Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub

Dépannage des Erreurs Courantes des Pipelines Jenkins

Vous rencontrez des échecs de pipelines Jenkins ? Ce guide d'expert détaille des solutions pratiques pour les erreurs les plus courantes, couvrant tout, des erreurs fondamentales de syntaxe Groovy et de mauvaises configurations d'environnement aux échecs complexes de sécurité et de gestion des identifiants. Apprenez à utiliser efficacement la sortie console, à gérer en toute sécurité les secrets avec `withCredentials` et à résoudre les erreurs 'command not found' pour garantir que votre processus CI/CD reste stable, sécurisé et fiable.

Dépannage des Erreurs Courantes des Pipelines Jenkins

Les Pipelines Jenkins transforment les étapes de construction et de livraison en code, ce qui est utile jusqu'à ce qu'une petite erreur de syntaxe, un identifiant manquant ou une différence d'agent casse l'ensemble de l'exécution. Les correctifs les plus rapides consistent généralement à lire l'échec par couches plutôt que de traiter chaque build rouge comme le même type de problème.

Commencez par déterminer si Jenkins n'a pas réussi à interpréter le pipeline, si l'agent n'a pas fourni l'environnement attendu ou si la commande à l'intérieur du pipeline a échoué d'elle-même. Cette distinction permet de garder l'investigation structurée.

Diagnostic Initial : Par Où Commencer

Avant de plonger dans des codes d'erreur spécifiques, l'étape fondamentale du dépannage est un diagnostic efficace. Commencez toujours par rassembler le contexte.

1. Analyser la Sortie Console

La Sortie Console est votre principal outil de débogage. Lorsqu'une étape du pipeline échoue, Jenkins imprime la trace de la pile, le message d'erreur et, généralement, la ligne spécifique du script Groovy où l'exécution s'est arrêtée.

Conseil Actionnable : Faites défiler vers le haut à partir du point d'échec. Recherchez la dernière étape réussie, ce qui aide à isoler le problème à l'étape suivante ou au changement d'environnement.

2. Utiliser la Fonctionnalité de Rejeu des Étapes du Pipeline

Si vous avez une modification de syntaxe mineure ou si vous soupçonnez un problème de variable, évitez de déclencher immédiatement une extraction SCM complète et une construction. Jenkins vous permet de modifier et de réexécuter une exécution de pipeline ayant échoué à l'aide de la fonctionnalité Rejeu. Ceci est inestimable pour une itération rapide et le test de correctifs sans encombrer l'historique des builds.

3. Inspecter les Variables d'Environnement

De nombreux problèmes proviennent d'une configuration d'environnement incorrecte sur l'agent d'exécution. Vous pouvez imprimer les variables d'environnement disponibles pour une étape spécifique afin de vérifier les chemins, les installations d'outils et les variables définies.

stage('Debug Environment') {
    steps {
        sh 'printenv'
        // Ou pour des vérifications spécifiques :
        sh 'echo "Java Home: $JAVA_HOME"'
    }
}

Catégorie 1 : Erreurs de Syntaxe, de Script et Groovy

Groovy est le langage spécifique au domaine (DSL) utilisé pour écrire les pipelines Jenkins. Les erreurs de syntaxe sont le premier obstacle le plus courant.

Erreur 1.1 : Propriété ou Méthode Manquante

Cela apparaît généralement comme : groovy.lang.MissingPropertyException: No such property: variableName for class...

Cause : Vous faites référence à une variable qui n'a pas été définie, vous avez mal orthographié un nom d'étape, ou vous avez tenté d'utiliser une fonctionnalité de Pipeline Scripté dans un bloc de Pipeline Déclaratif (ou vice versa).

Solution :

  1. Vérifier l'Orthographe : Assurez-vous que le nom de la variable ou de l'étape est correctement orthographié et respecte la casse (Groovy est sensible à la casse).
  2. Vérifier la Portée : Si la variable a été définie dans un bloc script {} antérieur, assurez-vous qu'elle est définie dans la bonne portée, en particulier lors du déplacement de données entre les étapes.
  3. Utiliser le Générateur d'Extraits : Pour les étapes intégrées (comme sh, git, archive), utilisez l'outil Syntaxe du Pipeline / Générateur d'Extraits de Jenkins. Cela génère un code Groovy garanti correct pour les paramètres d'étape que vous fournissez.

