はじめに

2019/07/24-26 に兵庫県神戸市の神戸国際展示場で開催された JANOG44 Meeting in Kobe に参加、登壇してきました。

本ブログでは、2回に分けてレポートします。

• その1 参加編
• その2 登壇編 ここからはじめよう、運用自動化 (本記事)

その2である本記事では、前哨戦として Day2 に開催した野良BoF「運用自動化、どこからはじめる？」と、Day3 の本編「ここからはじめよう、運用自動化」に登壇するまでの経緯や、当日の様子などをまとめます。

■ 経緯

ある意味リベンジ企画

JANOG では、過去にも運用自動化に関連する多数のプログラムがありました。 今回の発表は JANOG42 の「その運用自動化では行き詰まる 〜「つながらない」「つたわらない」「つみあがらない」を防ぐために〜」の流れを組むものです。このプログラムでは私は登壇者ではなく参加者でした。JANOG 42 では、話がネガティブになりがちだったため、JANOG43 ではまた別の話をしようということで、登壇者としてお誘いを頂きました。

当初 JANOG43 では、良い手順書を探るようなプログラムを検討していました。しかし、少々まとめるのが難しくなり、保留になりました。

日をおいて今回の JNAOG44 の準備期間（といっても2月）に入った頃に、検討しはじめ「ここからはじめよう」というテーマにすることにしました。JANOG44 自体のテーマ「The One」にピッタリなのは偶然なのか、合わせたのかは覚えていません・・・。

BoFもやろう

JANOG では、よく BoF というかたちで少人数が集まって話し合う、座談会のような企画もあります。JANOG meeting 自体も meeting なので、意見交換が重要な要素ですが、それよりもっとこじんまりする印象です。

過去にも開催してきた自動化関連の BoF が盛り上がって良かったので、野良BoFというかたちで開催することにしました。

■ Day2 野良BoF「運用自動化、どこからはじめる？」

野良BoFとはいえ、JANOG 用に確保していただいている会場を利用させていただきました。 おかげさまで大勢の方にお越しいただくことができました。

様々な方からご意見をいただきました。感じたのは、体制によって大きく状況が変わるといいうことです。

• 人が少ないから自分たちで開発も運用もやっている
• 人が多すぎて、開発と運用を分けざるを得ない
• コード書ける人のみを採用している
• トップからの意志で、特定のツールを利用することになる

などなど・・（一部、野良BoFと本編の記憶が混在してるかもしれません）

開催側としての心残りが一点。参加していただいた人数が多く（60人ほどでしょうか）、BoFというより少々セッション形式に寄ってしまいました。そのため、意見を出しにくかった方もいらっしゃったようです。分割するなりの工夫が必要だったのかもしれません。

toggeter

• https://togetter.com/li/1380621https://togetter.com/li/1380387
  • 2019-07-25 16:01:41 のツイート以降

■ Day3 本編「ここからはじめよう、運用自動化」

概要

ここからはじめよう、運用自動化 :: janog44

9/2(月)の正午頃までの動画アーカイブ配信もあります。

資料

• ここからはじめよう、用自動化(イントロダクション含めた全部入り)

toggeter

• https://togetter.com/li/1380621
  • 2019-07-26 13:21:22 のツイート以降

流れ

金子さんからのイントロダクション、登壇者紹介のあと、なぜ自動化する必要があるのかを、社会情勢を含めて波田野さんから解説。

その後、3つの仮想ロールとして、それぞれが、どのように始めればよいかを、提示持していきました。運用責任者を波田野さん、現場に近い運用リーダーを私、その間に挟まれる運用マネージャーを長久さん、という順番で発表しました。

なぜ運用自動化が必要か

資料: 2019-07-26 なぜ運用自動化が必要なのか/20190726-why-need-operation-automation - Speaker Deck

