はじめに

2019/01/23-25 に山梨県甲府市のコラニー文化ホール（山梨県立県民文化ホール）で開催された JANOG43 Meeting in Yamanashi に参加してきました。（ハッカソンは1/22）

本ブログでは、3回に分けてレポートします。

• その1 参加編
• その2 登壇編 自動化の行き着く先は?（本記事）
• その3 ハッカソン編

その2である本記事では、「自動化の行き着く先は?」に登壇するまでの経緯や準備、当日の様子などををまとめます。

■ 経緯と準備

答えがなく、悩ましい話題

JANOG43 のプログラム公開後、登壇者である後藤さんからお誘いいただき、後から追加で入れさせていただきました。プログラム委員の方々調整ありがとうございました。

普段扱っている Ansible などのツールの話ではないため、正直どのような観点でお話するか悩みました。後藤さんからのドラフトのスライドを拝見すると、運用の価値や運用自動化の目的についての問いかけがいくつかありました。

そのため、プログラム後半の参加者含めたディスカッションのきっかけとなるような、一つの意見を述べるかたちにしました。ただ、言語化は難しかったです。読むと当たり前のように感じる言葉でも、実際自分で書くとなるなかなかですね・・。

■ 発表

www.janog.gr.jp

アーカイブ配信 （2019/02/28 12:59 まで）

資料

• 自動化の行き着く先は?
• 「自動化の行き着く先は？」をうけて

togetter まとめ

• #JANOG 43 Meeting Day 2 午前 (3ページ目) - Togetter
  • 2019-01-24 11:22:20 のツイート以降

■ ディスカッション

(長久さん)
手順書書く人と使う人が別れているケースが多いが、うちではそれではまわらない。
うちでは、全員がエース級であることを期待して、自分達で手順書を書いて共有しながら運用している。

自動化と手順書はセットで考えるべき話なので、すごくわかります。

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

手順書をつくるメンバーとそれを使うメンバーが違う
NIIはこれが同じメンバーで手順書の内容以上がわかっている

そう、NIIさんのJupyter Notebook の使い方と自分で違うのは
叩くコマンドを修正させない、見せない　ってところですね#janog

— botisle (@hi86074659) 2019年1月24日

そもそも、スケールさせるため（サービスを継続させるため）には運用自動化は必須#janog

— botisle (@hi86074659) 2019年1月24日

自分としては、求められるサービスを実現するために
複雑性・抽象性が上がってくるのは間違いなく
機器にログインしてコマンドを叩く　ってのはレアケースになってくる
と思います（近い将来）。#janog

— botisle (@hi86074659) 2019年1月24日

「自動化しなくてまわっているところは、自動化しなくてもいいんじゃないか」

その通りだと自分もおもいます (イイネ 100)

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

規模は質問者の方よりも若干小さいですが、「自動化しないと死ぬ」経験あります。
が、そのまま自動化していくと結局死ぬのが、長久さんと自分の経験なので、どうなのかなーとは思います。

やはり、やりようかなと思いますです。

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

#janog #janog43_room 「あえて自動化しない」歴史的経緯やしがらみやライフサイクルを考慮した場合、レガシーなやり方で逃げ切った方が良いビジネスもあるし、先日も、相談頂いた際に、逃げ切りを提案したことはあります。

— 長久 勝 (@mnagaku) 2019年1月24日

ハッカソン参加率を増やすには？
自由にやらせるべきだけど、参加者（参加企業）にメリットを与える
ある程度の強制力的なものが働けば　ね
質問が出ない時に人を指名してしまう的なやつ#janog