Erreur 1.2 : Syntaxe Déclarative Incorrecte

Les Pipelines Déclaratifs nécessitent une structuration stricte. Les erreurs impliquent souvent un mauvais placement des accolades ou une utilisation incorrecte de mots-clés réservés.

Exemple : Placer un bloc steps directement à l'intérieur d'un bloc stage de niveau supérieur sans utiliser steps { ... }.

Solution :

  • Valider : Utilisez le linter de pipeline intégré de Jenkins accessible via l'API : JENKINS_URL/pipeline-model-converter/validate.
  • Vérification du Redémarrage : Une cause fréquente d'erreurs de syntaxe persistantes et déroutantes est la modification du script de pipeline directement sur le contrôleur Jenkins sans actualiser correctement le job. Assurez-vous toujours que le script que vous déboguez est celui qui est exécuté.

Catégorie 2 : Défaillances de l'Environnement et des Outils

Ces erreurs se produisent lorsque l'agent d'exécution ne dispose pas des logiciels ou des configurations nécessaires requis par le pipeline.

Erreur 2.1 : Outil Non Trouvé (command not found)

C'est un échec classique lors de l'exécution de commandes comme mvn, npm ou docker.

Cause : L'outil n'est pas installé sur l'agent d'exécution ou, plus fréquemment, l'emplacement du binaire de l'outil n'est pas disponible dans le PATH système de l'agent.

Solutions :

  1. Utiliser l'Installation Automatique d'Outils Jenkins : Définissez l'outil dans Gérer Jenkins > Configuration Globale des Outils. Ensuite, référencez-le dans votre pipeline à l'aide de la directive tool, qui injecte automatiquement le chemin correct dans l'environnement.

    pipeline {
    agent any
    tools {
        maven 'Maven 3.8.4'
    }
    stages {
        stage('Build') {
            steps {
                sh 'mvn clean install'
            }
        }
    }
}

  2. Vérifier les Étiquettes d'Agent : Assurez-vous que votre pipeline spécifie un agent qui correspond à l'étiquette d'un nœud où l'outil requis est effectivement installé.

    agent { label 'docker-enabled-node' }

Erreur 2.2 : Connexion à l'Agent Refusée ou Hors Ligne

Si le pipeline échoue immédiatement avant de démarrer toute étape, l'agent est peut-être indisponible.

Cause : La connexion entre le contrôleur Jenkins et l'agent (généralement via JNLP ou SSH) a échoué, ou l'agent est surchargé ou hors ligne.

Solution :

  • Vérifier le Statut de l'Agent : Accédez à Gérer Jenkins > Nœuds et vérifiez le statut de l'agent concerné. Recherchez les journaux de connexion ou les messages d'erreur (par exemple, java.io.EOFException suggère une perte de connexion réseau).
  • Vérification des Ressources : Assurez-vous que la machine de l'agent dispose de suffisamment de mémoire et de ressources CPU.

Catégorie 3 : Sécurité, Identifiants et Autorisation

Les erreurs d'identifiants empêchent le pipeline d'accéder aux ressources externes comme les dépôts Git, les registres Docker ou les services cloud.

Erreur 3.1 : Accès Refusé Lors de l'Extraction SCM

Si le pipeline échoue immédiatement lors de l'extraction du code source, le plugin Git Jenkins manque généralement des identifiants nécessaires.

Cause : Le dépôt Git nécessite des clés SSH ou un nom d'utilisateur/mot de passe qui n'ont pas été configurés ou associés au job.

Solution :

  1. Configurer les Identifiants : Assurez-vous que l'identifiant requis (par exemple, Nom d'utilisateur avec mot de passe, Nom d'utilisateur SSH avec clé privée) est enregistré dans Gérer Jenkins > Identifiants.
  2. Associer au Job : Si vous utilisez le bloc SCM dans un Pipeline Déclaratif, assurez-vous que l'attribut credentialsId est correctement défini.

Erreur 3.2 : Accès Incorrect aux Secrets Stockés

Ne codez jamais en dur les secrets dans votre Jenkinsfile. Les identifiants doivent être injectés de manière sécurisée dans l'environnement à l'aide de l'étape withCredentials.

