Разное

Безопасное управление конфигурациями в Ansible: Полное руководство по использованию rescue и always

Silver Ghost

12 мая 2025 — 3 min read

Введение: Почему это важно

В мире DevOps и системного администрирования существует простое правило: всё ломается. Особенно в самый неподходящий момент. Когда вы изменяете конфигурацию критического сервиса (например, Nginx), цена ошибки может быть очень высока — от простого даунтайма до потери данных.

Ansible предлагает элегантное решение для безопасного внесения изменений через механизм блоков с обработкой ошибок. Понимание и правильное использование конструкций rescue и always — это навык, который отделяет начинающего администратора от профессионала.

Глубже в механизм обработки ошибок

Анатомия блока обработки

Базовый блок в Ansible состоит из трёх частей:

Основной блок (block) — здесь выполняются основные задачи
Блок восстановления (rescue) — выполняется только при ошибке в основном блоке
Блок завершения (always) — выполняется в любом случае

- name: Пример структуры
  block:
    - name: Основная задача
      command: make_changes
  rescue:
    - name: Действия при ошибке
      command: rollback_changes
  always:
    - name: Финальные действия
      command: cleanup

Как это работает на практике

Представьте, что вы врач, выполняющий операцию:

Block — это сама операция
Rescue — действия, если что-то пошло не так
Always — наложение повязки и послеоперационный уход в любом случае

Реальный пример: безопасное обновление Nginx

Проблема

При обновлении конфигурации Nginx могут возникнуть:

Синтаксические ошибки в новом конфиге
Проблемы с правами доступа
Конфликты конфигурации
Ошибки при перезагрузке сервиса

Решение

Разберём полноценное решение с пояснениями каждого этапа:

- name: Безопасное обновление Nginx
  hosts: webservers
  become: yes
  vars:
    nginx_conf_path: "/etc/nginx/nginx.conf"
    nginx_conf_backup: "/etc/nginx/nginx.conf.bak"
  
  tasks:
    - name: Блок управления конфигурацией
      block:
        # 1. Сначала создаём бэкап текущей рабочей конфигурации
        - name: Создание бэкапа
          ansible.builtin.copy:
            src: "{{ nginx_conf_path }}"
            dest: "{{ nginx_conf_backup }}"
            remote_src: yes
          register: backup_result
          changed_when: false  # Помечаем как неизменяемую задачу
        
        # 2. Развёртываем новый конфигурационный файл
        - name: Развертывание нового конфига
          ansible.builtin.template:
            src: templates/nginx.conf.j2
            dest: "{{ nginx_conf_path }}"
            mode: '0644'
        
        # 3. Проверяем синтаксис перед применением
        - name: Проверка синтаксиса
          ansible.builtin.command: nginx -t
          register: nginx_test
          changed_when: false
        
        # 4. Если проверка прошла — применяем изменения
        - name: Применение изменений
          ansible.builtin.service:
            name: nginx
            state: reloaded
      
      rescue:
        # Этот блок выполняется ТОЛЬКО если что-то пошло не так в основном блоке
        
        # 1. Оповещаем администратора об ошибке
        - name: Оповещение об ошибке
          ansible.builtin.slack:
            token: "{{ slack_token }}"
            msg: "Ошибка в Nginx на {{ inventory_hostname }}: {{ nginx_test.stderr }}"
          when: nginx_test.failed
        
        # 2. Восстанавливаем рабочую конфигурацию из бэкапа
        - name: Восстановление бэкапа
          ansible.builtin.copy:
            src: "{{ nginx_conf_backup }}"
            dest: "{{ nginx_conf_path }}"
            remote_src: yes
          when: backup_result is defined and backup_result.changed == false
        
        # 3. Перезагружаем Nginx с рабочей конфигурацией
        - name: Восстановление сервиса
          ansible.builtin.service:
            name: nginx
            state: reloaded
          when: backup_result is defined and backup_result.changed == false
        
