onboardinng-bigip

Роль Ansible для автоматизации конфигурации подключения на BIG-IP. Роль настроит следующее:

• Имя хоста BIG-IP
• Текст баннера SSH для BIG-IP
• NTP серверы
• DNS серверы
• Обеспечение работы модулей (ASM/AFM и т.д.) на BIG-IP
• Настройка VLAN и Self-IPs

Требования

• Эта роль требует Ansible 2.6
• Установить пакеты:
  • pip install f5-sdk
  • pip install bigsuds
  • pip install netaddr

Переменные роли

Переменные, которые можно передать этой роли, и их краткое описание:

username: admin                                     //Имя пользователя BIG-IP
password: admin                                     //Пароль BIG-IP

banner_text: "--Добро пожаловать в Onboarding BIGIP--" //Баннер, когда пользователь подключается к BIG-IP по SSH

hostname: 'ansibleManaged-bigip.local'              //Имя хоста BIG-IP

ntp_servers:                                        //NTP серверы, настроенные на BIG-IP
 - '172.27.1.1'
 - '172.27.1.2'

dns_servers:                                        //DNS серверы, настроенные на BIG-IP
 - '8.8.8.8'
 - '4.4.4.4'

dns_search_domains:                                 //DNS поисковые домены, настроенные на BIG-IP
 - 'local'
 - 'localhost'

device_license: 'AAAAA-BBBBB-CCCCC-DDDDD-EEEEEEE'   //Лицензионный ключ BIG-IP. Задавайте эту переменную, только если хотите запустить лицензионную задачу.

ip_version: 4                                       //Версия протокола DNS

vlan_information:                                   //VLAN, настроенные на BIG-IP
 - name: 'External'                                 //Пример: VLAN 'External' с тегом VLAN 10
   tag: '10'                                       // тег 10 связан с интерфейсом 1.1. Если не указывать параметр 'tag', создается VLAN без тега
   interface: '1.1'                                 
 - name: 'Internal'                                 //Пример: VLAN 'Internal' с тегом VLAN 11 
   tag: '11'                                       // связанный с интерфейсом 1.2. Если не указывать параметр 'tag', создается VLAN без тега
   interface: '1.2'

selfip_information:                                 //Self-IP, настроенные на BIG-IP
 - name: 'External-SelfIP'                                        
   address: '10.168.68.5'                                         
   netmask: '255.255.255.0'
   vlan: 'External'
   allow_service: 'default'
 - name: 'Internal-SelfIP'
   address: '192.168.68.5'
   netmask: '255.255.255.0'
   vlan: 'Internal'
   allow_service: 'default'

module_provisioning:                                 //Обеспечение работы модуля на BIG-IP. 
 - name: 'asm'                                       //Модуль ASM включен на BIG-IP
   level: 'nominal'

Пример Playbook

- hosts: bigips
  gather_facts: false
  roles:
  - { role: f5devcentral.bigip-onboarding }

Хранение учетных данных

Поскольку эта роль включает использование учетных данных для доступа к вашему BIG-IP, я рекомендую вам предоставить эти переменные в зашифрованном файле ansible-vault.

Это можно сделать независимо от этой роли.

Шаги:

• Храните пароль вашего хранилища в файле - '~/.vault_pass.txt'
• Выполните playbook следующим образом - ansible-vault encrypt <<имя_файла_переменной>> --vault-password-file ~/.vault_pass.txt

Для получения дополнительной информации смотрите: http://docs.ansible.com/ansible/latest/playbooks_vault.html

Проверка сертификатов

Чтобы проверить SSL сертификаты REST API BIG-IP:

• установите validate_certs: true
• Сгенерируйте пару открытого и закрытого ключей
• Храните открытый ключ на BIG-IP (https://support.f5.com/csp/article/K13454#bigipsshdaccept)

Лицензирование

При лицензировании BIG-IP эта роль примет EULA от вашего имени. Этот модуль не покажет вам EULA, поэтому вам необходимо прочитать его здесь: https://support.f5.com/csp/article/K12902

Благодарности

https://github.com/F5Networks/f5-ansible