如何在 Ansible 中调试“不可达”和“失败”问题

简介

Ansible 是一个强大的基础设施自动化工具，在剧本执行过程中有时会遇到 “不可达” 和 “失败” 错误。本教程将指导你识别、理解和解决这些问题，帮助你维护一个可靠且高效的由 Ansible 驱动的环境。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL ansible(("Ansible")) -.-> ansible/ModuleOperationsGroup(["Module Operations"]) ansible(("Ansible")) -.-> ansible/PlaybookEssentialsGroup(["Playbook Essentials"]) ansible/ModuleOperationsGroup -.-> ansible/debug("Test Output") ansible/ModuleOperationsGroup -.-> ansible/ping("Network Test") ansible/ModuleOperationsGroup -.-> ansible/shell("Execute Shell Commands") ansible/PlaybookEssentialsGroup -.-> ansible/playbook("Execute Playbook") subgraph Lab Skills ansible/debug -.-> lab-415690{{"如何在 Ansible 中调试“不可达”和“失败”问题"}} ansible/ping -.-> lab-415690{{"如何在 Ansible 中调试“不可达”和“失败”问题"}} ansible/shell -.-> lab-415690{{"如何在 Ansible 中调试“不可达”和“失败”问题"}} ansible/playbook -.-> lab-415690{{"如何在 Ansible 中调试“不可达”和“失败”问题"}} end

识别 Ansible 中的 “不可达” 和 “失败” 错误

理解 “不可达” 错误

当控制节点无法与被管理节点建立连接时，Ansible 中就会出现 “不可达” 错误。这可能由于多种原因发生，例如：

被管理节点未开机或处于离线状态。
控制节点与被管理节点之间的 SSH 连接配置不正确。
防火墙规则阻止了控制节点与被管理节点之间的连接。
被管理节点的 SSH 服务器未运行或无法访问。

要识别 “不可达” 错误，你可以在 Ansible 输出中查找以下内容：

fatal: [<host>] => {
    "msg": "SSH Error: data could not be sent to the remote host. Make sure this host can be reached over ssh",
    "unreachable": true
}

理解 “失败” 错误

当控制节点能够与被管理节点建立连接，但被管理节点上的任务执行失败时，Ansible 中就会出现 “失败” 错误。这可能由于多种原因发生，例如：

任务命令或模块在被管理节点上无效或不受支持。
任务命令或模块在被管理节点上执行期间遇到错误。
任务无法在被管理节点上达到期望的状态。

要识别 “失败” 错误，你可以在 Ansible 输出中查找以下内容：

fatal: [<host>]: FAILED! => {
    "changed": false,
    "msg": "Some error message",
    "rc": 1,
    "results": []
}

排查 “不可达” 错误

检查连通性

排查 “不可达” 错误的第一步是确保控制节点能够与被管理节点建立连接。你可以使用以下命令测试连通性：

## 向被管理节点发送 Ping 请求
ping <被管理节点_ip>

## 尝试通过 SSH 连接到被管理节点
ssh <被管理节点用户名>@<被管理节点_ip>

如果 Ping 或 SSH 连接失败，你需要检查控制节点和被管理节点上的网络配置和防火墙设置。

验证 SSH 配置

“不可达” 错误的另一个常见原因是控制节点和被管理节点之间的 SSH 配置问题。你可以通过检查以下内容来验证 SSH 配置：

确保 SSH 密钥配置正确，并且控制节点具有访问被管理节点所需的权限。
在 Ansible 清单文件或任务定义中检查 SSH 连接参数，如用户名、端口和私钥文件。
确保 SSH 服务器在被管理节点上运行，并且可以从控制节点访问。

调试 Ansible 详细程度

要获取有关 “不可达” 错误的更详细信息，你可以使用 -vvv 或 -vvvv 选项增加 Ansible 输出的详细程度。这将提供有关连接和认证过程的更详细信息，有助于你确定问题的根本原因。

ansible-playbook -i inventory.yml playbook.yml -vvv

检查被管理节点状态

在某些情况下，“不可达” 错误可能是由于被管理节点关机或无响应。你可以使用以下命令检查被管理节点的状态：

ansible <主机模式> -m ping

如果被管理节点没有响应，你需要在被管理节点端调查问题，例如检查电源状态、网络连通性或系统日志。

排查 “失败” 错误

检查任务语法和执行情况

遇到 “失败” 错误时，第一步是检查任务的语法和执行情况。你可以通过以下方式进行：

验证 Ansible 剧本或角色中的任务定义。
检查任务命令或模块参数是否有错误或拼写错误。
确保任务与被管理节点的操作系统和软件版本兼容。

你可以使用 --check 选项对任务进行试运行，并识别任何潜在问题：

ansible-playbook -i inventory.yml playbook.yml --check

调试任务执行

如果任务语法正确，你可以通过调试任务执行来进一步调查 “失败” 错误。你可以通过以下方式进行：

使用 -vvv 或 -vvvv 选项增加 Ansible 输出的详细程度，以获取有关任务执行的更详细信息。
检查任务的输出和错误消息，以获取有关失败根本原因的线索。
查看被管理节点的系统日志，以获取任何相关的错误消息或信息。

处理特定错误类型

根据 “失败” 错误的类型，你可能需要采取不同的措施来排查和解决问题。一些常见的错误类型及其排查步骤包括：

模块执行错误：确保模块在被管理节点上正确安装和配置。
命令执行错误：验证命令是否有效，以及被管理节点是否具有执行该命令所需的权限。
资源修改错误：确保任务正按预期方式尝试修改资源，并且被管理节点具有执行该修改所需的权限。

通过遵循这些步骤，你可以有效地排查和解决 Ansible 中的 “失败” 错误。

总结

在本 Ansible 教程结束时，你将对如何有效地调试 Ansible 剧本中的 “不可达” 和 “失败” 错误有扎实的理解。你将学会利用 Ansible 的内置调试工具，识别这些问题的根本原因，并实施预防和解决这些问题的策略，确保由 Ansible 驱动的基础设施自动化顺利运行。