Ansible でSSHのセキュリティ設定
UNIX系のサーバーでは、クライアントのリモート通信に SSH を使うことが標準となっています。すなわち、公開サーバーで SSHサーバー(sshd) が動作していることは容易に推測できるため、攻撃の格好の的になることはどうしても避けられません。そこで今回は、 SSHのセキュリティの3点セット「パスワード認証の無効化」「rootユーザでのログイン禁止」「sshdの待受ポートの変更」を、Ansible で設定してみたいと思います。 この記事では、Ansible で実行するタスクは、ロール(Role)に書いて、そのロールを Playbook から呼び出すといった手順で設定しています。ロールについては「Ansible Roles の使い方(Playbookの分割と再利用)」の記事をご参照ください。 SELinux 無効化ロールの作成sshd 等、各種ミドルウェアの設定を変更するには、SELinux
Ansible のサポートがよく見るドキュメント - 赤帽エンジニアブログ
この投稿はAnsible 2 Advent Calendar 2019の21日目の記事です。 qiita.com レッドハットの杉村です。Ansible のテクニカルサポートエンジニアをしています。 今回の記事では、サポートがよく見るドキュメントについて紹介してみます。 Ansible のドキュメントは、基本的には全て https://docs.ansible.com/ からたどれるようになっています。日本語訳もありますが、翻訳の都合上どうしても遅れてしまいますので、英語の原文を参照するようにしましょう。 Ansible Engine Ansibleのインストール Ansible のインストールの仕方は多岐に及びます。通常は RHEL にインストールすることを想定していますので、リポジトリを設定して yum/dnf コマンドでインストールしていただくという流れになります。 https://
k8s クラスタを気軽に遊べる環境を作っている - nabeo がピーしているブログ (仮)
k8s のマネージドサービスとして GKE や EKS などで出揃った感はあるけど、マネージドサービスでは k8s クラスタの全ての機能を使うことはできないという認識です。特にネットワークなどインフラよりな低レイヤーな部分はマネージドサービス側でいい感じに隠蔽して、利用者は意識する機会は少ないです。最近は仕事でも k8s など docker コンテナ基盤を扱う機会が増えてきていますが、インフラ屋さんとしてはこのような低レイヤーな部分が気になることがあるので、k8s クラスタを手軽に作れる環境が欲しくなりました。 というわけで、Vagrant を使って手元の仮想環境の管理をしつつ、ansible で k8s クラスタの構築する環境を作りました。ただし、ansible で k8s クラスタを構築する、といっても ansible で完結しておらず、一手間が必要です。というわけで、以下のレポジトリ
ネットワークのテスト自動化に利用できそうなツールまとめ - てくなべ (tekunabe)
はじめに サーバーのテスト自動化といえば、 Serverspec や Testinfra 、infrataster などが有名ですが、ネットワークのテスト自動化については、みんなが口をそろえて名前を出すものがないような印象です。一方で、リスクの観点から設定変更の自動化より先にテストや状態確認の自動化からはじめたいというケースもあるのではないでしょうか。 この記事では、どんなツールや組み合わせがネットワークのテストの自動化に使えそうかをまとめます。 ざっくりとした内容となっていますが、もし誤りや不足などありましたら @akira6592 までご連絡いただけると幸いです。 一覧 名前 タイプ 実機接続 主なテスト内容 言語 NetTester フレームワーク 要 物理ネットワークの受入テスト Ruby pyATS フレームワーク 要 疎通や show コマンド実行結果の妥当性 Python A
Ansible Vault を賢く使う - Qiita
Ansible でパスワードやAPIキーなどの機密情報を扱う場合には ansible-vault を使うことで暗号化されたファイルとして変数を保存できます。 簡単な使い方は以前書きました Ansible Vault を試す しかしながら、ansible-vault はファイル単位での暗号化であるため、暗号化の不要な項目までまるっと暗号化され、どんな変数が定義されているのかすらわからなくなってしまうという問題がありました。 これは結構不便です。 そんなことをずっと思っていたのですが、ふとドキュメントを読んでいたらこの問題の解決策が書いてありました。 Splitting Out Host and Group Specific Data なんと、バージョン 1.4 という ansible-vault 登場(1.5)以前からある機能でした!! が、 As an advanced use-case,
Ansible でネットワーク機器を操作したい時に参考になりそうな日本語情報 - てくなべ (tekunabe)
はじめに 構成管理ツールのAnsible はCisco IOS、NX-OS、Juniper JUNOS、ARISTA、VyOS、等々のネットワーク機器に対応したモジュールもあります。 参考:Network Modules一覧 しかし、比較的最近対応したためか、サーバー系のモジュールと比較すると情報が少ないです。特に日本語の情報が少ないです。 そこで、私が参考にさせていただいたページや、私がQiitaに書いてきたものも含め、日本語のページをまとめておきます。 Ansible 2.1 以降を利用した記事を中心にしています。 全般 Ansibleを用いたネットワーク設定の自動化 概要が紹介されています。 Ansible Network Module 概要、モジュールの分類、対応ベンダなどが紹介されています。 ARISTA+α ネットワーク運用者の為のAnsible ARISTA対応モジュールの使
Ansible の IOS 関連モジュールを試してみる
複数のサーバやクラウドの構成管理に使われる Ansible が 2.1 にアップデートされ、このバージョンから Network Automation がコア モジュールとして正式サポートされています。その一環として、Cisco IOS、Cisco IOS-XR、Cisco NXOS に関するモジュールも Ansible でサポートされるようになりました。この投稿では Cisco IOS に関するモジュールを試してみて、次回以降で具体的なユースケースをご紹介したいと思っています。 現状、IOSに関するモジュールは以下の3つです。 ios_command – Run arbitrary commands on ios devices. ios_config – Manage Cisco IOS configuration sections ios_template – Manage Cisco
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cisco Learning Network