この記事は、Ansible 3 Advent Calendar 2019の22日目の記事です。

昨日分は、よこちさんのNetBoxに関する記事でした。

Ansibleを構成管理ツールとして使う場合、特にTower/AWXを使わない場合、インベントリをAnsibleで管理するか…というのは悩ましい点ですよね。NetBoxも一つの解にできそうですね。

さて、私の分は「またFortigate」です。すみません。

Ansibleのネットワーク系の課題をやると、A10/BIG-IPさんの課題でよく例に出る「ロードバランシング機能」があります。

実は、Fortigateでもロードバランシング機能が存在します。それをAnsibleで利用するまでの流れを記載させていただきます。

Ansible関連の実践記事一覧はこちら。

• 目的
• 最初に結論
• Ansible/Fortigate環境
  • 構成図
  • 前提条件
  • 事前確認
• LB機能が動作する環境を作成する
  • 事前の補足
  • 作業の流れ
  • 作成したPlaybook
    • 1. Feature SetでLoad Balancing機能(表示するか否か)を有効化する。
    • 2. ヘルスモニターを作成する。
    • 3. Virtual Serverを作成する。
    • 4. 作成したVirtual Serverを用いたポリシーを設定する。
• 動作確認
  • バランシング確認
  • NAT確認
  • ヘルスチェック確認(定期監視)
  • ヘルスチェック確認(ダウン時)
• まとめ
• バトンリレー

目的

fortigateでロードバランシング機能を使うためのPlaybookの書き方や、<your_own_value>を明らかにするため

最初に結論

• AnsibleでFortigateのLB機能を一通り設定することができた
  • ヘルスチェックなども問題なく動作することが分かった
• 【残課題】手動での動作確認を、assertなどで実施できるよう学習を進める

Ansible/Fortigate環境

• ansible: 2.9.0
• python: 3.6.8
• Fortios: 6.0.8
• コネクションプラグイン: httpapi

構成図

このような感じの構成で確認を行いました

ロードバランサー的な用語でいうと、「ワンアーム構成」です。

（自宅のネットワーク環境の構成上、これ以外つらいんです。直さねば)

前提条件

• Webサーバはすでに構築されている前提
  • 各々の index.htmlにはホストを示す異なるコンテンツを配備
• Fortigateは、シングル構成、DMZのIFにIPが付与されている程度
  • 前回作成したHA環境は今回は使っていません。
• クライアント(Ansibleホスト)はVIPで提供される「192.168.10.113」にWebアクセスする
  • FortigateがLBとして動作し、ラウンドロビンで各Webサーバにバランシングする
  • ヘルスチェックでDownを検知したサーバには振り分けをしないようにする。
  • Webサーバへ接続する際には、Fortigateのアドレスで送信元NATする。

事前確認

■Webサーバ#1へのアクセス確認
$ curl http://192.168.10.111
Web01(192.168.10.111)

■Webサーバ#2へのアクセス確認
$ curl http://192.168.10.112
Web02(192.168.10.112)

→各Webサーバにアクセスした際、明示的に異なる結果になることを確認

LB機能が動作する環境を作成する

事前の補足

Fortigateのロードバランシング機能は、WebUIのメニュー上は[Virtual Servers]という名称です。

ただ、コマンドは[vip]だったり、[Load Balancing]だったり、いろいろ変わってくるのでちょっとわかりにくいです。

NAT機能部分に[Virtual IP]とか[IP Pool]とかもあるのでお間違え無きよう。

作業の流れ

全体的な作業の流れとしては、以下のようになります。

1. Feature SetでLoad Balancing機能(表示するか否か)を有効化する。
2. ヘルスモニターを作成する。
3. Virtual Serverを作成する。
4. 作成したVirtual Serverを用いたポリシーを設定する。

なお、最初のFeature Setは、無視しても設定は可能です。

作成したPlaybook

いろいろ使ったので、結構長くなりました。 with_item構成にしたほうが恰好がいい(ヘルスチェックのところとか)とも思うんですが、どういう単位でPlaybookを再利用するかによりますかね。個人的にはわかりやすさ重視なのでべた書きでも良い派です。

構成要素ごとに簡単に説明もします。

---
- hosts: fortigate  
  gather_facts: false

  vars:
    web01_address: "192.168.10.111"
    web02_address: "192.168.10.112"
    vip_address: "192.168.10.113"
    vip_name: "Ansible_TEST_VIP"
    tcp_port: "80"
    vip_if: "dmz"
    balance_method: "round-robin"
    policy_srcintf: "{{ vip_if }}"
    policy_dstintf: "{{ vip_if }}"
    policy_service: "HTTP"

  tasks:

#1. Feature SetでLoad Balancing機能(表示するか否か)を有効化する。
  - name: Enable Loadbalance Feature Visibillity
    fortios_system_settings:
      system_settings:
        gui_load_balance: "enable"

#2. ヘルスモニターを作成する。
  - name: Create Health Monitor(PING)
    fortios_firewall_ldb_monitor:
      firewall_ldb_monitor:
        name: "PING"
        state: "present"
        type: "ping"
        interval: "10"
        retry: "3"
        timeout: "2"
        port: "0"

