• ■ はじめに
• ■ 共通
  • Ansible Galaxy / Ansible Collections
  • 制御 / 変数
  • その他
• ■ Package
• ■ Service
• ■ Cloud、VMware
• ■ Network
• ■ Windows
• ■ Database
• ■ Storage
• ■ Crypto
• ■ まとめ
  • おまけ

■ はじめに

2019/10/31 に Ansible 2.9.0 がリリースされました。600以上のモジュールの追加や、機能追加、バグ修正、機能削除、機能の非推奨化、仕様変更が含まれています。

CHANGELOG にはなくてもひっそり追加されたオプションもありそうなので、お使いのモジュールの公式ドキュメンを一度見直すと新しい発見があるかもしれません。

大きめなトピックとしては以下のものがあります。

• ansible-gallaxy コマンドで Ansible Collections を利用可能に（Collection とは、role だけでなく module や plugin もセットにした配布形式）
  • https://docs.ansible.com/ansible/latest/user_guide/collections_using.html
• ネットワーク機器向けに、コンフィグを柔軟に変更できるリソースモジュールが追加
  • https://www.ansible.com/blog/network-features-coming-soon-in-ansible-engine-2.9
• 多数の *_facts モジュールが *_info へ名前変更
  • https://docs.ansible.com/ansible/latest/porting_guides/porting_guide_2.9.html#renamed-modules

この記事では、CHANGELOG や Porting Guide を中心に、気になった点をピックアップします。CHANGELOG だけ見ても、どのような変更か分かりにくいものもありますので、関連する PR や 公式ドキュメンをのページなどの URL も掲載します。

また、特性が分かるように、主観ですが【●便利そう】 【○地味に便利】【▲ちょっと注意】いうタグのようなものをつけています。Ansible 2.9 へのアップデート判断の材料になれば幸いです。（参考 Ansible 2.8 版はこちら [Ansible] Ansible 2.8 リリース、便利機能や注意点まとめ - てくなべ (tekunabe)）

なお、ネットワークに関するものはさらにピックアップして、2019/11/20 開催予定の Ansiblejpネットワーク部 2019.11でもご紹介する予定です。リモートで視聴できるウェブ参加枠もありますので、よろしければご参加ください。

[2019/12/13 追記] 当日の資料はこちらです。

■ 共通

Ansible Galaxy / Ansible Collections

• ansible-galaxy に collection サブコマンド追加
  • 【●便利そう】
  • 公開済み Collection はこちら
  • CHANGELOG:
    • ansible-galaxy - Added the collection build command to build a collection tarball ready for uploading.
    • ansible-galaxy - Added the collection init command to create a skeleton collection directory.
    • ansible-galaxy - Added the collection install command to install collections locally.
    • ansible-galaxy - Added the collection publish command to publish a collection tarball to a Galaxy server.
  • Doc: ansible-galaxy — Ansible Documentation
  • Webinar: The future of how Ansible content is handled
  • [Ansible] Collection 管理の mazer は Ansible 2.9 で非推奨に、ansible-galaxy collection サブコマンドに統合へ - てくなべ (tekunabe)

制御 / 変数

• Playbook 実行時に、check mode で実行されるタスクのログにcheck mode である旨のマーカーを付ける設定が可能に。check_mode_markers。デフォルトは無効。

  • 【○地味に便利】
  • CHANGELOG: Add new option to default standard out callback plugin, ANSIBLE_CHECK_MODE_MARKERS, which adds check mode markers (DRY RUN, CHECK_MODE) to the output when running in check mode. It is off by default.
  • Doc: default – default Ansible screen output — Ansible Documentation

  • Ansible2.9で check mode で動かしたタスクのログに印をつける設定ができるように。check_mode_markers。デフォルトno。https://t.co/SbI20oJRRF
    画像1枚目 makers なし。2枚目あり。地味に便利かも。#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/wNGwsQuuMc

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月8日

• Playbook 実行に、各ホストがタスクを開始タイミングでログを出力する設定が可能に。show_per_host_start。デフォルトは無効。

  • 【○地味に便利】
  • CHANGELOG: Add toggle to show per host task start on default callback
  • PR: add option to display per host start to default by bcoca · Pull Request #53819 · ansible/ansible · GitHub
  • Doc: default – default Ansible screen output — Ansible Documentation