Cause : Tenter de référencer un ID d'identifiant directement comme variable d'environnement ou tenter d'accéder aux secrets en dehors du bloc protégé.

Solution : Utilisez la fonction d'assistance withCredentials, qui mappe l'ID d'identifiant stocké à des variables d'environnement sécurisées uniquement pour la durée du bloc.

stage('Deploy') {
    steps {
        withCredentials([usernamePassword(credentialsId: 'my-docker-registry-secret',
                                          passwordVariable: 'DOCKER_PASSWORD',
                                          usernameVariable: 'DOCKER_USER')]) {
            sh "echo 'Logging in with user: $DOCKER_USER'"
            sh "docker login -u $DOCKER_USER -p $DOCKER_PASSWORD myregistry.com"
        }
    }
}

Avertissement de Sécurité : Les variables définies dans withCredentials (par exemple, DOCKER_PASSWORD) sont automatiquement masquées dans la sortie console, mais vous devez tout de même limiter la portée de leur utilisation.

Catégorie 4 : Erreurs de Flux du Pipeline et de Ressources

Ces problèmes concernent la façon dont le pipeline progresse ou gère les limites d'exécution.

Erreur 4.1 : Échec ou Abandon Inattendu de la Construction

Si un pipeline échoue de manière apparemment aléatoire ou si la dernière étape signale FATAL: Command execution failed, cela pointe souvent vers des causes externes ou des limitations de ressources.

Causes Potentielles :

  • Délai d'Attente du Processus : L'étape a dépassé la limite de temps allouée (si configurée via options { timeout(...) }).
  • OOM (Mémoire Insuffisante) : L'agent a manqué de mémoire, ce qui a amené le système d'exploitation à tuer le processus de travail Jenkins.
  • Espace Disque : Le manque d'espace disque empêche la sauvegarde des artefacts ou le clonage de grands dépôts.

Solutions :

  1. Vérifier les Journaux de l'Agent : Examinez les journaux système (dmesg sur Linux) sur la machine de l'agent pour les avertissements du Tueur OOM.
  2. Configurer les Délais d'Attente : Si les étapes sont vraiment longues, augmentez la valeur timeout. Sinon, optimisez l'étape inefficace.
  3. Nettoyer l'Espace de Travail : Utilisez l'étape ws ou ajoutez une étape de nettoyage pour garantir que l'espace de travail ne croît pas indéfiniment, consommant de l'espace disque.

Erreur 4.2 : Blocages ou Incohérence des Étapes Parallèles

Lors de l'utilisation d'étapes parallel, les variables ou ressources partagées entre les threads peuvent entraîner des échecs ou des blocages imprévisibles.

Meilleure Pratique : Évitez de modifier les variables d'environnement globales dans les branches parallèles. Utilisez des variables localisées définies dans l'étape parallel spécifique, ou utilisez le plugin d'étape lock si l'accès à une ressource partagée (comme une machine spécifique ou un service externe) doit être sérialisé.

// Exemple de sérialisation à l'aide du plugin lock
stage('Access Shared Resource') {
    steps {
        lock('DatabaseMigrationLock') {
            // Une seule instance de pipeline peut exécuter cette étape à la fois
            sh 'run_migration_script'
        }
    }
}

Habitudes Qui Maintiennent les Pipelines Stables

L'adoption de mesures proactives réduit considérablement la fréquence des échecs de pipeline :

  1. Utiliser la Syntaxe Déclarative : Pour la plupart des projets, la structure imposée par les Pipelines Déclaratifs est moins sujette aux erreurs de script que les Pipelines Scriptés.
  2. Isoler l'Exécution : Dans la mesure du possible, utilisez des agents conteneurisés (Docker/Kubernetes) pour garantir un environnement d'exécution propre et reproductible pour chaque build, éliminant ainsi de nombreux problèmes de chemin d'outillage.
  3. Définir l'Environnement Explicitement : Utilisez la directive environment pour définir clairement les chemins et variables critiques dans le pipeline, plutôt que de vous fier uniquement aux valeurs par défaut du système de l'agent.
  4. Examiner Régulièrement la Santé de l'Agent : Surveillez l'utilisation de la mémoire, du CPU et du disque sur tous les agents de build dédiés pour anticiper les échecs d'épuisement des ressources.

