bigip-onboarding

Rola Ansible do automatyzacji konfiguracji wprowadzającej na BIG-IP. Rola skonfiguruje następujące rzeczy:

• Nazwa hosta BIG-IP
• Tekst banera SSH BIG-IP
• Serwery NTP
• Serwery DNS
• Przydział modułów (ASM/AFM itd.) na BIG-IP
• Konfiguracja VLAN-ów i adresów Self-IP

Wymagania

• Ta rola wymaga Ansible w wersji 2.6
• Pakiety do zainstalowania:
  • pip install f5-sdk
  • pip install bigsuds
  • pip install netaddr

Zmienne roli

Zmienne, które można przekazać do tej roli, oraz ich krótki opis:

username: admin                                     //Nazwa użytkownika BIG-IP
password: admin                                     //Hasło BIG-IP

banner_text: "--Witamy w Onboarding BIGIP--"      //Baner, gdy użytkownik loguje się do BIG-IP przez SSH

hostname: 'ansibleManaged-bigip.local'              //Nazwa hosta BIG-IP

ntp_servers:                                        //Serwery NTP skonfigurowane na BIG-IP
 - '172.27.1.1'
 - '172.27.1.2'

dns_servers:                                        //Serwery DNS skonfigurowane na BIG-IP
 - '8.8.8.8'
 - '4.4.4.4'

dns_search_domains:                                 //Domeny wyszukiwania DNS skonfigurowane na BIG-IP
 - 'local'
 - 'localhost'

device_license: 'AAAAA-BBBBB-CCCCC-DDDDD-EEEEEEE'   //Klucz licencyjny BIG-IP. Deklaruj tę zmienną tylko wtedy, gdy chcesz, aby zadanie licencyjne zostało uruchomione.

ip_version: 4                                       //Wersja protokołu DNS

vlan_information:                                   //VLAN skonfigurowane na BIG-IP
 - name: 'External'                                 //Przykład: VLAN 'External' z tagiem VLAN 10
   tag: '10'                                                   tag 10 przypisany do interfejsu 1.1. Pominięcie parametru 'tag' utworzy VLAN bez tagu
   interface: '1.1'                                 
 - name: 'Internal'                                 //Przykład: VLAN 'Internal' z tagiem VLAN 11 
   tag: '11'                                                   przypisany do interfejsu 1.2. Pominięcie parametru 'tag' utworzy VLAN bez tagu
   interface: '1.2'

selfip_information:                                 //Self-IP skonfigurowane na BIG-IP
 - name: 'External-SelfIP'                                        
   address: '10.168.68.5'                                         
   netmask: '255.255.255.0'
   vlan: 'External'
   allow_service: 'default'
 - name: 'Internal-SelfIP'
   address: '192.168.68.5'
   netmask: '255.255.255.0'
   vlan: 'Internal'
   allow_service: 'default'

module_provisioning:                                 //Przydział modułów na BIG-IP. 
 - name: 'asm'                                       //Moduł ASM jest aktywowany na BIG-IP
   level: 'nominal'

Przykład playbooka

- hosts: bigips
  gather_facts: false
  roles:
  - { role: f5devcentral.bigip-onboarding }

Przechowywanie danych uwierzytelniających

Ponieważ ta rola wykorzystuje dane uwierzytelniające do uzyskania dostępu do BIG-IP, zalecam, abyś przekazał te zmienne w pliku szyfrowanym za pomocą ansible-vault.

Można to dostarczyć niezależnie od tej roli.

Kroki:

• Przechowaj hasło do vault w pliku - '~/.vault_pass.txt'
• Wykonaj playbook w następujący sposób - ansible-vault encrypt <> --vault-password-file ~/.vault_pass.txt

Więcej informacji znajdziesz tutaj: http://docs.ansible.com/ansible/latest/playbooks_vault.html

Walidacja certyfikatów

Aby zweryfikować certyfikaty SSL API REST BIG-IP:

• ustaw validate_certs: true
• Wygeneruj parę kluczy publicznych i prywatnych
• Przechowaj klucz publiczny na BIG-IP (https://support.f5.com/csp/article/K13454#bigipsshdaccept)

Licencjonowanie

Podczas licencjonowania BIG-IP, ta rola zaakceptuje EULA w Twoim imieniu. Ten moduł nie przedstawi Ci EULA, więc konieczne jest, abyś przeczytał go tutaj: https://support.f5.com/csp/article/K12902

Podziękowania

https://github.com/F5Networks/f5-ansible