  • じゃあ試してみようということで試すと、こんな感じに ログに「 [started TASK: debug on XXXX]」という表示が追加される。
    もとのissueからすると strategy が free のときによくわからなくなっちゃうことへの対策でしょうか。https://t.co/Fx4FMV1pDe#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/rryvXSZBQ6

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月8日

• ワーカーの数を制限するPlaybook Keyword throttle 追加。task、role、block、play の各レベルで指定可能。

  • 【○地味に便利】
  • CHANGELOG: Added new throttle keyword, which can be used at the task, block, or play level to limit the number of workers (up to the specified forks or serial setting) allowed.
  • Doc: Playbook Keywords — Ansible Documentation

• YAML でディクショナリのキーが重複してるときの挙動を DUPLICATE_YAML_DICT_KEY で設定できるように。デフォルトは今までと同じく warn。

  • 【○地味に便利】
  • CHANGELOG: Allow expanded options for user to control behaviour on duplicate YAML keys.
  • PR: Allow finer grained control for dupe YAML keys by bcoca · Pull Request #56933 · ansible/ansible · GitHub
  • Doc: Ansible Configuration Settings — Ansible Documentation

  • Ansible 2.9 で YAML でディクショナリのキーが重複してるときの挙動を DUPLICATE_YAML_DICT_KEY で設定できるようになるらしい。デフォルトは今まで同じく warn。個人的には デフォルト error にしてもいいくらいだと思います・・。ためしたらちょっと想定外の表示に・。https://t.co/ADUBbGaHht pic.twitter.com/iwdtYYFgr7

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年9月18日

• ループのインデックス変数の名前を取得可能に

  • 【○地味に便利】
  • CHANGELOG: Make ansible_index_var accessible as a magic variable.
  • Doc: Special Variables — Ansible Documentation

• log_plays コールバックプラグインで Playbook 実行ログの保存先フォルダを指定できるようになった。いままでは /var/log/ansible 固定。

  • 【○地味に便利】
  • CHANGELOG: log_plays - Add a new log_folder option to the log_plays callback plugin.
  • PR: Add a new "log_folder" option to the log_plays callback plugin. by paddynewman · Pull Request #56717 · ansible/ansible · GitHub
  • Doc: log_plays – write playbook output to log file — Ansible Documentation

  • Ansible 2.9 で log_plays というコールバックプラグインでPlaybook 実行ログの保存先フォルダを指定できるようになった。https://t.co/qsCiKLw0RQ#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/8zDR65hkrU

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月9日

• url lookup plugin で headers を指定可能に。特定の header が必要な REST API を叩く、などの活用

  • 【○地味に便利】
  • CHANGELOG: lookup_url - added ability to specify request headers
  • Doc: url – return contents from URL — Ansible Documentation

  • restconf_get モジュール使わずに url lookup plugin で Cisco IOS XE の設定情報とってきた例。headers オプションつくだけで自由度広がってよいですね。https://t.co/jMM0Ul2DST pic.twitter.com/VONOO8l8U5

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年10月14日

• ansible_parent_role_names 変数追加

  • 【○地味に便利】
  • CHANGELOG: magic variables - added a new ansible_parent_role_names magic variable that, when a role is included by another role, contains a list of all parent roles.
  • Doc: Special Variables — Ansible Documentation

• ansible_parent_role_paths 変数追加

  • 【○地味に便利】
  • CHANGELOG: magic variables - added a new ansible_parent_role_paths magic variable that, when a role is included by another role, contains a list of all parent role paths.
  • Doc: Special Variables — Ansible Documentation

• hash_behavior（同じ名前のハッシュ/ディクショナリの変数があったときの挙動、デフォルトはreplace）の設定が複数インベントリーファイル間にも有効に

  • 【●便利そう】
  • Bugfixes
  • CHANGELOG: Inventory sources now respect setting hash_behaviour. Previously each new inventory source would overwrite existing vars, even when hash_behavior was set to merge.
  • Porting Guide:
  • Issue: Merge hash behavior not respected when using multiple inventory files · Issue #58120 · ansible/ansible · GitHub
  • PR: Stop ignoring merge hash behaviour in inventory by bcoca · Pull Request #58460 · ansible/ansible · GitHub
  • Doc: Ansible Configuration Settings — Ansible Documentation