生産人口が減少する一方で、業務が増えていく状況においては、業務をスリム化し、人がやる必要のない業務は自動化することが求められる。というお話。

途中、「30代後半から体力激減」という話があり、ドキッとしました。

各ロールごとの話

運用責任者として

資料: 運用責任者が最初にやるべきこと /20190726-janog44-start-operation-automation-guide - Speaker Deck

まずは、業務範囲、コアコンピタンスを明確化し、「人がやる業務」と「機械がやる業務」の分離をする必要がある。というお話。

P35 あたりで「公式サービス」「非公式サービス」という言葉ができます。これは、運用メンバー寄りの立場であっても、アピールできるものか、そうでもないものかを考える上で、意識したほうが良い観点だと思います。

運用リーダーとして: はじめどころを探る自動化アセスメント

資料: はじめどころを探る自動化アセスメント（JANOG44 ここからはじめよう、運用自動化）

私のパートです。思いつきで自動化対象作業の優先度を決めないように自動化のはじめどころを探る、自動化アセスメントの考え方をご紹介しました。

各スライドの内容を簡単におさらいします。

分類と観点を洗い出してからアセスメントする

自動化対象の優先順位を決めるときに、たとえば「小さなことから」とした場合、某異彩事を指しているのでしょうか。実装に掛かりそうな時間でしょうか、リスクが少ないところでしょうか。「小さなことから」と仮定しただけでも、このように考えていくと観点の偏りやモレが発生しそそうと感じました。そのため、これらの観点を一段抽象化した分類から考えてみます。分類してから該当する観点を洗い出し、各作業をスコアリングし、スコア計算値の高い作業が優先度が高いと決められるのではと考えました。

今回これを自動化アセスメントと呼ぶことにしました。

観点の分類

分類を考えるための軸は2つ。 1つめの軸は、自動化前・後。自動化前の観点は、自動化すること自身に対する観点。例えば、実装の難易度などです。自動化後の観点は、自動化したシステムがもたらすものに対する観点。例えば、見込まれる影響度などです。

2つめの軸は、大小の価値観です。大きいほうが優先の観点、小さい方が優先の観点、それぞれあります。

4つの分類

• 【動機】自動化に対するもの（自動化前）で、大きいほうが優先の観点
  • 現状脅かされているQCD、かかっている精神・身体負荷など
• 【抵抗】自動化に対するもの（自動化前）で、小さいほうが優先の観点
  • 実装難易度、想定コストなど
• 【リターン】自動化がもたらすもの（自動化後）で、大きいほうが優先の観点
  • 見込まれるQCDの向上、精神・身体負荷の改善など
• 【リスク】自動化がもたらすもの（自動化後）で、小さいほうが優先の観点
  • 影響度、運用難易度、過剰な人員削減

観点の洗い出し

考えた分類に対して、どのような観点があるか洗い出していきます。 今回ご紹介した分類や観点はあくまでも例なので、実際の業務に合わせるには、分類や観点をカスタマイズしたり、重み付けを設定したりする必要があります。

また、自動化アセスメントを関係者一同でおこなうことで、自チームだけでは見えない観点が見えてくることも期待できると考えました。

運用マネージャーとして

資料: janog44_190717_nagaku.pptx - Google ドライブ

運用マネージャーは、トップダウンとボトムアップを結んだり、チームを作ったり重要な役割。自身もエンジニアとして現場に出た場合、 3ヶ月で追いつけるぐらいの距離は保つために勉強しておくのが大切。というお話。

紹介されている「LeanとDevOpsの科学」という本は私も読んだことがあります。「デプロイ負荷」の考え方は、私の発表の自動化優先度の観点のヒントにさせていただきました。

ディスカッションタイム

作業の優先度を決めるのより先に必要なこと

ディスカッションで、印象的だったのが「順番を間違えると大変なことになる」というコメントでした。

マネジメントロール主導より、現場メンバー主導のほうが良いのでは。メンバーがやりたいと思う自発性、「これやれるんじゃないか」「ちょっとやってみました」のようなところが、一番始めるきっかけきになるのでは。マネージャーは、褒めたり、メンバーからの声をあげる機会を増やすほうが需要では。スキルを底上げする、現場のモチベーションをあげる、キープする、やりたいと思えるメンバーを増やすのがキモ。優先度を決めるのよりも先では。

