AnsibleでAzureの インフラを管理する話 + α

Transcript

1. Ansible で Azure の インフラを管理する話 + α Ansiblejpディベロッパー部 2020.02 Takeshi

   Yaegashi

2. 自己紹介 八重樫 剛史 Takeshi Yaegashi • 株式会社バンダイナムコスタジオ所属 • Linux・Unix・OSS・低レベルなことが好きなエンジニア •

   ブログ https://l0w.dev Qiita https://qiita.com/yaegashi • 最近の仕事 ◦ Raspberry Pi IoT 案件 (Go) スマホゲームアプリのサーバ開発 (Go) ◦ Azure による開発者向けインフラ構築 (Python, Ansible, Go, Terraform, etc.) • 最近の登壇 ◦ Microsoft de:code 2019「DT01 ゲームメーカー目線で Azureを(略)」 ◦ Go Conference 2019 Autumn「Microsoft Graph API Library for Go」

3. Ansible に対する貢献 blockinfile モジュールの作者です • Ansible Meetup in Tokyo 2015.09

   の LT で 開発時の顛末を話しました • 当時の Ansible の開発コミュニティについて 興味のある方は資料をご覧ください • その後 Red Hat による買収などいろいろあり ましたが、コミュニティやベンダ各社のリソー スを結集して今なお進化を続ける Ansible の 開発体制はすごい https://www.slideshare.net/yaegashi/ansible-52767041

4. 今日の話題 Ansible で Azure インフラ管理す るときに役に立つかもしれない知 識とツール • Azure Resource

   Manager • Azure Resource Explorer (Web アプリ) • azure_rids (Jinja2 フィルタ) • Ansible コレクション https://qiita.com/yaegashi/items/fa8984b724e5e819aa6e

5. Azure Resource Manager (ARM) • Azure リソース階層のアーキテクチャ ◦ 管理グループ ◦

   サブスクリプション (ビリングの単位) ◦ リソースグループ ◦ リソース (VM やマネージドサービスなど ) • リソースは必ずリソースグループを作って 格納する必要がある • アクセス制御 (IAM) もこの階層構造を対象 とした RBAC を設定する (Azure AD と連 携する)

6. リソースID • ARM の階層を反映した リソースID という文字列でリソースを識別する • REST API エンドポイント

   https://management.azure.com のパスでもある /subscriptions/{サブスクリプションID}/resourceGroups/{リソースグループ名} /providers/{リソースプロバイダ名}/{リソースタイプ名}/{リソース名} /{サブリソースタイプ名1}/{サブリソース名1}/...

7. リソースID の例 • Azure の VM 1 台を構成する 5 つのリソースの例

   • サブスクリプション X1 のリソースグループ RG1 に格納した リソース名 VM1 の VM・Disk・NIC・Public IP・NSG ◦ リソースの種類が異なるならリソース名は同じでもよい ◦ 関連リソースを同じリソースグループに入れておけば権限管理や掃除が楽になる /subscriptions/X1/resourceGroups/RG1/providers/Microsoft.Compute/virtualMachines/VM1 /subscriptions/X1/resourceGroups/RG1/providers/Microsoft.Compute/disks/VM1 /subscriptions/X1/resourceGroups/RG1/providers/Microsoft.Network/networkInterfaces/VM1 /subscriptions/X1/resourceGroups/RG1/providers/Microsoft.Network/publicIPAddresses/VM1 /subscriptions/X1/resourceGroups/RG1/providers/Microsoft.Network/networkSecurityGroups/VM1

8. Azure Resource Explorer • https://resources.azure.com • ARM のリソース階層を探索で きる便利な Web

   アプリ • 各リソースのプロパティ値の確 認やドキュメントの参照、 REST API の発行ができる

9. Azure Resource Explorer ♥ Ansible • なぜか Ansible プレイブックのテンプ レートを出力する機能がある

   • azure_rm 汎用モジュールを使用 ◦ GET メソッド azure_rm_resource_facts Ansible 2.9 からは azure_rm_resource_info ◦ PUT/POST/DELETE メソッド azure_rm_resource 冪等性はないので要注意