  • Ansible 2.9でhash_behaviour（同じ名前のハッシュ/ディクショナリの変数があったときの挙動、デフォルトはreplace）の設定が複数インベントリーファイル間にも有効に。画像は merge にした例。 2.8（3枚目右）では設定が反映されず replaceに相当だったのが修正。#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/e7r4X4uHUi

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月9日

その他

• ansible-doc コマンドの -j オプションで json で出力できるように

  • 【○地味に便利】
  • CHANGELOG: Allow ansible-doc to return JSON as output.
  • Doc: ansible-doc — Ansible Documentation

  • わーい。Ansible 2.9 で ansible-doc コマンドで -j で json で出力できるようなった。いままで -j オプション は internal use only みたいなことかいてあったけど、ちゃんとした機能として生まれ変わるもよう。https://t.co/B27tEcCF7k pic.twitter.com/nt328T4i43

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年9月27日

• Playbook Debugger でテンプレート値が扱い可能に

  • 【○地味に便利】
  • CHANGELOG: Allow debugger to take a templated value (https://github.com/ansible/ansible/pull/53587)
  • Doc: Playbook Debugger — Ansible Documentation

• 250以上の ＊_ facts モジュールが *_info に名前変更（aws_az_facts → aws_az_info など）

  • 【▲ちょっと注意】
  • Porting Guide: Ansible 2.9 renamed a lot of modules from <something>_facts to <something>_info, because the modules do not return Ansible facts.

• ansible コマンドで include_role モジュールが利用可能に

  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: allow include_role to work with ansible command
  • Doc: include_role – Load and execute a role — Ansible Documentation

• ansible-inventory コマンドで --graph と --vars オプションを利用した場合に、 host_vars/ 配下の変数も表示するようにバグ修正

  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: show host_vars in ansible-inventory's --graph option.
  • PR: show host_vars/ also in --graph by bcoca · Pull Request #56307 · ansible/ansible · GitHub
  • Issue: "ansible-inventory --graph --vars" does not show host vars declared in host_vars/* · Issue #53422 · ansible/ansible · GitHub
  • Doc: ansible-inventory — Ansible Documentation

■ Package

• yumモジュールの lock_timeout のデフォルトが30秒に

  • 【○地味に便利】
  • CHANGELOG: yum - set lock_timeout to a sane default (30 seconds, as is the cli)
  • Doc: yum – Manages packages with the yum package manager — Ansible Documentation

• apt モジュールで installed、removed オプションが削除

  • 【▲ちょっと注意】
  • CHANGELOG: apt - Remove deprecated installed and removed aliases (https://github.com/ansible/ansible/issues/55311)
  • PR: apt: remove deprecated installed/removed aliases by mkrizek · Pull Request #55338 · ansible/ansible · GitHub
  • Doc: apt – Manages apt-packages — Ansible Documentation

• dnf モジュールの lock_timeout のデフォルトが 30 秒に

  • 【○地味に便利】
  • CHANGELOG: dnf - set lock_timeout to a sane default (30 seconds, as is the cli)
  • Doc: dnf – Manages packages with the dnf package manager — Ansible Documentation
• dnf モジュールで name に ワイルドカードを使用して state: absent する時のバグ修正
  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: dnf - fix wildcard matching for state: absent (https://github.com/ansible/ansible/issues/55938)
  • PR: dnf: fix wildcard matching for state: absent by mkrizek · Pull Request #56013 · ansible/ansible · GitHub
  • Doc: dnf – Manages packages with the dnf package manager — Ansible Documentation

■ Service

• systemd モジュールで state: stopped を指定した場合に 、非アクティブになるまで待つように
  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: systemd - wait for a service which is in deactivating state when using state=stopped (https://github.com/ansible/ansible/pull/59471)
  • PR: systemd module will now wait on deactivating state by kustodian · Pull Request #59471 · ansible/ansible · GitHub
  • Doc: systemd – Manage services — Ansible Documentation

■ Cloud、VMware

• 各VMware モジュールで HTTP プロキシを利用可能に
  • 【○地味に便利】
  • CHANGELOG: vmware - The VMware modules can now access a server behind a HTTP proxy (https://github.com/ansible/ansible/pull/52936)
  • PR: VMware: add support for HTTP proxy in connection API by Akasurde · Pull Request #52936 · ansible/ansible · GitHub
  • Doc: Cloud modules — Ansible Documentation
• VMware モジュールで、SSL証明書検証の有無のバグ修正
  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: vmware - The VMware modules now enable the SSL certificate check unless validate_certs is false.
  • PR: vmware: check the SSL certification by goneri · Pull Request #56019 · ansible/ansible · GitHub
  • Doc: Cloud modules — Ansible Documentation