— botisle (@hi86074659) 2019年1月24日

(國武さん) 自分で実装したものは業務に妥当な自動化できるが、他人が実装したものはやはりギャップがある。

そうなんですよね。「現場の状況を忖度」して実装した要素が少しでもあると、現場では使いにくいとか、業務の本質とずれた実装になりがちです。

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

「UNIXの考え方」に基づいた、小粒でひとつのことを上手にやるRead型のスクリプトやツールをたくさん作るのはおすすめです。

将来的に一気にテコが効きやすくなるのと、副作用が少ない(Readだから)なので、かなり有効だと思います。

(それを基にレポート作るときは別の検討必要

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

「UNIXの考え方」に基づいた、小粒でひとつのことを上手にやるRead型のスクリプトやツールをたくさん作るのはおすすめです。

将来的に一気にテコが効きやすくなるのと、副作用が少ない(Readだから)なので、かなり有効だと思います。

(それを基にレポート作るときは別の検討必要

#janog43_room

— HATANO Hirokazu (@tcsh) 2019年1月24日

togetter まとめ

• #JANOG 43 Meeting Day 2 午前 (4ページ目) - Togetter
  • 2019-01-24 11:41:47 のツイート以降

■ 野良BoF

後藤さんの主催で、当日の午後に「運用自動化時代の運用者のあり方とは？」という野良BoFが開催されました。野良BoFとは、JANOG43ミーティング実行委員会が管理、選考を[通常BoF]とは異なり、主催者で管理、運営するタイプのBoFです。「自動化の行き着く先は?」の続き的な位置づけのものなので、私も参加させていただきました。

プログラム本編では出てこなかった、物理作業のつらみの話もありました。

togetter まとめ

• #JANOG 43 Meeting Day 2 午後 - Togetter
  • 2019-01-24 13:43:44 のツイート以降

■ まとめ・感想

今回は、自動化の仕組みを作る側と使う側に分かれるとうまくいかず、運用者自体が自動化を作ったほうがよい、という意見が多かったように感じます。

今になって少し疑問になってきたのですが、そもそも分けるとかチームとは何でしょうか。お財布の分け方でしょうか、それとも単純にリーダーとメンバーの体制の単位でしょうか。もしかしたら、仮に作る側のリーダーと使う側のリーダーが同じでも、お財布（予算）が同じだと、また論調が異なってくるものでしょうか。

着地点のない話題ですが、何かしらのヒントや考えるきっかけになったのであれば幸いです。 参加者のみなさま、お誘いいただいた後藤さん、スタッフみなさま、本当にありがとうございました。

はじめに

2019/01/ に Ansible のハンズオンイベント「Ansibleもくもく会 2019.01 ネットワーク編 in 富士通」が、 富士通ソリューションスクエア PLYで開催されました。

ansible-users.connpass.com

本イベントに、メンターとして参加させていただいたので簡単ににレポートいたします。

■ Ansible もくもく会とは？

Ansible もくもく会とは、Ansible ユーザー会の主催で1ヶ月に1回くらいの頻度で開催されるハンズオンイベントです。 サーバー編、ネットワーク編があります。 イベントの開催情報は、connpass の Ansible ユーザー会 グループのメンバーになると通知されます。 また、 slack の ansiblejp というワークスペースでも情報をキャッチできます。(Joinはこちらから)

自分で用意するのは Wi-Fi 接続できる PC と SSH クライアントくらいです。ハンズオンに必要なAnsibleをインストールしたサーバー、自動化対象のサーバー、ネットワーク機器は、すべてレッドハットさんから提供されます。 参加者ひとりひとりに1セットずつ割り当てられるので、環境は非常に恵まれています。

使用する linklightというコンテンツも用意されていて、日本語版もあります。

■ メンターとは？

もくもく会では、参加者がハンズオンをもくもくしている過程で、つまずいたり疑問に思ったことがあったときに書き込めるオンラインのメモ帳が用意されます。 その質問に対して、一緒に悩んだり、もし答えられれば答えるといった役割を持つのがメンターです。もちろん、口頭でやりとりもします。 もくもく会の参加の枠として、一般参加枠より倍率が低くて当選しやすい「メンター枠」が用意されているのがメリットです。