L'Erreur Est Généralement Plus Tôt Que la Ligne Rouge

Jenkins marque souvent la dernière étape ayant échoué en rouge, mais l'indice utile est généralement plus tôt. Une commande shell peut se terminer avec le code 1 car l'installation d'une dépendance a échoué vingt lignes plus haut. Une étape de déploiement peut échouer car une étape précédente a écrit un artefact vide. Une trace de pile Groovy peut remplir l'écran alors que la véritable erreur est une variable mal orthographiée.

Lorsque vous ouvrez un pipeline ayant échoué, recherchez vers le haut à partir du bas le premier message inattendu. J'ai tendance à chercher ERROR, Exception, Permission denied, not found, No such file, 401, 403, timeout et le premier code de sortie non nul. Ensuite, je compare cette ligne avec le nom de l'étape. L'objectif est de répondre à une question simple : Jenkins n'a-t-il pas réussi à exécuter le pipeline, ou la commande à l'intérieur du pipeline a-t-elle échoué ?

Cette distinction est importante. Si Jenkins dit No such DSL method, vous déboguez la syntaxe du pipeline ou la disponibilité du plugin. Si mvn test se termine par un échec de test, Jenkins a fait son travail et votre outil de build signale un problème de projet. Traiter les deux comme "Jenkins est cassé" conduit à des correctifs aléatoires.

Erreurs de Pipeline Déclaratif Qui Semblent Plus Étranges Qu'Elles Ne Le Sont

Le Pipeline Déclaratif est strict concernant la structure. Les blocs tels que agent, environment, stages, stage, steps, post et when doivent être au bon endroit. Une accolade manquante peut amener Jenkins à se plaindre d'une ligne parfaitement valide plus tard dans le fichier.

Si l'erreur mentionne Expected a step, Undefined section ou Multiple occurrences of the stage section, réduisez le Jenkinsfile au plus petit bloc cassé. Le linter intégré est utile car il valide le modèle avant une exécution complète :

curl -X POST -F "jenkinsfile=<Jenkinsfile" \
  https://jenkins.example.com/pipeline-model-converter/validate

Utilisez la méthode d'authentification correcte pour votre instance Jenkins si l'accès anonyme est désactivé. Le but n'est pas la commande exacte ; le but est de valider la syntaxe avant d'attendre l'extraction, l'installation des dépendances et la configuration des tests.

Une erreur courante consiste à mettre du Groovy scripté directement à l'intérieur de steps sans bloc script. Le Pipeline Déclaratif y autorise les étapes normales, mais une logique Groovy plus complexe appartient à l'intérieur de script { ... } :

stage('Choose target') {
    steps {
        script {
            def target = env.BRANCH_NAME == 'main' ? 'prod' : 'dev'
            echo "Deploying to ${target}"
        }
    }
}

Ne mettez pas tout à l'intérieur de script juste pour faire disparaître les erreurs. Vous perdez une partie des garde-fous qui rendent le Pipeline Déclaratif lisible.

Erreurs d'Identifiants : Vérifiez l'ID, la Portée et l'Endroit Où Vous l'Utilisez

Les échecs d'identifiants ressemblent souvent à des échecs Git, Docker, cloud ou shell. Le pipeline peut afficher Authentication failed, 403 Forbidden, repository not found, denied: requested access to the resource is denied ou une erreur d'accès d'un fournisseur de cloud. Avant de modifier le code, confirmez que l'ID d'identifiant dans le Jenkinsfile correspond exactement à un identifiant existant.

Vérifiez également la portée de l'identifiant. Un identifiant au niveau du dossier peut être visible pour un job mais pas pour un autre. Un job multibranche peut utiliser un identifiant pour l'analyse du dépôt et un identifiant différent à l'intérieur du Jenkinsfile. Cela peut prêter à confusion car la découverte de branche fonctionne, mais l'extraction ou le déploiement échoue plus tard.