• vsphere_guest モジュール削除、代替は vmware_guest

  • 【▲ちょっと注意】
  • Portigng Guide: Ansible 2.9 Porting Guide — Ansible Documentation

• Azure、Google、AWS、VM など向けに 195 個のモジュール追加

  • 【●便利そう】
  • ansible/CHANGELOG-v2.9.rst at stable-2.9 · ansible/ansible · GitHub
    

■ Network

• Cisco ACI、IOS、Junos、F5、VyOS など向けに 403 個のモジュール追加
  • 【●便利そう】
  • ansible/CHANGELOG-v2.9.rst at stable-2.9 · ansible/ansible · GitHub
• net_* モジュールの多くが非推奨に
  • 【▲ちょっと注意】
  • Deprecated Features
  • CHANGELOG: Deprecated net_interface, net_linkagg, net_lldp_interface, net_l2_interface, net_vlan, net_l3_interface, net_vrf, net_lldp, net_banner, net_logging, net_system, net_user, and net_static_route. Please use either the equivalent network role or the platform-specific resource module.
  • Porting Guide: Ansible 2.9 Porting Guide — Ansible Documentation
• cli_config モジュールの replace オプションを junos に利用した時のバグ修正
  • Bugfixes
  • CHANGELOG: Fix for junos cli_config replace option (https://github.com/ansible/ansible/pull/62131).
  • PR: Fix for junos cli_config replace option by ganeshrn · Pull Request #62131 · ansible/ansible · GitHub
  • Doc: cli_config – Push text based configuration to network devices over network_cli — Ansible Documentation
• iosxr モジュールで commit 時に prompt が表示されると commit できないケースのバグ修正
  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: iosxr - support cases where a normal commit operation also throws a prompt (https://github.com/ansible/ansible/pull/62132)
  • PR: IOS-XR: Handle cases where even a normal commit operation throws a prompt by NilashishC · Pull Request #62132 · ansible/ansible · GitHub
  • Issue: IOSXR does not commit properly · Issue #54878 · ansible/ansible · GitHub
  • Doc: Network modules — Ansible Documentation

• junos_config モジュールで、コンフィグ変更時に check_commit オプションの値を反映するように

  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: junos_config - allow validate config before committing to running configuration (https://github.com/ansible/ansible/pull/61969)
  • PR: Allow junos_config changes the candidate configuration only by ssato · Pull Request #61969 · ansible/ansible · GitHub
  • Doc: junos_config – Manage configuration on devices running Juniper JUNOS — Ansible Documentation

• プロンプト処理のバグ修正

  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: network_cli - ensure connection is established before returning the current prompt
  • PR: network_cli: Connect before reading the prompt by Qalthos · Pull Request #61797 · ansible/ansible · GitHub
  • Issue: eos tests: AttributeError: 'NoneType' object has no attribute 'endswith' · Issue #61819 · ansible/ansible · GitHub
  • Issue: Nxos privilage escalation not working properly · Issue #61876 · ansible/ansible · GitHub
• fortianalyzer 用の httpapi コネクションプラグインが追加、タスクごとの接続情報の指定が不要に
  • 【●便利そう】
  • CHANGELOG: fortianalyzer - HttpApi Plugin for Fortinet FortiAnalyzer Appliance or VM
  • Doc: fortimanager – HttpApi Plugin for Fortinet FortiManager Appliance or VM — Ansible Documentation
• fortios 用の httpapi コネクションプラグインが追加。タスクごとの接続情報の指定が不要に
  • 【●便利そう】
  • CHANGELOG: "fortios - HttpApi Plugin for Fortinet FortiOS Appliance or VM
  • Doc: fortios – HttpApi Plugin for Fortinet FortiOS Appliance or VM — Ansible Documentation

• httpapi コネクションプラグインで proxy が利用可能に

  • 【●便利そう】
  • PR: Add use_proxy option to httpapi by Qalthos · Pull Request #59259 · ansible/ansible · GitHub
  • Doc: httpapi – Use httpapi to run command on network appliances — Ansible Documentation

