f5devcentral.bigip_onboard
bigip-onboarding
Ansible-Rolle zur Automatisierung der Onboarding-Konfiguration auf einem BIG-IP. Die Rolle konfiguriert Folgendes:
- BIG-IP Hostname
- BIG-IP SSH Bannertext
- NTP-Server
- DNS-Server
- Bereitstellung der Module (ASM/AFM usw.) auf dem BIG-IP
- Konfiguration von VLANs und Self-IPs
Anforderungen
- Diese Rolle erfordert Ansible 2.6
- Zu installierende Pakete:
- pip install f5-sdk
- pip install bigsuds
- pip install netaddr
Rollvariablen
Die Variablen, die dieser Rolle übergeben werden können, und eine kurze Beschreibung sind wie folgt:
username: admin //BIG-IP Benutzername
password: admin //BIG-IP Passwort
banner_text: "--Willkommen beim Onboarding BIGIP--" //Banner, wenn der Benutzer sich per SSH auf dem BIG-IP anmeldet
hostname: 'ansibleManaged-bigip.local' //BIG-IP Hostname
ntp_servers: //NTP-Server, die auf dem BIG-IP konfiguriert sind
- '172.27.1.1'
- '172.27.1.2'
dns_servers: //DNS-Server, die auf dem BIG-IP konfiguriert sind
- '8.8.8.8'
- '4.4.4.4'
dns_search_domains: //DNS-Suchdomains, die auf dem BIG-IP konfiguriert sind
- 'local'
- 'localhost'
device_license: 'AAAAA-BBBBB-CCCCC-DDDDD-EEEEEEE' //BIG-IP Lizenzschlüssel. Diese Variable nur angeben, wenn die Lizenzierungsaufgabe ausgeführt werden soll.
ip_version: 4 //DNS-Protokollversion
vlan_information: //VLANs, die auf dem BIG-IP konfiguriert sind
- name: 'External' //Beispiel: VLAN 'External' mit VLAN-Tag 10
tag: '10' //Tag 10 wird mit Schnittstelle 1.1 verbunden. Wenn der Parameter 'tag' weggelassen wird, wird ein ungetaggtes VLAN erstellt
interface: '1.1'
- name: 'Internal' //Beispiel: VLAN 'Internal' mit VLAN-Tag 11
tag: '11' //Tag wird mit Schnittstelle 1.2 verbunden. Wenn der Parameter 'tag' weggelassen wird, wird ein ungetaggtes VLAN erstellt
interface: '1.2'
selfip_information: //Self-IPs, die auf dem BIG-IP konfiguriert sind
- name: 'External-SelfIP'
address: '10.168.68.5'
netmask: '255.255.255.0'
vlan: 'External'
allow_service: 'default'
- name: 'Internal-SelfIP'
address: '192.168.68.5'
netmask: '255.255.255.0'
vlan: 'Internal'
allow_service: 'default'
module_provisioning: //Modulbereitstellung auf dem BIG-IP.
- name: 'asm' //ASM-Modul ist auf dem BIG-IP aktiviert
level: 'nominal'
Beispiel Playbook
- hosts: bigips
gather_facts: false
roles:
- { role: f5devcentral.bigip-onboarding }
Zertifikatsspeicherung
Da diese Rolle die Verwendung von Anmeldeinformationen zum Zugriff auf Ihren BIG-IP umfasst, empfehle ich, diese Variablen in einer mit ansible-vault verschlüsselten Datei bereitzustellen.
Dies kann unabhängig von dieser Rolle bereitgestellt werden.
Schritte:
- Speichern Sie Ihr Vault-Passwort in einer Datei - '~/.vault_pass.txt'
- Führen Sie das Playbook wie folgt aus - ansible-vault encrypt <
> --vault-password-file ~/.vault_pass.txt
Für weitere Informationen siehe: http://docs.ansible.com/ansible/latest/playbooks_vault.html
Zertifikatvalidierung
Um die SSL-Zertifikate der BIG-IP REST API zu validieren:
- setze validate_certs: true
- Generiere ein öffentliches und privates Schlüsselpaar
- Speichere den öffentlichen Schlüssel auf dem BIG-IP (https://support.f5.com/csp/article/K13454#bigipsshdaccept)
Lizenzierung
Beim Lizenzieren eines BIG-IP wird diese Rolle die EULA in Ihrem Namen akzeptieren. Dieses Modul wird Ihnen die EULA nicht anzeigen, daher obliegt es Ihnen, sie hier zu lesen: https://support.f5.com/csp/article/K12902
Quellen
Performs a basic series of on-boarding steps to bootstrap a BIG-IP system to the point that it can accept configuration.
ansible-galaxy install f5devcentral.bigip_onboard