        # 4. Если бэкап не был создан — это критическая ошибка
        - name: Обработка неудачного бэкапа
          ansible.builtin.fail:
            msg: "Бэкап не создан, откат невозможен!"
          when: backup_result is undefined or backup_result.changed == true
      
      always:
        # Этот блок выполняется В ЛЮБОМ СЛУЧАЕ — была ошибка или нет
        
        # 1. Логируем результат операции
        - name: Логирование результата
          ansible.builtin.lineinfile:
            path: /var/log/nginx_updates.log
            line: "{{ ansible_date_time.iso8601 }} - {{ inventory_hostname }} - {% if ansible_failed_result %}FAIL{% else %}OK{% endif %}"
            create: yes
        
        # 2. Отправляем отчёт по email
        - name: Отправка отчёта
          ansible.builtin.mail:
            host: smtp.example.com
            port: 25
            subject: "Обновление Nginx на {{ inventory_hostname }}"
            body: "Статус: {% if ansible_failed_result %}ОШИБКА{% else %}УСПЕХ{% endif %}"
            to: "[email protected]"

Почему это работает?

Бэкап перед изменениями — гарантия, что мы сможем откатиться
Проверка синтаксиса перед применением изменений
Автоматический откат при любой ошибке
Уведомления — вы сразу узнаете о проблеме
Логирование — полная история изменений
Гарантированная очистка — блок always выполнится в любом случае

Альтернативные подходы

Метод временного файла

В некоторых случаях лучше использовать временный файл для новой конфигурации:

- name: Обновление через временный файл
  block:
    # 1. Генерируем новый конфиг во временный файл
    - name: Генерация нового конфига
      ansible.builtin.template:
        src: templates/nginx.conf.j2
        dest: "{{ nginx_conf_path }}.new"
    
    # 2. Проверяем его валидность
    - name: Валидация конфига
      ansible.builtin.command: nginx -t -c "{{ nginx_conf_path }}.new"
      register: test_result
    
    # 3. Если проверка прошла — заменяем основной файл
    - name: Применение конфига
      ansible.builtin.command: mv "{{ nginx_conf_path }}.new" "{{ nginx_conf_path }}"
      notify: reload nginx
  
  rescue:
    # Если что-то пошло не так — удаляем временный файл
    - name: Очистка временного файла
      ansible.builtin.file:
        path: "{{ nginx_conf_path }}.new"
        state: absent
    
    # И сообщаем об ошибке
    - name: Логирование ошибки
      ansible.builtin.debug:
        msg: "Ошибка конфигурации: {{ test_result.stderr }}"
  
  handlers:
    - name: reload nginx
      ansible.builtin.service:
        name: nginx
        state: reloaded

Преимущества метода:

Нет периода, когда основной конфиг повреждён
Более чистая реализация
Легче отслеживать состояние

Продвинутые техники

Вложенные блоки

Для сложных сценариев можно вкладывать блоки друг в друга:

- name: Вложенная структура
  block:
    - name: Внешний блок
      block:
        - name: Внутренняя операция
          command: /bin/fail_command
      rescue:
        - debug:
            msg: "Внутренний обработчик ошибки"
  
  rescue:
    - debug:
        msg: "Внешний обработчик ошибки"

Условное выполнение

Блоки rescue и always поддерживают условие when:

rescue:
  - name: Условное восстановление
    command: /bin/recovery
    when: recovery_needed | bool

Лучшие практики

Всегда делайте бэкап перед изменением конфигурации
Проверяйте синтаксис перед применением изменений
Используйте уведомления — вы должны знать о проблемах
Логируйте всё — это поможет при разборе инцидентов
Тестируйте сценарии отката — они должны работать
Документируйте свои playbook для коллег

Заключение

Использование rescue и always в Ansible — это не просто хороший тон, а необходимость при работе с production-окружением. Представленные подходы позволяют:

Минимизировать downtime при обновлениях
Обеспечить автоматический откат при ошибках
Сохранять полную историю изменений
Оперативно реагировать на проблемы

Помните: хороший системный администратор не тот, кто не делает ошибок, а тот, кто предусмотрел их последствия. Используйте механизмы обработки ошибок в Ansible, и ваша инфраструктура станет значительно более устойчивой и предсказуемой.