• ネットワークモジュールで、username、host のような接続情報オプションをトップレベルで指定できないように

  • 【▲ちょっと注意】
  • Porting Guide: Ansible 2.9 Porting Guide — Ansible Documentation

• IOS-XR 向けの公式ドキュメントページが追加

  • 【●便利そう】

• network_cli コネクションプラグインで、接続リトライ回数を指定可能に。デフォルトは3回

  • 【●便利そう】
  • PR: Add support for network_cli connection retry by ganeshrn · Pull Request #61103 · ansible/ansible · GitHub
  • Doc: network_cli – Use network_cli to run command on network appliances — Ansible Documentation

• network_cli コネクションプラグインに terminal_inital_* オプション追加。ログイン時プロンプトに関する細かい挙動を指定可能に

  • 【●便利そう】
  • PR: Add support for network_cli connection retry by ganeshrn · Pull Request #61103 · ansible/ansible · GitHub
  • Doc: network_cli – Use network_cli to run command on network appliances — Ansible Documentation

• network_cli コネクションプラグインに terminal_stdout_re、terminal_stderr_re オプション追加。ログイン時プロンプトに関する細かい挙動を指定可能に

  • 【●便利そう】
  • PR: Add support to configure network_cli terminal related options by ganeshrn · Pull Request #60086 · ansible/ansible · GitHub
  • Doc: network_cli – Use network_cli to run command on network appliances — Ansible Documentation

• network_cli コネクションプラグイン（httpapiも？）で Playbook 実行時に、実際にネットワーク機器に接続が必要になったときにはじめ接続する仕様に。いままでは、debug モジュールのような本来接続不要なモジュールでも接続していた

  • 【●便利そう】
  • PR: Delay persistent connection until needed by Qalthos · Pull Request #59153 · ansible/ansible · GitHub
  • Doc: network_cli – Use network_cli to run command on network appliances — Ansible Documentation
  • Doc: httpapi – Use httpapi to run command on network appliances — Ansible Documentation

  • ためしてみた。わざと接続できない相手に network_cli 使って、deubg、ios_command の順に実行するPlaybook。
    
    Ansible 2.8.4 では、debug 時点で unreachable、Ansible 2.9.0b1 では、 debugは正常で ios_command で unreachable。
    
    つまり、Ansible 2.9.0b1 では、必要になるまで接続しない。 pic.twitter.com/WfFd3ADkp7

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年9月19日

• 複数のネットワークOS向けに、*_interfaces、*_l3_interfaces、*_vlans などのリソースモジュールが追加。コンフィグの操作がより柔軟に

  • 【●便利そう】
  • https://www.networktocode.com/blog/post/network-to-code-at-ansiblefest/

• 多くの fortios モジュールでAP I接続時の SSL 証明書の検証有無を指定する ssl_cerify オプション追加

  • 【○地味に便利】
  • Doc: fortios_firewall_address – Configure IPv4 addresses in Fortinet’s FortiOS and FortiGate — Ansible Documentation
• 複数のネットワークOS向けの *_facts モジュールに gather_network_resources オプションで追加。
  • 【○地味に便利】
  • Doc: ios_facts – Collect facts from remote devices running Cisco IOS — Ansible Documentation
• gather_facts: yes でネットワークのfact も収集できるようにバグ修正
  • 【○地味に便利】
  • PR: gather_facts action plugin: Fix loading network facts modules for smart gathering by trishnaguha · Pull Request #59856 · ansible/ansible · GitHub

  • Ansible 2.9 のネットワークモジュールで、*_facts モジュールを使用しなくての network facts を収集可能に？gather_facts: yes でいける。画像2枚目が2.9でバージョン番号が拾えてる。3枚目は2.8.4で拾えずに変数未定義。#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/w25zG6UHO0

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月10日

• ios、iosxr、nxos、junos、eos、exos、vyos 向けの *_facts モジュールで gather_subset オプションのデフォルト値が将来変更される旨の warning が表示されるように。 Ansible 2.11 で !config から 2.11で min に。
  • 【○地味に便利】
  • WARNING例: [WARNING]: default value for gather_subset will be changed to min from!config v2.11 onwards"
  • Doc: ios_facts – Collect facts from remote devices running Cisco IOS — Ansible Documentation