私も過去数回担当させていただきました。

■ 当日の様子

富士通ソリューションスクエア PLY という素敵な会場で、もくもくやっていきました。

www.fujitsu.com

みんなもくもくしてる…。 #ansiblejp @Ansible もくもく会 in 富士通さん pic.twitter.com/6sybkceW8h

— とこまらむかな (@fideleruuth) January 17, 2019

今回はネットワーク編でした。ネットワーク編は今回で3回目でしたが、今回初めて Networking-v2 という新しいハンズオンコースでコンテンツ、環境での開催でした。

寄せられた質問の例

雰囲気をお伝えするため、参加者から寄せられた質問をいくつか要約して抜粋します。（実施はもっと細かく具体的にやりとりしています）

• [Q] Exercise 1.2 の Step 1 の「factsの取得を制限したい場合」とは？

  • [A] 制限する目的はコントロールノードのメモリの節約と、情報収集時にかかるターゲットノードへの負荷の軽減。
  • [A] ios_facts モジュールでは、デフォルトでハードウェアやインターフェースに関するfactsを収集するが、 gather_subset オプションで変更できる。

• [Q] Exercise 1.2 の Step 4 で [WARNING]: Unable to parse /home/student/lab_inventory/hosts as an inventory source (略) のようなエラーが表示されてしまう。

  • [A] 指定したインベントリファイルが見つからないようです。ansible-playbook コマンドを実行する際のディレクトリをご確認ください。

勇気をもって質問しちゃいましょう

「こんな簡単なこと質問しちゃってもいいのかな？」という内容でも思い切って書いて持ったほうが良いです。結構他の人も同じところでつまずいていたりしますので。

■ 成果共有LT枠 もおすすめ！

もくもくタイムが終わったら、成果共有LTの時間です。成果共有LTといっても 特に資料はつくる必要はなく口頭で、

• どこまでできたか
• わかったかこと
• つまずいたところ

などを数分発表するだけ OK です。

この役割の人向けに、申し込み時に「成果共有LT枠」が用意されています。やはり一般参加枠より倍率が低く参加しやすいです。その割にはお手軽なので、とてもオススメです。

■ まとめ

これまでは、恵比寿のレッドハットさんのセミナルームで開催されるてきたのですが、前回は弊社、今回は富士通さんの会場ということで、他の会場での開催の流れができてきました。

今後も定期的に開催されると思いますので、Ansible ユーザー会 グループや、ansiblejp slack をチェックの上、ご参加されてみてはいかがでしょうか。

■ はじめに

Ansible は、Juniper Junos のネットワーク機器に対応していて、情報の取得や設定変更ができます。

Junos は設定投入後に commit することによって、実際の動作に反映されます。設定変更の流れの中で、commit 前の candidate config を確認したいこともあるのではないでしょうか。そこでこの記事では、Junos の設定変更後に commit せずに candidate config を取得する方法をご紹介します。

Junos はJuniper のラボサービス vLabs を利用させていただきました。(vmx 17.4R1-S2.2)

実現できるのは Galaxy モジュール

Junos 対応モジュールには、大きく分けて Ansible に標準で組み込まれているモジュールと、Ansible Galaxy 経由で提供されている Galaxy モジュールの 2 種類あります。

• 参考: Ansible の Junos 対応モジュールは標準モジュールとGalaxyモジュールの2種類ある - てくなべ (tekunabe)

commit せずに candidate config を取得といったことができるのは、Galaxy モジュールのほうです。ここでは、juniper_junos_config モジュールを利用します。

■ 環境の準備

必要 Python パッケージのインストール

Galaxy モジュール を利用するためには junos-eznc(PyEZ) をインストールする必要があります。私の環境では、 jxmlease もインストール必要がありましたので合わせてインストールします。

pip install コマンドでインストールします。

$ pip install junos-eznc jxmlease

(参考) インストールしていないと、あとで Playbook 実行時に以下のようなエラーになります。

fatal: [vmx]: FAILED! => {"changed": false, "msg": "junos-eznc (aka PyEZ) >= 2.1.7 is required for this module. However, junos-eznc does not appear to be currently installed. See https://github.com/Juniper/py-junos-eznc#installation for details on installing junos-eznc."}

