■ はじめに

Ansible 2.7 への ポーティングガイドを眺めていたら、このような記載がありました。

If you specify --tags or --skip-tags multiple times on the command line, Ansible will merge the specified tags together. In previous versions of Ansible, you could set merge_multiple_cli_tags to False if you wanted to keep only the last-specified --tags. This config option existed for backwards compatibility. The overwriting behavior was deprecated in 2.3 and the default behavior was changed in 2.4. Ansible-2.7 removes the config option; multiple --tags are now always merged.

ansible-playbook コマンドには実行したいタスク、したくないタスクをタグで指定する --tags や --skip-tags オプションがあります。知らなかったのですが、 --tags や --skip-tags オプションを複数指定したときの挙動を設定によって変更できたようです。

デフォルトの挙動も変更されていて、

• Ansible 2.3 までは、最後に指定されたオプションのみ有効
• Ansible 2.4 から、マージする

になったようです。そして、Ansible 2.7 から挙動を変更する設定項目自体なくるようです。

この記事では、バージョンによってデフォルトの挙動に差分があることを試した結果を記載します。

■ 検証

共通 Playbook

3つのタスクにそれぞれタグをつけたPlaybookを用意します。

---
- hosts: all
  gather_facts: no

  tasks:
    - name: task1
      debug:
        msg: "task1"
      tags:
        - t1

    - name: task2
      debug:
        msg: "task2"
      tags:
        - t2

    - name: task3
      debug:
        msg: "task3"
      tags:
        - t3

Assible 2.3

--tags=t1 --tags=t3 のように複数の指定をして実行します。

$ ansible --version
ansible 2.3.3.0
(...略...)
$ ansible-playbook -i localhost, tagtest.yml --tags=t1 --tags=t3
[DEPRECATION WARNING]: Specifying --tags multiple times on the command line currently uses the last
specified value. In 2.4, values will be merged instead.  Set merge_multiple_cli_tags=True in ansible.cfg to
 get this behavior now..
This feature will be removed in version 2.5. Deprecation warnings can be disabled
by setting deprecation_warnings=False in ansible.cfg.

PLAY [all] *************************************************************************************************

TASK [task3] ***********************************************************************************************
ok: [localhost] => {
    "msg": "task3"
}

PLAY RECAP *************************************************************************************************
localhost                  : ok=1    changed=0    unreachable=0    failed=0

DEPRECATION WARNING とともに、t3 というタグが付けられたタスク tasks3 のみが実行されました。最後に指定した --tags=t3 のみが有効であることが分かります。

Assible 2.6

おなじく、--tags=t1 --tags=t3 のように複数の指定をして実行します。

$ ansible --version
ansible 2.6.3
(...略...)

$ ansible-playbook -i localhost, tagtest.yml --tags=t1 --tags=t3

PLAY [all] *************************************************************************************************

TASK [task1] ***********************************************************************************************
ok: [localhost] => {
    "msg": "task1"
}

TASK [task3] ***********************************************************************************************
ok: [localhost] => {
    "msg": "task3"
}

PLAY RECAP *************************************************************************************************
localhost                  : ok=2    changed=0    unreachable=0    failed=0

今度は、t1 、t3 のタグが付けられたタスク task1 、task3 が実行されました。 --tags=t1 --tags=t3 という複数の指定がマージされたことが分かりました。

なお、--list-tags オプションを付けると実際にタスクを実行することなく、対象タグを確認できます。

$ ansible-playbook -i localhost, tagtest.yml --tags=t1 --tags=t3 --list-tags

playbook: tagtest.yml

  play #1 (all): all    TAGS: []
      TASK TAGS: [t1, t3]     ←★

■ まとめ

あまり、複数の --tags --skip-tags をオプションを付けて実行することは無いかもしれませんが、

• Ansible 2.3 まではデフォルトで最後に指定されたオプションのみ有効。
• Ansible 2.4 からデフォルトでマージされるようになった。設定で変更可能。
• Ansible 2.7 では設定でも変更できなくなる。

