Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps

Resolvendo Estados 'Changed' Inesperados e Falhas na Coleta de Fatos

Corrija resultados 'changed' ruidosos do Ansible e falhas na coleta de fatos com verificações práticas para módulos, handlers, SSH e Python.

Resolvendo Estados 'Changed' Inesperados e Falhas na Coleta de Fatos

Dois problemas do Ansible prejudicam rapidamente a confiança: tarefas que relatam changed quando nada de significativo mudou e a coleta de fatos que falha antes mesmo do trabalho real começar. O primeiro problema faz cada execução parecer suspeita. O segundo bloqueia playbooks que dependem de fatos do sistema operacional, rede, pacotes ou hardware. Ambos são corrigíveis quando você separa mudanças reais de estado de tarefas ruidosas e falhas de conexão de falhas de configuração.

Entender a causa raiz desses problemas é crucial para manter uma automação Ansible robusta e confiável. Seja um problema sutil de permissão de arquivo, um handler sendo acionado não intencionalmente ou uma condicional não confiável, identificar o motivo exato para um status changed inesperado ou uma coleta de fatos com falha pode economizar um tempo significativo de depuração. Exploraremos esses cenários com explicações claras e exemplos acionáveis.

Entendendo o Estado 'Changed' no Ansible

No Ansible, uma tarefa é relatada como changed se o módulo que ela usa modificou o estado do sistema. Este é o comportamento esperado quando uma tarefa aplica uma configuração com sucesso. No entanto, às vezes uma tarefa pode relatar changed mesmo quando a configuração pretendida já estava em vigor ou quando nenhuma modificação foi realmente feita.

Causas Comuns para Estados 'Changed' Inesperados

1. Problemas de Idempotência

Os módulos do Ansible são projetados para serem idempotentes, o que significa que executá-los várias vezes deve ter o mesmo efeito que executá-los uma vez. Se um módulo não for perfeitamente idempotente, ou se for usado de uma forma que contorne suas verificações de idempotência, ele pode relatar uma mudança mesmo que o estado desejado já tenha sido alcançado. Isso geralmente se deve à forma como o módulo verifica o estado atual em relação ao estado desejado.

2. Permissões e Propriedade de Arquivos

Permissões ou propriedade de arquivos incorretas no nó de controle do Ansible ou nos nós gerenciados podem levar a mudanças inesperadas. Por exemplo, se o Ansible precisa escrever um arquivo, mas não tem as permissões de escrita necessárias, ele pode falhar e relatar um erro. Por outro lado, se o Ansible verifica a existência de um arquivo e o encontra, mas seus metadados (como hora de modificação ou permissões) não correspondem a um modelo, ele pode reaplicar o arquivo, marcando-o como alterado.

  • Exemplo: Considere um playbook que copia um arquivo de configuração. Se a propriedade ou permissões no arquivo de destino no nó gerenciado forem ligeiramente diferentes do que o Ansible espera (por exemplo, um timestamp diferente devido a uma edição manual anterior ou um proprietário diferente), o Ansible pode relatar uma mudança mesmo que o conteúdo seja o mesmo.

    - name: Garantir que o arquivo de configuração esteja no lugar
  copy:
    src: /path/to/local/config.conf
    dest: /etc/app/config.conf
    owner: appuser
    group: appgroup
    mode: '0644'

    Se /etc/app/config.conf já existir com o conteúdo correto, mas com permissões ligeiramente diferentes (por exemplo, 0664), o Ansible relatará como changed porque o parâmetro mode não corresponde. Para evitar isso, certifique-se de que seu parâmetro mode reflita precisamente o estado desejado, ou considere usar módulos que sejam mais conscientes do conteúdo.

3. Handlers Acionados Não Intencionalmente

Handlers são tarefas especiais que são executadas apenas quando notificadas por outras tarefas, tipicamente quando uma mudança ocorre. Se um handler for notificado por uma tarefa que relata changed incorretamente, o handler também será executado, potencialmente causando mais mudanças ou operações não intencionais. Isso pode criar um efeito cascata de mudanças relatadas.