Galaxy モジュール のインストール

aansible-galaxy install Juniper.junos コマンドで対象の Galaxy モジュールをインストールします。

$ ansible-galaxy install Juniper.junos
- downloading role 'junos', owned by Juniper
- downloading role from https://github.com/Juniper/ansible-junos-stdlib/archive/2.1.0.tar.gz
- extracting Juniper.junos to /home/vagrant/.ansible/roles/Juniper.junos
- Juniper.junos (2.1.0) was installed successfully

■ Playbook の作成と実行

インベントリファイル

対象ホストの定義です。今回は1台を vlabs というグループで囲っています。

• inventory

[vlabs]
vmx ansible_host=172.16.0.1

Playbook

投入したいコマンドを指定した Playbook を作成します。 コミットしないという commit: no と、candidate config を取得する retrieve: candidate オプションがポイントです。

• junos_get_candidate.yml

- hosts: vlabs
  gather_facts: no
  roles:
    - Juniper.junos     # ロールの読み込み

  tasks:
    - name: set config and get candidate config
      juniper_junos_config:
        lines:                     # 投入コマンド
          - set system ntp server 10.0.0.123
        load: merge
        format: set                # set 形式で扱う
        commit: no                 # コミットしない
        retrieve: candidate        # candidate config 取得
        host: "{{ ansible_host }}" # 対象ホスト
      register: res
    
    - name: save file            # ファイルへの保存タスク
      copy:
        content: "{{ res.config }}"    # 改行入りコンフィグの文字列を指定
        dest: "{{ inventory_hostname }}_changed_candidate_config.txt" 

  vars:  # 説明簡略化のため、Playbook 内に変数定義
    ansible_connection: netconf
    ansible_port: 35000                # 環境の都合上指定、デフォルトは netconf の場合 830
    ansible_user: testuser
    ansible_password: testpass9999

host オプションのデフォルトは {{ inventory_hostname }} です。そのため今回のインベントリファイルでいうと、vmx になりますが、これは便宜上付けた名前であり名前解決できないので、{{ ansible_host }} (今回の場合 172.16.0.1) を指定しています。

なお、Junos 側に ntp server の設定が何もない状態からはじめることを想定しています。

実行と確認

playbook の実行

今回は、安全のため Playbook 側に チェックモード相当の commit: no を指定をしていいます。そのため、 ansible-playbook コマンドとしては --check オプションは不要ですが、ここでは意図を明確にするために --check をつけて実行しています。

$ ansible-playbook -i inventory junos_commit.yml --check
PLAY [vlabs] ****************************************************************

TASK [set config and get candidate config] **********************************
changed: [vmx]

TASK [save file] ************************************************************
ok: [vmx]

PLAY RECAP ******************************************************************
vmx                        : ok=2    changed=1    unreachable=0    failed=0

changed になりますが、あくまでコミットはしません。

取得した candidate config の確認

candidate config がファイルとして保存され、set system server 10.0.0.123 コマンドに相当するコンフィグが あること を確認します。

set version 17.4R1-S2.2
(...略...)
set system ntp server 10.0.0.123            # ある（想定通り）
set chassis fpc 0 pic 0 number-of-ports 8
set chassis fpc 0 lite-mode
set interfaces fxp0 unit 0 fami

Junos 側の確認

Junos 機器側には、set system server 10.0.0.123 コマンドに相当するコンフィグが ないこと （commitしていいないため）を確認します。

jcluser@vMX-0> show configuration system ntp
　　　　　　          # ない（想定通り）
jcluser@vMX-0>

■ まとめ

Ansibleで、Junos の設定投入後に commit せずに candidate config を取得する方法をご紹介しました。

投入しようとしている部分的なコンフィグが、文法エラーなどによってはじかれてしまうのではないか、という不安を解消するには、机上チェックではなかなか難しいです。

実機に投入後、commit せずに canndidate config を取得すれば、その不安を解消できると思います。また、candidate config には想定する作業後の全行のコンフィグが含まれています。これを例えば、さらに Batfish に読み込ませて、実機反映前に事前検証するといった用途が考えられます。