Utilisez withCredentials pour les secrets dont une commande shell a besoin, et gardez le secret hors des journaux :

withCredentials([string(credentialsId: 'npm-token', variable: 'NPM_TOKEN')]) {
    sh '''
      set +x
      npm config set //registry.npmjs.org/:_authToken "$NPM_TOKEN"
      npm ci
    '''
}

Évitez d'afficher les secrets pour le débogage. Si vous devez prouver qu'une variable existe, imprimez sa longueur ou un marqueur inoffensif :

test -n "$NPM_TOKEN" && echo "NPM token is present"

Erreurs de Bac à Sable et d'Approbation

Si le Bac à Sable Groovy bloque une méthode, Jenkins peut afficher Scripts not permitted to use method... ou envoyer le script à Approbation de Script en Cours. Ce n'est pas un échec de build normal. Jenkins empêche l'exécution de Groovy non approuvé avec un accès au niveau du contrôleur.

Pour les pipelines partagés, la meilleure solution consiste souvent à déplacer la logique non sécurisée dans une bibliothèque partagée de confiance gérée par les administrateurs, ou à remplacer le Groovy personnalisé par des étapes de pipeline prises en charge. Approuver des méthodes aléatoires simplement pour débloquer un build peut augmenter le risque pour chaque job pouvant modifier les Jenkinsfiles.

Lorsqu'une approbation de script apparaît après une mise à jour de plugin, lisez-la attentivement. Parfois, le plugin a changé d'implémentation et appelle désormais une méthode qui nécessite une approbation. Parfois, une modification du Jenkinsfile a introduit un appel risqué. La réponse doit être différente.

Erreurs Shell à l'Intérieur des Pipelines

Les étapes Shell échouent pour des raisons simples : mauvais répertoire de travail, bit exécutable manquant, shell différent, variable d'environnement manquante ou commande qui se comporte différemment en mode non interactif.

Ajoutez de petites vérifications avant la commande qui échoue :

sh '''
  pwd
  ls -la
  command -v node
  node --version
  ./scripts/build.sh
'''

Si un script fonctionne sur votre ordinateur portable mais échoue dans Jenkins, vérifiez le shebang et les fins de ligne. Un fichier avec des fins de ligne Windows peut échouer avec des messages déroutants tels que bad interpreter. Un script qui commence par #!/bin/bash échouera sur une image d'agent qui n'a que /bin/sh. Installez le shell dont vous avez besoin ou écrivez le script pour le shell que vous avez réellement.

Utilisez set -euo pipefail avec précaution. C'est utile dans les scripts Bash car cela rend les échecs visibles, mais cela peut aussi casser les scripts qui testent intentionnellement des commandes qui échouent. Si un pipeline a commencé à échouer après l'ajout d'indicateurs shell stricts, inspectez chaque commande qui peut renvoyer un statut non nul par conception.

Pipelines Parallèles et État Partagé

Les étapes parallèles sont une source courante d'erreurs de pipeline "aléatoires". Deux branches peuvent utiliser le même chemin d'espace de travail, écrire le même fichier de rapport, pousser la même balise Docker ou déployer sur le même environnement de test. L'échec semble intermittent car il dépend du timing.

Donnez à chaque branche parallèle son propre répertoire :

parallel(
  unit: {
    dir('work-unit') {
      sh './gradlew test'
    }
  },
  integration: {
    dir('work-integration') {
      sh './gradlew integrationTest'
    }
  }
)

Si les branches doivent toucher la même ressource externe, utilisez un verrou uniquement autour de cette opération. Ne verrouillez pas l'ensemble du build à moins que vous ne souhaitiez vraiment sérialiser l'ensemble du build.

Quand le Rejeu Aide et Quand Il Ne Le Fait Pas

Le Rejeu est excellent pour tester de petites modifications du Jenkinsfile sur une exécution ayant échoué. Ce n'est pas un remplacement pour la validation du correctif. Si le Rejeu prouve le problème, mettez à jour le Jenkinsfile dans le contrôle de source et exécutez le job normalement.

Le Rejeu est moins utile pour les échecs causés par un état externe modifié : une image Docker manquante, un jeton expiré, une branche supprimée ou un service instable. Dans ces cas, réexécuter le même pipeline peut réussir sans rien expliquer. Capturez suffisamment de preuves de l'exécution ayant échoué avant qu'elle ne disparaisse : journal console, timing des étapes, nom de l'agent, SHA du commit, ID d'identifiant et tous les ID de requête externes.