やりたいこと

Ansible2.10もASAも初めてですが、ちょうど良い記事があったのでAnsible2.10でASAを触ってみました。
https://www.ansible.com/blog/ansible-security-automation-resource-modules

環境

1.Ansible2.10の構築

こちらの記事を参考にしました。 https://tekunabe.hatenablog.jp/entry/2020/06/21/ansible_stumble_07

• cisco.asa モジュールのインストール
  モジュールは、別途インストールします。

# ansible-galaxy collection install cisco.asa  -f 
Starting galaxy collection install process
Process install dependency map
|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-\|/-Starting collection install process
|Installing 'cisco.asa:1.0.0' to '/root/.ansible/collections/ansible_collections/cisco/asa'
/-\|/-\|/-\|/-\|/-\|Skipping 'ansible.netcommon' as it is already installed
# 
# ansible-galaxy collection list

# /root/.ansible/collections/ansible_collections
Collection           Version
-------------------- -------
ansible.netcommon    1.0.0  
ansible.posix        1.0.0  
cisco.asa            1.0.0  
community.general    0.2.0  
community.kubernetes 0.11.1 
google.cloud         0.10.1 
#

2.ASAの構築

• 仮想アプライアンス
  AWS Marketplace の Cisco Adaptive Security Virtual Appliance (ASAv) - BYOLを使いました。

• ログイン後の設定
  HTTPSの有効化とアクセス元の許可です。

ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *******
Repeat Password: *******
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# conf t
ciscoasa(config)#

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later: a

ciscoasa(config)#
ciscoasa(config)# http server enable 443
ciscoasa(config)# http 【IPアドレス】 255.255.255.0 management      ☆接続元の許可
ciscoasa(config)# username 【ユーザ名】 password 【パスワード】 privilege 15　☆ユーザ作成
ciscoasa(config)# exit
ciscoasa# write memory
Building configuration...
Cryptochecksum: 6b9b7d55 030f7cab 0597a569 40cd0d9d

7421 bytes copied in 0.180 secs
[OK]
ciscoasa#

• ブラウザでアクセス
  https://XX.XX.XX.XX にアクセスすると、アプリのインストールが求められます。 今回はASDMをインストールしました。

• ASDMの起動
  ASAのIP、ユーザ名、パスワードを入力します。

• Interfaceの追加
  Configuration > Device Setup > Interface Settings > Interfaces より、 VNIインターフェイスを追加します。

  • IPaddress 10.1.0.1/16

• ACLの追加 Configuration > Firewall > Access Rules より、 ACLを追加します。

  • Source any
  • Destination 10.2.0.0/16

3.inventoryとplaybookの作成

• inventory

# cat inventory/inventory.ini
[asa]
ciscoasa ansible_host=XX.XX.XX.XX

[all:vars]
ansible_user=【ユーザ名】
ansible_password=【パスワード】
ansible_become=true
ansible_become_method=ansible.netcommon.enable
ansible_become_pass=【パスワード】
ansible_connection=ansible.netcommon.network_cli
ansible_network_os=cisco.asa.asa
ansible_python_interpreter=$(which python)

- playbook
追加したACLを表示します。

# cat asa_get-acl.yml
---
- name: Get structured data
  hosts: ciscoasa
  gather_facts: false
  collections:
  - cisco.asa

  tasks:
  - name: Gather facts
    asa_acls:
      state: gathered
    register: gather

  - name: output data
    debug:
      msg: "{{ gather }}"

4.playbookの実行

追加したACLが表示されました。

# ansible-playbook -i inventory/inventory.ini asa_get-acl.yml

PLAY [Get structured data] ************************************************

TASK [Gather facts] *******************************************************
ok: [ciscoasa]

TASK [output data] ********************************************************
ok: [ciscoasa] => {
    "msg": {
        "changed": false,
        "failed": false,
        "gathered": [
            {
                "acls": [
                    {
                        "aces": [
                            {
                                "destination": {
                                    "address": "10.2.0.0",
                                    "netmask": "255.255.0.0"
                                },
                                "grant": "permit",
                                "line": 1,
                                "protocol": "ip",
                                "protocol_options": {
                                    "ip": true
                                },
                                "source": {
                                    "any": true
                                }
                            }
                        ],
                        "acl_type": "extended",
                        "name": "global_access"
                    }
                ]
            }
        ]
    }
}

PLAY RECAP ****************************************************************
ciscoasa : ok=2  changed=0  unreachable=0  failed=0  skipped=0  rescued=0  ignored=0

雑記

動かすことはできたけど、理解はこれから。
あと雨が続くので、腹筋ローラーを買った。ブログを書かない、走らない日は腹筋を鍛えるしかない。

概要

ZabbixでNW機器を監視し、通信断が復旧したらAnsibleでログを自動取得します。
NW機器はcsrとし、show running-configとshow logを取得します。

環境

1.Zabbixの構築

先日の記事の環境を使用します。
監視対象のNW機器も追加されている状態です。
https://mitomito.hatenablog.jp/entry/2020/06/20/070000

なお、監視対象のNW機器csr-1にはSSH接続出来るようにしておきます。

2.AWXの構築

こちらの記事を参考に構築しました。
https://qiita.com/mina-stop/items/71266d74d102850eb4c0

また、テンプレートを作成する上で以下の問題にあたりますので、対応します。
https://sky-joker.tech/2018/03/21/awx%E3%81%ABvarlibawxprojects%E3%81%8C%E3%81%AA%E3%81%84%E6%99%82%E3%81%AE%E5%AF%BE%E5%87%A6/