参考にしていただければ幸いです。

はじめに

近年、ネットワーク機器への作業を自動化するOSS のツールやライブラリが増えてきています。この記事では、こんな観点でツールを検討するのが良いのでは、という自分の案をまとめてみます。

例示するツールとしては、Python で実装されている Ansible、Netmiko、NAPALM、Nornir を取り上げています。標準で利用できる機能を想定しています。

※ 2019/01/08 時点のバージョン、Ansible 2.7.5、Netmiko 2.3.0、NAPALM 2.3.3、Nornir 2.0.0 を対象

■ 検討ポイント

[1] 対象プラットフォームに対応しているか

まず気になるのが、そのツールが操作対象のプラットフォーム（Cisco IOS、Juniper Junos、Arista EOS など）に対応しているか、ということだと思います。

各ツールの対応状況が分かるリンクを掲載します。

Ansible の対応数は中くらい

https://docs.ansible.com/ansible/latest/modules/list_of_network_modules.html

Netmiko は多め

https://github.com/ktbyers/netmiko#supports

NAPALM は少なめ

https://napalm.readthedocs.io/en/latest/support/index.html

Nornir は他に依存

実際の接続部分に netmiko、NAPALM のどちらを選択するかに依存します。

[2] コードを書くか、書かないか

仕組みを作る人、使う人、メンテナンスする人のスキルセットなどによって、コード（プログラム）を書くか書かないかという方針も変わってくると思います。

コードを書くという場合は、netmiko、NAPALM、Nornir といった、Python ライブラリとして提供されてものが利用できます（Ansible も Python API あり）。

一方で、コードを書かないという場合は、 Ansible のような YAML で構成を定義していくタイプが候補に挙げられます。

[3] シンプルか、高機能か

シンプルなツールは、それに特化して覚えることが少ないですが、自前で処理を作る部分が多くなります。 高機能なツールは逆に、覚えることが多いですが、自前処理は少なります。

Python ライブラリでは、シンプルな順に netmiko、NAPARLM、Nornir ではないかと思います。

[4] すでに利用しているツールがあるか

例えば、すでにサーバーチームが Ansible を利用している、といった状況であれば、相乗りで導入しやすくなるのではないでしょうか。 他にも、既存のスクリプトがあるのであれば、同じツールを利用すると統一感がとれます。

[5] どのくらい操作を抽象化したいか

TeraTerm マクロのように show run 等のコマンドをそのまま実行するタイプに対して、get_config のような関数を介してコマンドを実行することをここでは抽象化と呼びます。抽象化は、コマンドやベンダー意識しなくてよい（程度はものによります）、パラメータ化しやすいといったメリットがあります。

Ansible

コマンドそのまま実行する、ios_commmand や ios_config のようなモジュールのほかに、ios_system のような、コマンドを抽象化したモジュールもあります。プラットフォームによって、まちまちです。

Netmiko

コマンドそのまま実行するタイプです。抽象化したい場合は、テンプレート化などで対応する必要があります。

NAPALM

get_config や get_interfaces などのコマンドを抽象化した関数があります。コマンドそのまま実行することもできます。

Nornir

実際の接続部分に Netmiko、NAPALM のどちらを選択するかに依存します。

[6] インベントリ・変数管理機能が必要か

ツールによっては操作対象の機器をグループ定義して管理したり、それらが利用する変数を定義したりする機能が、あらかじめ備わっているものがあります。

Ansible

接続対象を管理する Inventory や、ホストやグループ単位で変数を管理する仕組みがあります。

netmiko

特に接続対象や変数を管理する仕組みはありません。

NAPALM

特に接続対象や変数を管理する仕組みはありません。

Nornir

接続対象を管理する Inventoryや、ホストやグループ単位で変数を管理する仕組みがあります。

■ まとめ

どんな観点でネットワーク自動化のツールを検討するのという案をまとめました。考え方や状況によって選び方は変わってくると思います。参考になれば幸いです。

なにかご意見ございましたら @akira66592 までご連絡いただければと思います。

参考