  • Ansible 2.9 で、ios、iosxr、nxos、junos、eos、exos、vyos 向けの *_facts モジュールで gather_subset オプションのデフォルト値が将来変更される旨の warning が表示されるように。 Ansible 2.11 で !config から 2.11で min に。#魚類でも分かるAnsibleのCHANGELOG pic.twitter.com/jJMtZqKXBI

    — よこち(yokochi) @ Ansible実践ガイド 第3版 (@akira6592) 2019年11月10日

■ Windows

• win_hostname モジュールで NETBIOS名に準拠していない hostname に対応
  • 【○地味に便利】
  • Bugfixes
  • CHANGELOG: win_hostname - Fix non netbios compliant name handling (https://github.com/ansible/ansible/issues/55283)
  • Issue: [win_hostname] Use of env:computername results in failures · Issue #55283 · ansible/ansible · GitHub
  • Doc: win_hostname – Manages local Windows computer name — Ansible Documentation
• win_netbios モジュール追加
  • 【●便利そう】
  • CHANGELOG: win_netbios - Manage NetBIOS over TCP/IP settings on Windows.
  • Doc: win_netbios – Manage NetBIOS over TCP/IP settings on Windows — Ansible Documentation

■ Database

• mysql_db で複数DBの作成、削除が可能に
  • 【○地味に便利】
  • CHANGELOG: mysql_db now supports creation and deletion of multiple databases (https://github.com/ansible/ansible/issues/58370)

  • Doc: mysql_db – Add or remove MySQL databases from a remote host — Ansible Documentation

  • Doc: win_hostname – Manages local Windows computer name — Ansible Documentation

• MySQL、PostgreSQL 向けに 4このモジュール追加
  • 【●便利そう】

■ Storage

• NetApp、Pure Strage など向けに 29 個のモジュール追加
  • 【●便利そう】
  • https://github.com/ansible/ansible/blob/stable-2.9/changelogs/CHANGELOG-v2.9.rst#storage:tittle

■ Crypto

• get_certificate で proxy 系オプションが利用可に
  • 【○地味に便利】
  • CHANGELOG: get_certificate - added proxy_* options.
  • Doc: get_certificate – Get a certificate from a host:port — Ansible Documentation
• openssl_publickey モジュールのバックエンドを pyopenssl かcryptographyか指定可能に
  • 【○地味に便利】
  • CHANGELOG: openssl_publickey - now works with both PyOpenSSL and cryptography Python libraries. Autodetection can be overridden with select_crypto_backend option.
  • Doc: openssl_publickey – Generate an OpenSSL public key from its private key — Ansible Documentation

■ まとめ

Ansible 2.9.0の、CHANGELOG や Porting Guide を中心に、気になった点と関連URLをまとめました。

なお、今後のメンテナンスリリースは、約3週間ごとになりそうです。次（おそらく Ansible 2.9.1）は、2019/11/21 頃とのことです。 Google グループ

[2019/11/14 追記] Security fix を含むためか、早めに Ansible 2.9.1 がリリースされました。

ansible/CHANGELOG-v2.9.rst at stable-2.9 · ansible/ansible · GitHub

おまけ

Ansible 2.x のコードネームは Led Zeppelin の曲名が由来です。Ansible 2.9 は 「Immigrant Song 」。

www.youtube.com

【目次】

• はじめに
• ■ 秘密鍵の暗号化（Ansible Engine / Ansible Tower 共通）
• ■ Ansible Engine の場合
  • Playbook
  • 実行
• ■ Ansible Tower の場合
  • 準備: 認証情報（Credential）の登録
  • 1. file lookup plugin を利用する方法
    • Playbook
    • 実行
  • 2. インベントリ変数に暗号化データを設定して利用する方法
    • インベントリの設定
    • Playbook
    • 実行
• まとめ

はじめに

Ansible の ACI モジュールが APIC に対してリクエストする認証方式には、パスワードベース(Password-based authentication)と、署名ベース(Signature-based authentication using certificates)があります。

署名ベース認証方式の仕組みと準備と Playbook の書き方については、以前の記事でとりあげました。 tekunabe.hatenablog.jp

今回の記事では、署名ベース認証方式を利用時に、Ansible Vault で暗号化した秘密鍵を利用する方法を、Ansible Engine と Ansible Tower それぞれのをご紹介します。