10. Azure Resource Explorer の活用例 実際にあった例：名前が RG1 のリソースグループに入っている名前が VM1 の VM

    に くっついてる最初の NIC にくっついている NSG のルールに OpenVPN ポート (1194) の 受信許可がなければ追加するのを Ansible でやりたい ◦ 最初の VM 以外のリソース名・リソースグループ名は 不明なことが多い (Azure CLI などのツールは勝手に名前をつけて作るため ) ◦ 関連リソースは各リソース内に リソースID で記録されており、 その記録場所は Azure Resource Explorer を使って容易に調べられる

11. ステップ 1 • VM のリソース情報を azure_rm_resource_info で取得して r に保存 -

    name: VM リソース情報取得 azure_rm_resource_info: resource_group: RG1 provider: Compute resource_type: virtualMachines resource_name: VM1 register: r ARM階層構造による リソース指定

12. ステップ 2 • NIC のリソースIDを調べて azure_rm_resource_info で取得して r に保存 -

    name: NIC リソース情報取得 azure_rm_resource_info: url: "{{r.response[0].properties.networkProfile.networkInterfaces[0].id}}" register: r リソースID 指定 Azure Resource Explorer で VM にくっついている NIC の リソースID の保存場所を調査

13. ステップ 3 • NSG のリソースIDを調べて azure_rm_securitygroup でルール追加 - name: NSG

    ルール追加 azure_rm_securitygroup: resource_group: "{{rid.resource_group}}" name: "{{rid.name}}" rules: - name: AllowOpenVPN priority: 200 destination_port_range: 1194 direction: Inbound access: Allow vars: rid: "{{r.response[0].properties.networkSecurityGroup.id | azure_rids}}" NIC にくっついている NSG の リソースID リソースID を分解して リソース名・リソースグルー プ名を得るフィルタ azure_rm_securitygroup は リソースID による リソース指定ができない

14. azure_rids フィルタの開発 • リソースID文字列から、リソース名などの要素を含むディクショナリに変換する Jinja2 フィルタ (Azure SDK for Python

    を利用) TASK [(2) azure_rids テスト] **************************************************************************** ok: [localhost] => (item=/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/RG1/providers /Microsoft.Compute/virtualMachines/VM1) => msg: children: '' name: VM1 namespace: Microsoft.Compute resource_group: RG1 resource_name: VM1 resource_namespace: Microsoft.Compute resource_parent: '' resource_type: virtualMachines subscription: 11111111-1111-1111-1111-111111111111 type: virtualMachines msg: "{{item | azure_rids}}"

15. azure_rids フィルタの配布 Ansible Galaxy による配布 • yaegashi.azureplugins ロール ◦ ansible-galaxy

    install yaegashi.azureplugins ◦ yaegashi.azureplugins ロール実行で azure_rids が利用可能になる • yaegashi.azurex コレクション (Azure 2.8 以降) ◦ ansible-galaxy collection install yaegashi.azurex ◦ インストールにより yaegashi.azurex.azure_rids フィルタが利用可能になる

16. Ansible コレクション Ansible 2.8 からの新機能 • 複数のプレイブック・ロール・モジュール・プラグインを含む配布物が Ansible Galaxy で公開・配布できるようになる

    ◦ これからの Ansible のエコシステムの発展を担うと思われる ◦ Ansible Galaxy でロール以外のコードがまともに扱えるようになる意義は大きい • 情報 ◦ 利用者ガイド https://docs.ansible.com/ansible/latest/user_guide/collections_using.html ◦ 開発者ガイド https://docs.ansible.com/ansible/latest/dev_guide/developing_collections.htm ◦ Azure 公式コレクション: azure.azcollection

17. おわり 今後の活動予定 • azure_rids フィルタを Ansible の標準機能にする ◦ まずは公式コレクション azure.azcollection

    に入れてもらう？ • 全 azure_rm モジュールが リソースID を受け付けるようにする ◦ 現状では azure_rm_resource_info だけが url パラメータでリソース IDを受け付ける ◦ Azure CLI でも --ids でリソースID指定できるし、理解してもらいやすいのでは • Ansible コレクションをやっていく ◦ 自作コレクションのドキュメントの整備など、いろいろ