私も現場主導でというのは、チームビルディングの一環と捉えて賛成しています。 私の今回の考え方の中では「動機」という分類のところに、メンバーの気持ちを含めたつもりでした。ですが、順番まではうまく考えられていなかった気がします。作業にフォーカスしすぎて、あまり人にフォーカスできていませんでした。

他にも、様々な立場の方から質問、コメントを頂きました。詳細は togetter をご確認ください。悩み方、解釈の仕方なども、置かれている立場によって変わるのだなと感じました。

こっそり考えていたこと

今回、アセスメントの作業の例として「ルーティング追加」「状態確認」「ACL変更」のような物をあげました。 これらはすべてネットワーク機器へ接続が必要な作業です。

そういう意味ではもししかして、機器に接続するために必要な構成管理情報（IPアドレス、認証情報など）の整理が先ではないかとも思いました。

なので、作業のなかにも「これを先にやらないとどうやっても先に勧めなれない」ような、土台、レイヤーのようなものもあるかも、とこっそり考えていました。

【謝辞】臨時サテライト会場のご用意ありがとうございました

大勢の方にご参加いただき、関心の高さと熱量を感じました。 立ち見が出始めた頃に「座ってもらいたいが椅子は場所をとってしまい、人が多く入れなくなる。とはいえ、80分プログラムで立ち見は負担が大きい。」という難しい状況の中、椅子を追加しつつ、別フロアにストリーミングを映し出すサテライト会場を臨時で用意、という対応をしていたきました。このことはあとで知ったのですが、スタッフの的確な判断と、対応の速さにただただ感謝するばかりです。本当にありがとうございました。

[お知らせ]JANOG44 3B会議室開催中の「ここからはじめよう、運用自動化 」は通路まで満員のため、2階の2A会議室でもご覧いただけるようにしております。これから参加される方は2階会議室もご利用ください。 #janog

— JANOG Meeting (@janogmeeting) July 26, 2019

■ 登壇編のまとめ

3つのロールに分けてそれぞれの考えを提示するという本プログラム。この企画を準備の段階でさまざまな意見交換をしてきました。当日も様々な立場の方から、ご質問やコメントを頂きました。これらにより、私なりに視野を広げることができた気がします。

これまで、私自身も JANOG41のネットワーク運用自動化BoF、JANOG42のAnsible ネットワーク自動化チュートリアル、JANOG43の自動化の行き着く先は？、そして今回、と立て続けに自動化関連のプログラムで登壇させていただきました。ありがとうございました。 毎回、一定の関心の高さが伺えるため、今後も何かしらの切り口で運用自動化のプログラムがあり、意見交換ができると良いなと思いました。

スタッフみなさま、マイクに立っていただいたみなさま、ご参加頂いたみなさま、企画立ち上げ時に引っ張ってくださった今井さん、臨時でまとめ役をご担当いただいた金子さん、各ロールを演じてくださった波田野さん、長久さん、ありがとうございました！

■ はじめに

Ansible には callback plugin という仕組みがあり、結果出力の形式を変更したりすることができます。 yaml に変更すると、改行コードごとに改行された形で標準出力されます。

本記事でも、callback plugin を yaml に変更する方法ど、出力例をご紹介します。

なお、本件は先日メンターとして参加させていただいた、Ansibleもくもく会 （サーバ編 & NW編）2019.07 での質疑応答でのやりとりの中で、参加者からいただいたコメントで気付きを得ました。 （いままで特に yaml に変更する用途が思い浮かびませんでた・・）