• 再インストール結果
  冪等性（べきとうせい）により、特に問題なくインストールされます。

PLAY RECAP *********************************************************************  
localhost : ok=16 changed=5 unreachable=0 failed=0 skipped=86 rescued=0 ignored=0

3.AWX(Ansible)の設定

2020/07/01追記 本記事はAnsible側に監視対象機器のIPアドレスを設定しています。
ワークフローのサーベイを使うことにより、ZabbixからIPアドレスを渡せます。
「Ansible × Zabbix」通信断復旧時の自動ログ取得を改善した - mito’s blog

Playbookやテンプレート等を作成します。

• Playbookの作成
  　以下のコマンドを実行します。
  • show running-config
  • show log
• プロジェクトの作成
• インベントリの作成
• 認証情報の設定
• ジョブテンプレートの作成
• APIの確認
  Zabbixのアクションに設定するため、ジョブテンプレートIDを確認します。
  • http://「IPアドレス」/api/v2/job_templates/「ジョブテンプレートID」
  • ジョブテンプレートIDは以下から確認できます。 今回のIDは「9」です。
    • http://「AWXのIPアドレス」/api/v2/job_templates/

APIの参考情報
https://docs.ansible.com/ansible-tower/3.7.1/html_ja/towerapi/

4.Zabbixの設定

アクションの「復旧時の実行内容」に、ジョブテンプレートを実行するためのコマンドを記載します。

• 実行内容のタイプ「リモートコマンド」
• ターゲットリストは現在のホストにチェックを入れる
• タイプ「カスタムスクリプト」
• 次で実行「Zabbixサーバー」
• コマンド

curl -f -k -H 'Content-Type: application/json' -X POST --user '「AWXログインID」:「AWXログインパスワード」' http://「IPアドレス」/api/v2/job_templates/「ジョブテンプレートID」/launch/

5.Ansible × Zabbix の連携

死活監視の間隔を10秒にし、監視対象のcsr-1を再起動させます。 Zabbixが通信断、および復旧を検知したあと、アクション(右ポップアップのリモートコマンド)が実行されます。

AWXでは、対象のジョブテンプレートが実行されています。

show logの結果から、restartのログが確認できます。

雑記

インベントリやPlaybookの内容の工夫や、そもそもログを見やすくしたいなどAnsible側のスッキリさせたい設定は盛りだくさんですが、次はジョブテンプレートの結果をRedmineのチケットに追記してみたい。たい。いろいろ組み込みたい。

やったこと

Zabbix5.0で追加されたRedmineのWebhookを使って、障害チケットを自動起票させました。
スクリプトを書く必要がなく、とても便利でした。

環境

1.Zabbixの構築

先日の記事の環境を使用します。
監視対象のNW機器も追加されている状態です。
https://mitomito.hatenablog.jp/entry/2020/06/20/070000

2.Redmineの構築

公式から辿るとPlaybookが用意されていたので、ansibleで構築しました。
https://github.com/farend/redmine-centos-ansible

3.Redmaineの設定

初期設定は公式を参考にします。
https://redmine.jp/tech_note/first-step/

今回は以下を実施しました。

3-1. プロジェクトの作成

• 名称に「zabbix」を入力、保存をクリック

3-2. RedmineAPIの有効可

• 画面上部の[管理] -> [設定] -> [API] -> [RESTによるWebサービスを有効にする]
• チェックを入れて保存をクリック

3-3. APIアクセスキーのメモ

• 画面右上の[個人設定] -> [APIアクセスキー] -> [表示]をクリック
• 表示されたAPIアクセスキーをメモ

3-4. トラッカーの作成、トラッカーIDのメモ

• [管理] -> [トラッカー -> [新しいトラッカー]をクリック
• 名称に「障害」、デフォルトのステータスに「新規」を入力し保存をクリック
• 作成したトラッカー「障害」をクリックし、URLに含まれるトラッカーIDをメモ
  例：http://XX.XX.XX.XX/redmine/trackers/4/edit
  　トラッカーID「4」

4.Zabbixの設定

ZabbixとRedmineを連携させるための設定です。
追加されたメディアタイプ[Redmine]のWebhookの出番ですね。

4-1. マクロ{$ZABBIX.URL}の設定

• http://XX.XX.XX.XX/zabbix/

4-2. メディアタイプ[Redmine]の設定

• [redmine_access_key] = 3-3の値
• [redmine_project] = 3-1の値
• [redmine_tracker_id] = 3-4の値
• [redmine_url] = http://XX.XX.XX.XX/redmine/

4-3. ユーザ作成、ユーザのメディアタイプ追加

• システム連携用のユーザを作成
• メディアタイプ[Redmine]を追加

4-4. アクションの設定

• アクションの実行条件に「ホストグループ 等しい router」を追加
• 実行内容の次のメディアのみ使用に「Redmine」を追加
• 実行内容の実行条件に「イベント未確認」を追加
• 復旧時、更新時の実行内容に「障害通知送信済のユーザーすべてにメッセージを送信」を設定

参考手順
https://www.zabbix.com/jp/integrations/redmine

5.自動起票

csr-1を落とし、Zabbixがping断を検知します。アクションも成功しています。

Redmaineに移動すると、、、

無事に自動起票されました。イェアアアアアア！！

回復も同じチケットに追記され大満足です。

雑記

雑誌に載ってそうなシステム連携図っぽいことがやりたかった！
Playbookを流すだけでさくっとRedmineが構築できたのも気持ちいいし。
Ansibleをそれのみに使うのはもったいないので、次は。。。