という点は一応覚えておいたほうが良いかもしれません。

■ はじめに

検証環境で、ios_command モジュールや、ios_config モジュールを利用した Playbook 実行時に、以下のようなエラーメッセージに遭遇しました。

fatal: [172.16.0.2]: FAILED! => {"msg": "unable to set terminal parameters"}

自分が調べた方法と対処方法をご紹介します。

• 確認環境： Ansible 2.6.2

■ エラーの原因

-vvv オプションを付けて Playbook を実行すると、plugins/terminal/ios.py の以下のコード分で例外が発生していることが分かりました。

    def on_open_shell(self):
        try:
            for cmd in (b'terminal length 0', b'terminal width 512'):
                self._exec_cli_command(cmd)
        except AnsibleConnectionFailure:
            raise AnsibleConnectionFailure('unable to set terminal parameters')  # ここ

つまり、ネットワーク機器にログイン後、terminal length 0 または terminal width 512 コマンドの実行に失敗していることになります。 一般ユーザーであっても、 terminal length 0 といったコマンドは実行できるはずだと思ったのですが、念のため手動でSSHでログインして terminal length 0 コマンドを実行しようとしたところエラーになってしまいました。

ip-172-31-15-25>ter len 0
                ^
% Invalid input detected at '^' marker.

おやおやと思って、コンフィグを見直すと

username testuser privilege 0  ...略...

のように権限を低くしすぎる設定誤りをしていました。 このため、terminal length 0 も実行できない状態となっていました。

■ 対処

ネットワーク機器側で

username testuser privilege 1   ...略...

や

username testuser privilege 15  ...略...

のように権限を変更したら解決しました。

(2018/08/30 追記)

issue があげられていました。 github.com

(2019/06/06 追記)

関連していそうなプルリクが Ansible 2.8 にマージされているようです。 github.com

■ はじめに

現在開発中の Ansible 2.7 (develブランチ) で、ネットワーク機器への 設定系 コマンドを投入するモジュール cli_config が登場しました。

なお、同じく Ansible 2.7 で開発中の 参照系 コマンドを実行するモジュール cli_command については過去記事「Ansible 2.7 で導入予定のネットワークモジュール cli_configを試す」をご参照ください。

この記事では、Junos で試した結果を記載します。

基本情報

cli_config モジュール 公式ドキュメント

cli_config - Push text based configuration to network devices over network_cli — Ansible Documentation

コード (cli_config.py)

ansible/cli_config.py at devel · ansible/ansible · GitHub

※現在(2018/8/14)開発中のため、仕様が変わる可能性があります。

■ 準備（開発版 Ansible のインストール）

pip install git+https://github.com/ansible/ansible.git@devel

現在、これで開発中の Ansible 2.7 がインストールされます。

• 参考
  • devel ブランチの Ansible を pip でインストールする方法 - てくなべ

■ Juniper Junos で試す

インベントリファイル

以下のインベントリファイルを用意します。今回は各変数は Playbook 内で定義することにします。

[junos]
172.16.0.1

Playbook（netconf指定で失敗パターン）

今回は、単純に set system ntp server 10.0.0.123 の1行を投入する Playbook を試すことにします。 junos_config モジュールの lines オプションはリストで指定できるのに対して、 cli_config モジュールの config オプションは文字列での指定になる点は注意が必要です。

コネクションプラグインには、junos_config モジュールと同じ調子で netconf を試してみます。（後述しますが失敗します）

- hosts: junos
  gather_facts: no

  tasks:
    - name: config test
      cli_config:
        config: set system ntp server 10.0.0.123

  vars:
    ansible_connection: netconf
    ansible_network_os: junos
    ansible_user: testuser
    ansible_ssh_pass: testuserpsss

実行（netconf指定で失敗パターン）

おっと、エラーになってしまいました。

(ansibledev) [vagrant@centos7 vagrant]$ ansible-playbook -i inventory cli_config.yml

PLAY [junos] **********************************************************************************************

TASK [config test] ****************************************************************************************
fatal: [172.16.0.1]: FAILED! => {"changed": false, "msg": "Connection type netconf is not valid for cli_config module"}
        to retry, use: --limit @/vagrant/cli_config.retry

PLAY RECAP ************************************************************************************************
172.16.0.1                 : ok=0    changed=0    unreachable=0    failed=1

どうやら、このモジュールは netconf コネクションプラグインは対応していないようです。

後で気がついたのですが、ドキュメントにきちんと

This module provides platform agnostic way of pushing text based configuration to network devices over network_cli connection plugin.

