- 当記事は、日常の運用業務(NW機器設定)の自動化により、運用コストの削減 および 運用品質の向上 を目標に
「Ansible」を使用し、様々なNW機器設定を自動化してみようと 試みた記事です。 - Ansibleは、OSS版(AWX)+OSS版(Ansible)を使用しております。
FortiGateの「Objects-アドレスグループ」の登録/変更/削除を実施してみた
事前設定
- Templateを作成し、インベントリーと認証情報を設定する。
- インベントリー:対象機器(ホスト)の接続先/接続方法/使用プラグインを設定する。
ansible_host: xxx.xxx.xxx.xxx --- ansible_host: xxx.xxx.xxx.xxx ← 接続先IPを指定 ansible_connection: httpapi ← FortiGateは、デフォルト接続方式(ssh)ではなく、HTTP/HTTPS(API)を使用 ansible_httpapi_use_ssl: yes ← HTTP/HTTPS(API)を使用する際、HTTPSを使用 ansible_httpapi_validate_certs: no ← HTTP/HTTPS(API)を使用する際、証明書のチェックを無視(証明書が信頼できないエラーを回避) ansible_network_os: fortinet.fortios.fortios ← 接続方式(httpapi)を使用する場合、使用するプラグインを指定
- 認証情報:対象機器へのログイン情報(ユーザ名/パスワード)を設定。
ユーザ名は 変数:ansible_user に保持される パスワードは 変数:ansible_password に保持される
Playbook作成(YAML)
使用モジュール
- fortinet.fortios.fortios.fortios_firewall_addrgrp を使用。
※参考ページ:https://docs.ansible.com/projects/ansible/latest/collections/fortinet/fortios/fortios_firewall_addrgrp_module.html
Objects-アドレスグループの登録 ※アドレスグループの新規作成の場合
- 接続情報と アドレスグループとアドレスの関連付け を指定して登録(state: ‘present’)を行う。
- name: Add AddressGroup(NEW) fortios_firewall_addrgrp: vdom: "root" state: "present" firewall_addrgrp: name: "test_addgroup001" ← アドレスグループ member: [{name: "test_add001"}] ← アドレスグループに関連付けするアドレス register: wk_result - 実行結果:対象のアドレスグループが登録された。 ※登録後のアドレスグループを抜粋
"msg": { "meta": { "results": [ { "name": "test_addgroup001", "member": [ {"name": "test_add001"} ] } ], "status": "success", "vdom": "root" } }
Objects-アドレスグループの登録 ※アドレスグループが既に存在する場合
- 接続情報と アドレスグループとアドレスの関連付け を指定して登録(state: ‘present’)を行う。 ※アドレスグループが既に存在する場合は、既存設定の置き換えとなる
- name: Change AddressGroup(ADD) fortios_firewall_addrgrp: vdom: "root" state: "present" firewall_addrgrp: name: "test_addgroup001" ← アドレスグループ member: [{name: "test_add002"}] ← アドレスグループに関連付けするアドレス register: wk_result - 実行結果:既存のアドレスグループが上書き更新された。 ※登録後のアドレスグループを抜粋
"msg": { "meta": { "results": [ { "name": "test_addgroup001", "member": [ {"name": "test_add002"} ] } ], "status": "success", "vdom": "root" } }
Objects-アドレスグループの変更 ※関連付けするアドレスを変更したい場合
- 接続情報と アドレスグループとアドレスの関連付け を指定して登録(state: ‘present’)を行う。 ※アドレスグループが既に存在する場合は、既存設定の置き換えとなる
- name: Change AddressGroup(ADD2) fortios_firewall_addrgrp: vdom: "root" state: "present" firewall_addrgrp: name: "test_addgroup001" ← アドレスグループ member: [{name: "test_add001"}, {name: "test_add002"}] ← アドレスグループに関連付けするアドレス register: wk_result - 実行結果:既存のアドレスグループが上書き更新された。 ※登録後のアドレスグループを抜粋
"msg": { "meta": { "results": [ { "name": "test_addgroup001", "member": [ {"name": "test_add001"},{"name": "test_add002"} ] } ], "status": "success", "vdom": "root" } }
- fortinet.fortios.fortios.fortios_firewall_addrgrpには、登録処理(state: ‘present’)と削除処理(state: ‘absent’)しか ありません。その為、変更したい場合は、登録処理を活用して上書き更新を行うこととなります!!
Objects-アドレスグループの削除 ※変更のつづき
- 接続情報と アドレスグループと関連付いているアドレス を指定して、削除(state: ‘absent’)を行う。 (注意:関連付いているアドレスが削除されるのではなく、アドレスグループが削除される!!)
- name: Delete AddressGroup fortios_firewall_addrgrp: vdom: "root" state: "absent" firewall_addrgrp: name: "test_addgroup001" ← アドレスグループ ※アドレスグループが削除される register: wk_result - 実行結果:対象のアドレスグループが削除された。 ※削除後のアドレスグループ情報なし
最後に
- 「Ansible」の「fortinet.fortios.fortios.fortios_firewall_addrgrp」を使用し、「Objects-アドレス」の登録/変更/削除 ができたことは良かった。しかし、現状 設定情報がベタ書きで使い勝手が悪いので、今後 設定内容をINPUTする仕組みを試みたいと思います。これに伴い、何らかの変更申請の仕組みと連携することができ、より設定変更の自動化が活用できるようになると思います。