente después de la tarea fallida para inspeccionar el contenido de la variable registrada. Esto ayuda a distinguir entre un fallo técnico verdadero (por ejemplo, comando no encontrado) y un fallo lógico (por ejemplo, el script se ejecutó pero reportó un error interno).

- name: Mostrar la salida completa capturada para depuración
  ansible.builtin.debug:
    var: cmd_output
    # Usar 'when' para mostrar esto solo si la tarea falló, limpiando la salida
  when: cmd_output.failed is defined and cmd_output.failed

- name: Resaltar el contenido de stderr
  ansible.builtin.debug:
    msg: "STDERR Capturado: {{ cmd_output.stderr }}"
  when: cmd_output.stderr | length > 0

Al inspeccionar la salida completa, puede identificar el mensaje de error específico o el patrón que indica un fallo real.

Paso 3: Anular el Comportamiento de Fallo Predeterminado con failed_when

La condición failed_when es la herramienta más poderosa para depurar y gestionar resultados complejos del módulo shell. Permite definir lógica personalizada, utilizando expresiones Jinja2, para determinar si una tarea debe marcarse como fallida, independientemente del código de retorno predeterminado.

Escenario A: Ignorar un Código de Retorno Distinto de Cero

A menudo, una utilidad devuelve un código distinto de cero para indicar un estado esperado. Por ejemplo, si está comprobando si un servicio existe usando un comando que devuelve RC=1 cuando el servicio no se encuentra, es posible que solo desee fallar si el RC es mayor que 1.

- name: Comprobar el estado del servicio, pero ignorar RC=1 (servicio no encontrado)
  ansible.builtin.command: systemctl is-enabled my_optional_service
  register: service_status
  failed_when: service_status.rc > 1

Escenario B: Fallar por Errores Lógicos (RC=0, pero Salida Incorrecta)

Si un script siempre devuelve RC=0 incluso cuando ocurre un error interno, pero imprime una cadena de error específica en stdout o stderr, use failed_when para detectar esa cadena.

- name: Validar script de conectividad a la base de datos
  ansible.builtin.shell: /opt/scripts/db_connect_test.sh
  register: db_result
  # Comprobar tanto stdout como stderr en busca de frases de error comunes
  failed_when: 
    - "'Connection refused' in db_result.stderr"
    - "'Authentication failure' in db_result.stdout"

Escenario C: Combinar Comprobaciones de RC y Salida

Para verificaciones robustas, combine el código de retorno y las comprobaciones de contenido usando operadores lógicos (and, or, paréntesis).

- name: Comprobar registros de implementación
  ansible.builtin.shell: tail -n 50 /var/log/deployment.log
  register: log_check
  # Fallar si el RC no es cero O si la salida exitosa contiene la palabra 'FATAL'
  failed_when: log_check.rc != 0 or 'FATAL' in log_check.stdout

Consejo: Cuando use failed_when, generalmente debe eliminar ignore_errors: yes a menos que desee explícitamente que el fallo se registre pero que la obra continúe.

Mejores Prácticas para una Ejecución de Comandos Confiable

Para minimizar la necesidad de una depuración compleja, siga estos estándares al escribir tareas que utilicen command o shell:

1. Siempre Use Rutas Absolutas

No dependa del $PATH del usuario remoto. Siempre especifique la ruta completa al ejecutable (por ejemplo, /usr/bin/python, no solo python). Esto evita fallas causadas por entornos inconsistentes o diferencias sutiles en la ruta de ejecución.

2. Aproveche los Condicionales sobre la Lógica Shell

En lugar de usar lógica shell compleja como || o && dentro del módulo shell, utilice los condicionales nativos de Ansible (when:, failed_when:, changed_when:) y la palabra clave register. Esto mantiene la lógica de la playbook transparente y más fácil de depurar.

3. Controle Explícitamente la Detección de Cambios (changed_when)

Por defecto, command y shell marcan una tarea como changed si el código de retorno es 0. Si su script se ejecuta pero no realiza cambios en el sistema (por ejemplo, una simple comprobación de estado), debe definir manualmente cuándo la tarea resulta en un cambio usando changed_when.

- name: Comprobar el espacio en disco (no debería resultar en 'changed')
  ansible.builtin.command: df -h /data
  changed_when: false

4. Use Módulos de Estado Siempre que Sea Posible

Si se encuentra utilizando shell para verificar la existencia de archivos, iniciar/detener servicios o instalar paquetes, deténgase y busque un módulo de Ansible dedicado (por ejemplo, ansible.builtin.stat, ansible.builtin.service, ansible.builtin.package). Los módulos dedicados manejan la idempotencia y la verificación de errores internamente, reduciendo significativamente el esfuerzo de depuración.

Conclusión

La depuración de los módulos shell y command fallidos va más allá de simplemente leer un mensaje de error; requiere analizar los flujos de salida del proceso y controlar la percepción de fallo de Ansible. Al usar diligentemente register para capturar la salida, aprovechar debug para la inspección e implementar condiciones de fallo precisas a través de failed_when, usted obtiene un control robusto sobre la ejecución externa, asegurando que sus playbooks de Ansible manejen comandos complejos o poco confiables de manera predecible y fiable.