という記載がありました。

となれば、次に試すべきは network_cli コネクションプラグインなので試してみます。

Playbook（network_cli指定で成功パターン）

- hosts: junos
  gather_facts: no

  tasks:
    - name: config test
      cli_config:
        config: set system ntp server 10.0.0.123

  vars:
    ansible_connection: network_cli    # network_cli にしてみる
    ansible_network_os: junos
    ansible_user: testuser
    ansible_ssh_pass: testuserpsss

実行（network_cli指定で成功パターン）

今度は正常に完了しました。

(ansibledev) [vagrant@centos7 vagrant]$ ansible-playbook -i inventory cli_config.yml

PLAY [junos] **********************************************************************************************

TASK [config test] ****************************************************************************************
changed: [172.16.0.1]

PLAY RECAP ************************************************************************************************
172.16.0.1                 : ok=1    changed=1    unreachable=0    failed=0

念の為、Junos側で設定が入ったことを確認します。

root@vsrx1# show system ntp | display set
set system ntp server 10.0.0.123

無事に入りました。

■ まとめ

簡単ですが、 cli_config モジュールの動作を確認しました。 最近のネットワークモジュールは、プラットフォームに依存しないタイプ（内部で ansible_network_os変数を見てプラットフォーム固有モジュールを呼ぶ？）も増えてきており、 cli_config モジュールもその流れだと思います。

ネットワークモジュールとしては、cli_config と cli_command モジュールの登場が Ansible 2.7 の特徴の一つと言えるでしょう。

（このツイートのブログ版です）

どこで聞いたか覚えてないのですが、Ansible の Playbook のタスクで 「when による条件をつけるとき、タスクの最後に指定するのが違和感がある。プログラムの if 分だと頭につけるが。」という意見があって、when はどこでもOKということを思い出しました。when に限らず順番関係ないですよね。 pic.twitter.com/kH33DMy4ON

— よこち (@akira6592) August 11, 2018

■ はじめに

Ansible の Playbook では、特定の条件を満たすときのみそのタスクを実行するという指定に when が利用できます。

• 公式ドキュメント Conditionals > The When Statement
  • https://docs.ansible.com/ansible/latest/user_guide/playbooks_conditionals.html#the-when-statement

上記のサンプルでもタスクの最後に when を指定していて、Web上などの他のサンプルでも最後に指定しているものが多い印象があります。 ですが、実際は YAML 的にはマッピング（ディクショナリ）なので、順番にどこでも大丈夫です。以下にパターンを記載します。

■ タスクの最後に when を指定する例

よくあるパターンです。大丈夫です。

---
- hosts: junos
  gather_facts: no

  tasks:
    - junos_command:
        commands:
          - show version
      when: true == true    # ここに書くサンプルが多い

■ タスクの最初に when を指定する例

---
- hosts: junos
  gather_facts: no

  tasks:
    - when: true == true    # ここでもOK
      junos_command:
        commands:
          - show version

コードの if分のイメージに近いでしょうか。

if true == true:
  do_something()

■ タスクの途中に when を指定する例

途中でも大丈夫です。

- hosts: junos
  gather_facts: no

  tasks:
    - name: commandtest
      when: true == true    # ここでもOK
      junos_command:
        commands:
          - show version

■ 注意点

この記事は「こう書いても動く」ということを示すのみであり、特にどれが推奨という意図はありません。 プロジェクト指定の書き方や、慣例に合わせるなどの事情に従っていただければと思います。