• 動作確認環境: Ansible 2.8.0
• 対象器機: Cisco DevNet Sandox 上の IOS-XE （とても便利です）

■ callback plugin を yaml に変更する

ansible.cfg や環境変数などで変更できます（参考: DEFAULT_STDOUT_CALLBACK）。今回は、ansible.cfg で変更します。

[defaults]
stdout_callback = yaml

なお、ansible-playbook コマンドではなく、ansible コマンドでこの設定変更を有効にするためには、さらに bin_ansible_callbacks = True も必要です。

■ 出力例

Playbook

今回は、 ios_command モジュールを利用して、show version コマンドを実行し、出力結果の stdout を出力させます。

- hosts: ios
  gather_facts: no

  tasks:
    - name: test
      ios_command:
        commands:
          - show version
      register: result

    - name: debug
      debug:
        var: result.stdout

実行

$ ansible-playbook -i inventory ios_test.yml

PLAY [ios] ************************************************************************************************************

TASK [test] ***********************************************************************************************************
ok: [iosal1]

TASK [debug] **********************************************************************************************************
ok: [iosal1] => 
  result.stdout:
  - |-
    Cisco IOS XE Software, Version 16.08.01
    Cisco IOS Software [Fuji], Virtual XE Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.8.1, RELEASE SOFTWARE (fc3)
    Technical Support: http://www.cisco.com/techsupport
    Copyright (c) 1986-2018 by Cisco Systems, Inc.
    Compiled Tue 27-Mar-18 13:32 by mcpre
  
(...略...)

    3 Gigabit Ethernet interfaces
    32768K bytes of non-volatile configuration memory.
    16370384K bytes of physical memory.
    7774207K bytes of virtual hard disk at bootflash:.
    0K bytes of WebUI ODM Files at webui:.
  
    Configuration register is 0x2102

PLAY RECAP ************************************************************************************************************
iosal1                     : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

このように、改行コードが解釈された形で表示されます。

なお、

  result.stdout:
  - |-

の | は YAML で複数行の値を示す Syntax です。

参考（デフォルトの場合）

参考までに、デフォルトの場合の出力結果を抜粋して掲載します。

ok: [iosal1] => {
    "result.stdout": [
        "Cisco IOS XE Software, Version 16.08.01\nCisco IOS Software [Fuji], Virtual XE Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.8.1, RELEASE SOFTWARE (fc3)\nTechnical Support: http://www.cisco.com/techsupport\nCopyright (c) 1986-2018 by Cisco Systems, Inc.\nCompiled Tue 27-Mar-18 13:32 by mcpre\(...略...)3 Gigabit Ethernet interfaces\n32768K bytes of non-volatile configuration memory.\n16370384K bytes of physical memory.\n7774207K bytes of virtual hard disk at bootflash:.\n0K bytes of WebUI ODM Files at webui:.\n\nConfiguration register is 0x2102"
    ]
}

このように、改行コード \n はそのまま表示されます。

デフォルトの場合でも、stdout ではなく、stdout_lines を表示するようにすると、1行1リストアイテムとして表示されるので見やすいです。ただしクォーテーションが入ります。

ok: [iosal1] => {
    "result.stdout_lines": [
        [
            "Cisco IOS XE Software, Version 16.08.01", 
            "Cisco IOS Software [Fuji], Virtual XE Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.8.1, RELEASE SOFTWARE (fc3)", 
            "Technical Support: http://www.cisco.com/techsupport", 
            "Copyright (c) 1986-2018 by Cisco Systems, Inc.", 
            "Compiled Tue 27-Mar-18 13:32 by mcpre", 

(...略...)