  • Exemplo: Se uma tarefa copy (como mostrado acima) relatar changed incorretamente devido a uma pequena diferença de permissão, e esta tarefa notificar um handler para reiniciar um serviço, o serviço será reiniciado mesmo que o conteúdo do arquivo de configuração possa não ter mudado realmente.

    - name: Reiniciar servidor web
  service:
    name: nginx
    state: restarted
  listen: "notificar reinício do servidor web"

    E a tarefa copy o notificaria:

    - name: Garantir que o arquivo de configuração esteja no lugar
  copy:
    src: /path/to/local/config.conf
    dest: /etc/app/config.conf
  notify: "notificar reinício do servidor web"

    Dica: Revise cuidadosamente quais tarefas notificam handlers e certifique-se de que as tarefas notificadoras estão relatando changed apenas quando uma modificação de configuração significativa ocorreu. Use changed_when: false criteriosamente se você sabe que uma tarefa nunca deve relatar uma mudança, ou ajuste os parâmetros do módulo para melhorar a idempotência.

4. Lógica Condicional Não Confiável

Declarações condicionais (cláusulas when:) são poderosas, mas podem levar a comportamentos inesperados se não forem cuidadosamente construídas. Se uma condição for avaliada incorretamente ou for baseada em um fato instável, uma tarefa pode ser executada quando não deveria, ou falhar ao ser executada quando deveria, potencialmente levando a estados changed ou oportunidades perdidas para configuração real.

  • Exemplo: Confiar em um fato que pode nem sempre estar presente ou ser consistente pode causar problemas.

    - name: Configurar aplicação se recurso estiver habilitado
  lineinfile:
    path: /etc/app/settings.conf
    line: "FEATURE_ENABLED=true"
  when: ansible_facts['some_custom_fact'] == "enabled"

    Se some_custom_fact às vezes estiver faltando ou tiver um valor ligeiramente diferente (por exemplo, Enabled em vez de enabled), a condição when pode falhar inesperadamente, ou a tarefa pode ser executada quando não deveria. Sempre valide as condições e os fatos dos quais elas dependem.

    Dica: Use tarefas debug: para imprimir os valores de fatos e variáveis usados em condições when para verificar seu estado durante a execução do playbook.

Solucionando Falhas na Coleta de Fatos

A coleta de fatos do Ansible é o processo onde o Ansible coleta informações (fatos) sobre os nós gerenciados, como endereços IP, sistema operacional, memória e espaço em disco. Esses fatos estão então disponíveis para uso em playbooks. Falhas na coleta de fatos podem impedir que os playbooks sejam executados corretamente ou usem informações essenciais.

Causas Comuns para Falhas na Coleta de Fatos

1. Problemas de Conexão

Os fatos são coletados via SSH (para Linux/Unix) ou WinRM (para Windows) por padrão. Se o Ansible não conseguir estabelecer uma conexão com o nó gerenciado, ele não poderá coletar fatos. Esta é frequentemente a causa mais direta de falha na coleta de fatos.

  • Sintomas: O playbook trava ou falha imediatamente com erros relacionados à conexão (por exemplo, ssh: connect to host ... port 22: Connection refused, timeout, Authentication failed).
  • Resolução: Verifique a conectividade SSH/WinRM, certifique-se de que ansible_user, ansible_ssh_private_key_file e outros parâmetros de conexão corretos estejam configurados em seu inventário ou ansible.cfg. Verifique as regras do firewall.

2. Permissões Insuficientes nos Nós Gerenciados

Para que o Ansible colete fatos, o usuário com o qual o Ansible se conecta precisa de permissões apropriadas no nó gerenciado. Isso normalmente significa ser capaz de executar certos comandos e acessar diretórios específicos.

  • Sintomas: A coleta de fatos pode ser concluída parcialmente ou falhar com erros de permissão negada ao tentar executar comandos como uname, df, lsblk, ou acessar entradas do sistema de arquivos /proc.

  • Resolução: Certifique-se de que o usuário de conexão tenha privilégios sudo sem exigir senha (se necessário para comandos específicos) ou que o usuário tenha acesso de leitura direta às informações do sistema necessárias.