公式ドキュメントによると、Ansible 2.8 から暗号化された秘密鍵ファイルを利用できるようなったようです。

Ansible Tower では Tower らしく、Vault のパスワードを認証情報（Credential）に登録します。

• 前提条件
  • APIC: Cisco DevNet Sandbox (APIC 4.1)
  • Ansible 2.8.2
  • Ansible Tower 3.5.2
  • 署名ベース認証の対象ユーザー: admin
    • 手順の検証容易性のために admin を利用していますが、運用環境では他のユーザーを利用を推奨

■ 秘密鍵の暗号化（Ansible Engine / Ansible Tower 共通）

Ansible Engine、Ansible Tower 共通の準備として、まず秘密鍵を Ansible Vault で暗号化します。 admin.key が秘密鍵です。入力するパスワードは復号時に利用するので覚えておきます。

$ ansible-vault encrypt admin.key 
New Vault password:             (暗号化パスワードを入力)
Confirm New Vault password:     (暗号化パスワードを再度入力)
Encryption successful

秘密鍵が暗号化されました。中身を確認します。

$ cat admin.key 
$ANSIBLE_VAULT;1.1;AES256
34663837626431373834623430303234633730343262353336333331363562303365626435393231
6362663361323336656430313065646530626339643831320a303063343363353030363238393835
...(略)...

無事に暗号化されているのを確認できました。

■ Ansible Engine の場合

Ansible Engine で、暗号化された秘密鍵を利用する方法を紹介します。以下の 2つの方法があります。

1. private_key オプションで file lookup plugin を利用して暗号化された秘密鍵データを取得
2. 暗号化データを変数に割りてて、private_key オプションで変数を指定

ここでは、1 の file lookup plugin を利用します。2 の変数を利用する方法は 公式ドキュメントの「Using Ansible Vault to encrypt the private key」を参照してください。

Playbook

特定の EPG の方法を取得する簡単な Playbook で試します。

---
- hosts: apic
  gather_facts: no

  tasks:
    - name: 
      aci_epg:
        host: "{{ ansible_host }}"
        username: admin           # 証明書保有ユーザー名
        certificate_name: admin   # 証明書名
        private_key:  "{{ lookup('file', 'admin.key') }}"  # 秘密鍵
        validate_certs: no
        tenant: tenant1
        ap: ap1
        epg: epg1
        state: query
      register: result

なお、private_key オプションには本来、private_key: "admin.key" のように秘密鍵のパスも指定できますが、暗号化された秘密鍵ファイルのパスは指定できないのでご注意ください。秘密鍵ファイルとして認識されれず、Provided private key file '********' does not appear to be a private key. Please correct." というエラーになってしまいます。

実行

ansible-playbook コマンドに --ask-vault-pass をつけて、実行時に都度、暗号化パスワードを入力するようにします。

$ ansible-playbook -i inventory.ini query_epg.yml --ask-vault-pass
Vault password:     (暗号化パスワードを入力)

PLAY [query] ***********************************************************************

TASK [aci_epg] *********************************************************************
ok: [apic01]

PLAY RECAP *************************************************************************
apic01                     : ok=1    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   

無事に、暗号化された秘密鍵ファイルを利用して APIC に接続し、Playbook を実行できました。

他にもいろいろ方法はありますが、詳細は公式ドキュメントをご参照ください。

Ansible Vault — Ansible Documentation

Ansible Engine 側の場合はここまでです。

■ Ansible Tower の場合

次に、Ansible Tower で、暗号化された秘密鍵を利用する方法を紹介します。

Tower らしく、Vault というタイプの認証情報（Credential）に Vault のパスワードを登録します。 暗号化された秘密鍵のデータを利用する方法は 2つあります。

1. private_key オプションで file lookup plugin を利用して暗号化された秘密鍵データを取得（Ansible Engineと同じ）
2. インベントリ変数に暗号化データを設定して、private_key オプションで変数を指定

まず、認証情報（Credential）の登録手順を説明し、上記 2つの方法をそれぞれ説明します。

準備: 認証情報（Credential）の登録

まず、準備として Vault のパスワードを認証情報に登録します。

認証情報の名前を指定し、タイプとして Vault を指定します。VAULT パスワードには、ansible-vault コマンドで秘密鍵ファイルを暗号化した時に指定したパスワードを入力します。復号時に自動的に利用されます。