            "3 Gigabit Ethernet interfaces", 
            "32768K bytes of non-volatile configuration memory.", 
            "16370384K bytes of physical memory.", 
            "7774207K bytes of virtual hard disk at bootflash:.", 
            "0K bytes of WebUI ODM Files at webui:.", 
            "", 
            "Configuration register is 0x2102"
        ]
    ]
}

■ まとめ

callback plugin を yaml に変更して、改行コードごとに改行された形で標準出力されることをご紹介しました。

はじめに

ネットワーク機器のコンフィグファイルをどこかに提示する際、パスワードや IP アドレス、SNMP コミュニティ名などの固有情報をマスクしたり、変更したりする機会はないでしょうか。 netconan はそれを自動で変換してくれるツールです。

github.com

インストール

pip ですぐにインストールできます。

pip install netconan

使い方

オプションで、コンフィグファイル名や、匿名化の詳細を指定します。

• -i オプションで対象のコンフィグファイル（またはディレクトリ）
• -o オプションで出力先のファイル名（またはディレクトリ）
• IPアドレスを匿名化する場合は、-a または --anonymize-ips オプションを指定します
• -w オプションで「この単語があったら匿名化して」という指定もできます

詳細は、README を参照してください。

以下、ヘルプを転記します。

$ netconan --help
usage: netconan [-h] [-a] [-c CONFIG] [-d DUMP_IP_MAP] -i INPUT
                [-l {DEBUG,INFO,WARNING,ERROR,CRITICAL}] [-n AS_NUMBERS] -o
                OUTPUT [-p] [-r RESERVED_WORDS] [-s SALT] [-u]
                [-w SENSITIVE_WORDS] [--preserve-prefixes PRESERVE_PREFIXES]

Args that can start with '--' can also be set in a config file (specified via
-c). If an arg is specified in more than one place, then command line values
override config file values which override defaults. Config file syntax
allows: key=value, flag=true, stuff=[a,b,c] (for more details, see here
https://goo.gl/R74nmi).

optional arguments:
  -h, --help            show this help message and exit
  -a, --anonymize-ips   Anonymize IP addresses
  -c CONFIG, --config CONFIG
                        Netconan configuration file with defaults for these
                        CLI parameters
  -d DUMP_IP_MAP, --dump-ip-map DUMP_IP_MAP
                        Dump IP address anonymization map to specified file
  -i INPUT, --input INPUT
                        Input file or directory containing files to anonymize
  -l {DEBUG,INFO,WARNING,ERROR,CRITICAL}, --log-level {DEBUG,INFO,WARNING,ERROR,CRITICAL}
                        Determines what level of logs to display
  -n AS_NUMBERS, --as-numbers AS_NUMBERS
                        List of comma separated AS numbers to anonymize
  -o OUTPUT, --output OUTPUT
                        Output file or directory where anonymized files are
                        placed
  -p, --anonymize-passwords
                        Anonymize password and snmp community lines
  -r RESERVED_WORDS, --reserved-words RESERVED_WORDS
                        List of comma separated words that should not be
                        anonymized
  -s SALT, --salt SALT  Salt for IP and sensitive keyword anonymization
  -u, --undo            Undo reversible anonymization (must specify salt)
  -w SENSITIVE_WORDS, --sensitive-words SENSITIVE_WORDS
                        List of comma separated keywords to anonymize
  --preserve-prefixes PRESERVE_PREFIXES
                        List of comma separated IPv4 prefixes to preserve

対応ベンダー

残念ながら一覧になっているドキュメントが見当たりませんでした。 例示されているのは Cisco です。試せてもいませんが、過去の issue などを見ると他に、Juniper、Arista について言及するものはありました。

まとめ

ネットワークコンフィグファイルを「匿名化」するツール netconan をご紹介しました。 この手の作業は意外と手間で、漏れも発生しがちなので、本ツールの活用を検討してみてはいかがでしょうか。

はじめに

Ansible は、Ansible 2.8 現在 50以上のネットワークプラットフォームに対応しています。

プラットフォームごとに、どのバージョンでテスト、サポートされているかの情報が、探すのにやや手間取ってしまうので、こちらにリンクまとめておきます。

Ansible Network Team でメンテナンスされているネットワークモジュール

docs.ansible.com

Ansible のバージョンとネットワークプラットフォームのバージョンのマトリックス

access.redhat.com

その他 参考

www.redhat.com