Netzwerkautomatisierung mit Ansible und AWX

Die Rakete zünden

Um in der Ansible-Erweiterung AWX eine Automatisierung zu starten, drückt der Admin nach dem Erstellen seiner Playbooks auf den Rakete-Button. Wie sich die so bildhaft dargestellte Beschleunigung der Konfiguration zahlreicher Netzwerkgeräte automatisch mit Ansible und AWX umsetzen lässt, zeigt dieser Workshop.
Funktioniert ein Rechner oder Dienst im Unternehmen nicht mehr, ist die IT-Abteilung die erste Anlaufstelle. Um Ausfälle bereits im Vorfeld zu vermeiden und ... (mehr)

Während in vielen Netzwerken noch fehleranfällige, repetitive Handarbeit auf der CLI angesagt ist, gehen moderne Administratoren einen anderen Weg und nutzen Skripte. Auf den ersten Blick bietet manuelles Scripting maximale Flexibilität, jedoch erfüllt die Automatisierung keinen Selbstzweck. Sie soll die Effizienz und Konsistenz steigern, um Freiräume für andere Innovationen zu schaffen. Gleichzeitig gilt es aber auch, die Sicherheit zu gewährleisten.

Um diese Aspekte bei der Netzwerkautomatisierung umzusetzen, stehen Konfigurationsmanagementwerkzeuge zur Verfügung. Da auf vielen aktiven Netzwerkkom- ponenten wie Routern und Switches keine Möglichkeiten der Installation von Agenten zur Steuerung solcher Werkzeuge bestehen, bieten sich agentenlose Tools an. Optimal kann eine solche Software nicht nur aktive Netzwerkkomponenten, sondern auch Linux- und Windows-Serversysteme. Hier kommt das Open-Source-Tool Ansible [1] ins Spiel.

Zwei Tools lösen Ansibles Probleme

Jedoch bringt das native CLI-Tool Ansible einige Herausforderungen mit sich. Eine hiervon stellt das Rechtemanagement dar. Zum einen stellt sich die Frage, wie das Hinterlegen von Credentials für die aktiven Netzwerkkomponenten erfolgen soll: Für Service-Accounts mit Vollzugriff auf Switches, Router und Firewalls muss sichergestellt sein, dass Nutzer mit ansonsten eingeschränkten Rechten, wie Junior-Admins oder Auditoren, keine Privilegien-Eskalation durchführen können, nur weil sie Zugriff auf Ansible benötigen. Zusätzlich besteht die Notwendigkeit einer sicheren und verschlüsselten Ablage der Credentials.

Eine weitere Herausforderung stellt ein zentrales und auditierbares Log dar. Gerade bei Konfigurationsmanagement-Tools, mit denen in kurzer Zeit Massenkonfigurationen erfolgen, muss rückverfolgbar sein, wer zu welcher Zeit welchen Change auf welchen Komponenten durchgeführt hat. Dies erleichtert auch

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022