認証情報の登録は以上です。

続いて、暗号化された秘密鍵のデータを利用する方法は 2つの方法を説明します。

1. file lookup plugin を利用する方法

1 つめは、Ansible Engine のときと同様に file lookup plugin を利用する方法です。 Playbook も同じです。

Playbook

---
- hosts: apic
  gather_facts: no

  tasks:
    - name: 
      aci_epg:
        host: "{{ ansible_host }}"
        username: admin           # 証明書保有ユーザー名
        certificate_name: admin   # 証明書名
        private_key:  "{{ lookup('file', 'admin.key') }}"  # 秘密鍵
        validate_certs: no
        tenant: tenant1
        ap: ap1
        epg: epg1
        state: query
      register: result

この Playbook を利用する ジョブテンプレートを作成しておきます。認証情報には先ほど作成した Vault のものを指定します。

認証情報の登録、選択は以上です。

実行

ジョブテンプレートを実行します。ジョブ実行時には、認証情報に登録した Vault パスワードが自動で利用されるため、 入力は求められません。

無事に、暗号化された秘密鍵ファイルを利用して APIC に接続し、Playbook を実行できました。

これが、file lookup plugin を利用する方法でした。

2. インベントリ変数に暗号化データを設定して利用する方法

2 つめは、インベントリ変数に暗号化データを設定して利用する方法です。 暗号化された秘密鍵を、ファイルとして管理したくない場合に便利です。

インベントリの設定

APIC のホスト変数に暗号化された秘密鍵のデータそのものを指定します。 指定の方法が Ansible Engine の場合と異なるなるので注意が必要です。

private_key: !vault |
    $ANSIBLE_VAULT;1.1;AES256
    34663837626431373834623430303234633730343262353336333331363562303365626435393231
    6362663361323336656430313065646530626339643831320a303063343363353030363238393835
    39613164626531376334393062343164613639653265616639623037373035386462313934313931
    6533626665356566350a313665633163356130663035343736356165376231623133616266306538
...(略)...

ではなく、以下のような形式で指定する必要があります。 変数名に直接暗号化データを指定するのではなく、__ansible_vault というキーを挟んで、一行ごとに空行を挟んで指定します。

private_key:
  __ansible_vault: >-
      $ANSIBLE_VAULT;1.1;AES256
      
      34663837626431373834623430303234633730343262353336333331363562303365626435393231

      6362663361323336656430313065646530626339643831320a303063343363353030363238393835
      
      39613164626531376334393062343164613639653265616639623037373035386462313934313931
      
      6533626665356566350a313665633163356130663035343736356165376231623133616266306538
...(略)...

• 参考
  • Ansible Tower(AWX)のインベントリ変数にvaultを使う方法 | 日常系エンジニアのTech Blog
  • Support vault encrypted secrets in the inventory source · Issue #223 · ansible/awx · GitHub

Playbook

private_key オプションには、変数名のみ指定します。

---
- hosts: apic
  gather_facts: no

  tasks:
    - name: 
      aci_epg:
        host: "{{ ansible_host }}"
        username: admin           # 証明書保有ユーザー名
        certificate_name: admin   # 証明書名
        private_key:  "{{ private_key }}"  # 秘密鍵（データそのもの格納された変数）
        validate_certs: no
        tenant: tenant1
        ap: ap1
        epg: epg1
        state: query
      register: result

この Playbook を利用する ジョブテンプレートを作成しておきます。

実行

ジョブテンプレートを実行します。先ほどと同じく、ジョブ実行時には、認証情報に登録した Vault パスワードが自動で利用されます。

無事に、暗号化された秘密鍵ファイルを利用して APIC に接続し、Playbook を実行できました。

これが、インベントリで暗号化データを変数に割り当てて利用する方法でした。

まとめ

Ansible Engine、Ansible Tower それぞれで、APIC に接続する秘密鍵を VAULT で暗号して利用する方法をご紹介しました。

• file lookup plugin で暗号化された秘密鍵のファイルを指定して、暗号化パスワードを与えると、秘密鍵を利用できる
• Ansible Tower では、Vault というタイプの認証情報に Vault パスワードを登録することで、ジョブ実行時に都度パスワードを入力する手間が省ける
• 暗号化データを変数に設定して利用することで、秘密鍵をファイルとして管理する必要をなくせる
• Tower の インベントリ変数に VAULT で暗号化したデータを指定する場合はちょっとしたコツがある