    # Exemplo de como garantir que o sudo esteja disponível para coleta de fatos
- name: Coletar fatos
  setup:
  # Se comandos específicos exigirem sudo, certifique-se de que o usuário tenha sudo sem senha configurado

    Dica: Para escalonamento de privilégios durante a coleta de fatos, o Ansible geralmente depende da diretiva become. Se seu usuário de conexão precisar de privilégios elevados para executar comandos para coleta de fatos, configure become: yes e become_method: sudo (ou equivalente) em seu playbook ou inventário. Certifique-se de que o become_user (geralmente root) tenha as permissões necessárias.

3. Interpretador Python Incompatível

Os módulos do Ansible, incluindo o módulo setup usado para coleta de fatos, geralmente dependem de um interpretador Python no nó gerenciado. Se o interpretador Python padrão for incompatível (por exemplo, Python 3 quando o Ansible espera Python 2, ou vice-versa, dependendo da versão do Ansible e dos requisitos do módulo) ou estiver faltando, a coleta de fatos pode falhar.

  • Sintomas: Erros relacionados à execução do Python, ImportError ou falhas de módulo durante a coleta de fatos.

  • Resolução: Especifique o interpretador Python correto usando ansible_python_interpreter em seu inventário ou ansible.cfg. Certifique-se de que uma versão compatível do Python esteja instalada nos nós gerenciados.

    # exemplo de arquivo de inventário
[my_servers]
server1.example.com ansible_python_interpreter=/usr/bin/python3
server2.example.com ansible_python_interpreter=/usr/bin/python2.7

4. Diretório /etc/ansible/facts.d Corrompido ou Ausente

O Ansible também pode coletar fatos personalizados de arquivos no diretório /etc/ansible/facts.d nos nós gerenciados. Se este diretório ou seu conteúdo estiver corrompido ou inacessível, pode interferir no processo de coleta de fatos, embora isso seja menos comum para coleta de fatos padrão.

  • Sintomas: Erros mencionando especificamente problemas com /etc/ansible/facts.d.
  • Resolução: Verifique as permissões e o conteúdo de /etc/ansible/facts.d nos nós gerenciados. Certifique-se de que é um diretório e que o Ansible tem permissões de leitura para ele.

5. gather_facts: no ou Restrições gather_subset

Em alguns playbooks, gather_facts pode ser definido como no para acelerar a execução, ou gather_subset pode ser usado para limitar os fatos coletados. Se você então tentar usar fatos que não foram coletados, parecerá uma falha.

  • Sintomas: Variáveis indefinidas ao acessar fatos, ou erros como AttributeError: 'dict' object has no attribute '...'.

  • Resolução: Certifique-se de que gather_facts: yes (ou o comportamento padrão) esteja habilitado para o play, ou habilite explicitamente subconjuntos de fatos que você pretende usar. Se gather_facts: no for intencional, então os fatos não devem ser usados ou devem ser definidos manualmente.

    - name: Meu Play
  hosts: all
  gather_facts: yes # Ou omita esta linha para usar o padrão (yes)
  tasks:
    - name: Exibir família do SO
      debug:
        msg: "Executando em {{ ansible_os_family }}"

    Se você precisar apenas de um subconjunto de fatos, pode otimizar com o módulo setup em uma tarefa:

    - name: Meu Play Otimizado para Fatos
  hosts: all
  gather_facts: false
  tasks:
    - name: Coletar apenas fatos de rede
      ansible.builtin.setup:
        gather_subset:
          - '!all'
          - network

    - name: Exibir interfaces de rede
      debug:
        msg: "Interfaces: {{ ansible_interfaces }}"

Um Caminho Prático de Triagem

Quando um playbook é ruidoso, comece com um host e uma tarefa suspeita. Executar todo o play em todo o inventário torna a saída mais difícil de ler e pode acionar handlers que você não pretendia testar.

ansible-playbook -i inventory.ini site.yml --limit app01.example.com --check --diff

--diff é especialmente útil para tarefas de arquivo. Se uma tarefa de template ou copy relatar changed, o diff geralmente informa se o conteúdo mudou, o modo mudou ou apenas um timestamp gerado mudou. Timestamps gerados são uma fonte clássica de falsas mudanças:

# Gerado em {{ ansible_date_time.iso8601 }}

Essa linha garante que o arquivo renderizado seja diferente a cada execução. Se a aplicação não precisar do timestamp, remova-o. Se humanos precisarem saber que o arquivo é gerenciado, use um comentário estável:

# Gerenciado pelo Ansible. Edições locais podem ser sobrescritas.

Para tarefas de comando e shell, assuma que elas não são idempotentes até que você prove o contrário. Uma tarefa como esta geralmente relatará changed toda vez:

- name: Recriar cache da aplicação
  ansible.builtin.command: /opt/app/bin/rebuild-cache

Se o comando for apenas uma verificação, marque-o honestamente:

- name: Verificar status do cache da aplicação
  ansible.builtin.command: /opt/app/bin/cache-status
  register: cache_status
  changed_when: false

Se o comando deve ser executado apenas quando um arquivo estiver faltando, use creates:

- name: Inicializar banco de dados da aplicação
  ansible.builtin.command:
    cmd: /opt/app/bin/init-db
    creates: /var/lib/app/.db_initialized

Se deve ser executado apenas quando um arquivo existir, use removes. Essas proteções são melhores que changed_when: false porque também evitam execução desnecessária.

Handlers precisam da mesma disciplina. Um handler de reinicialização deve ser notificado por tarefas que alteram a configuração efetiva do serviço, não por tarefas não relacionadas que por acaso tocam um diretório. Se uma role reinicia o Nginx a cada execução, inspecione cada tarefa notificadora com --diff. A tarefa ruidosa é frequentemente um template com espaços em branco instáveis, uma incompatibilidade de modo de arquivo ou uma tarefa de comando que sempre relata changed.

Falhas na coleta de fatos são mais fáceis se você separar o teste de conexão do teste de fatos:

ansible app01.example.com -i inventory.ini -m ping
ansible app01.example.com -i inventory.ini -m setup -a "filter=ansible_distribution*"

Se ping falhar, você tem um problema de conexão, autenticação, privilégio ou bootstrap do Python. Se ping funcionar mas setup falhar, o problema está mais provavelmente na coleta de fatos: comandos ausentes, permissões restritas, um interpretador Python quebrado ou fatos personalizados problemáticos.

Em imagens Linux mínimas, o Python pode estar ausente ou instalado em um local que o Ansible não detecta automaticamente. Defina ansible_python_interpreter explicitamente:

[app]
app01.example.com ansible_python_interpreter=/usr/bin/python3

Evite codificar /usr/bin/python2.7 a menos que você realmente gerencie sistemas antigos que o exijam. A maioria das distribuições Linux atuais usa Python 3 para execução de módulos do Ansible.

Fatos personalizados podem falhar de maneiras surpreendentes porque são executados durante o setup. Verifique-os diretamente no host gerenciado:

sudo find /etc/ansible/facts.d -maxdepth 1 -type f -ls
sudo /etc/ansible/facts.d/example.fact

Arquivos .fact executáveis devem retornar dados JSON ou no estilo INI válidos. Um script que imprime um aviso antes do JSON pode quebrar a análise. Um script que trava ao chamar um serviço interno pode fazer a coleta de fatos parecer um timeout SSH.

Se a coleta de fatos for lenta em vez de quebrada, reduza o escopo em vez de desabilitar fatos em todos os lugares. Desabilite a coleta automática no nível do play e chame setup apenas onde você precisar, com um subconjunto ou filtro. Isso mantém as tarefas posteriores honestas: elas não podem acidentalmente depender de fatos que o play nunca coletou.

O objetivo não é forçar cada execução a mostrar changed=0. Algumas mudanças são reais. O objetivo é a confiança. Quando o Ansible diz changed, você deve ser capaz de apontar para o arquivo, serviço, pacote ou resultado de comando que mudou. Quando a coleta de fatos falha, você deve saber se o Ansible não conseguiu conectar, não conseguiu executar Python, não conseguiu ler dados do sistema ou não conseguiu analisar um fato personalizado.