  - name: Create Health Monitor(TCP_80)
    fortios_firewall_ldb_monitor:
      firewall_ldb_monitor:
        name: "TCP_80"
        state: "present"
        type: "tcp"
        interval: "10"
        retry: "3"
        timeout: "2"
        port: "{{ tcp_port }}"

  - name: Create Health Monitor(HTTP_GET_80)
    fortios_firewall_ldb_monitor:
      firewall_ldb_monitor:
        name: "HTTP_GET_80"
        state: "present"
        type: "http"
        interval: "10"
        retry: "3"
        timeout: "2"
        port: "{{ tcp_port }}"
        http_get: ""
        http_match: ""

#3. Virtual Serverを作成する。
  - name: Create VIP Setting
    fortios_firewall_vip:
      firewall_vip:
        state: "present"
        arp_reply: "enable"
        name: "{{ vip_name }}"
        comment: "{{ vip_name }}"
        id: "0"
        extip: "{{ vip_address }}"
        extintf: "{{ vip_if }}"
        protocol: "tcp"
        extport: "{{ tcp_port }}"
        server_type: "http"
        ldb_method: "{{ balance_method }}"
        type: "server-load-balance"
        monitor:
          - name: "PING"
          - name: "TCP_80"
          - name: "HTTP_GET_80"
        realservers:
          - 
            id: "1"
            client_ip: ""
            ip: "{{ web01_address }}"
            port: "{{ tcp_port }}"
            status: "active"
            healthcheck: "vip"
          - 
            id: "2"
            client_ip: ""
            ip: "{{ web02_address }}"
            port: "{{ tcp_port }}"
            status: "active"
            healthcheck: "vip"

#4. 作成したVirtual Serverを用いたポリシーを設定する。
  - name: Create Firewall Policy for VIP
    fortios_firewall_policy:
      state: "present"
      firewall_policy:
        policyid: "2"
        srcintf:
          - name: "{{ policy_srcintf }}"
        dstintf:
          - name: "{{ policy_dstintf }}"
        service:
          - name: "{{ policy_service }}"
        srcaddr: 
          - name: "all"
        dstaddr: 
          - name:  "{{ vip_name }}"
        schedule: "always"
        action: "accept"
        nat: "enable"
        status: "enable"

1. Feature SetでLoad Balancing機能(表示するか否か)を有効化する。

  - name: Enable Loadbalance Feature Visibillity
    fortios_system_settings:
      system_settings:
        gui_load_balance: "enable"

2. ヘルスモニターを作成する。

  - name: Create Health Monitor(HTTP_GET_80)
    fortios_firewall_ldb_monitor:
      firewall_ldb_monitor:
        name: "HTTP_GET_80"
        state: "present"
        type: "http"
        interval: "10"
        retry: "3"
        timeout: "2"
        port: "{{ tcp_port }}"
        http_get: ""
        http_match: ""

3. Virtual Serverを作成する。

  - name: Create VIP Setting
    fortios_firewall_vip:
      firewall_vip:
        state: "present"
        arp_reply: "enable"
        name: "{{ vip_name }}"
        comment: "{{ vip_name }}"
        id: "0"
        extip: "{{ vip_address }}"
        extintf: "{{ vip_if }}"
        protocol: "tcp"
        extport: "{{ tcp_port }}"
        server_type: "http"
        ldb_method: "{{ balance_method }}"
        type: "server-load-balance"

        monitor:
          - name: "PING"
          - name: "TCP_80"
          - name: "HTTP_GET_80"
        realservers:
          - 
            id: "1"
            client_ip: ""
            ip: "{{ web01_address }}"
            port: "{{ tcp_port }}"
            status: "active"
            healthcheck: "vip"

4. 作成したVirtual Serverを用いたポリシーを設定する。

  - name: Create Firewall Policy for VIP
    fortios_firewall_policy:
      state: "present"
      firewall_policy:
        policyid: "2"
        srcintf:
          - name: "{{ policy_srcintf }}"
        dstintf:
          - name: "{{ policy_dstintf }}"
        service:
          - name: "{{ policy_service }}"
        srcaddr: 
          - name: "all"
        dstaddr: 
          - name:  "{{ vip_name }}"
        schedule: "always"
        action: "accept"
        nat: "enable"
        status: "enable"

動作確認

バランシング確認

Ansibleホストからcurlで確認してみたところ、問題なくバランシングされていました。

$ curl http://192.168.10.113
Web01(192.168.10.111)

$ curl http://192.168.10.113
Web02(192.168.10.112)

$ curl http://192.168.10.113
Web01(192.168.10.111)

$ curl http://192.168.10.113
Web02(192.168.10.112)

NAT確認

192.168.10.61 - - [22/Dec/2019:15:27:39 +0900] "GET / HTTP/1.1" 200 23 "-" "curl/7.29.0"

curlでアクセスしている際の送信元IPがちゃんとFortigateのアドレス(192.168.10.61)になっています。

ヘルスチェック確認(定期監視)

サーバ側のアクセスログは以下のようになっていました。

ちゃんとインターバルで定義した10秒ごとにチェックが来ています。 User-AgentがFortiOS 4.0というのがなんとも…

192.168.10.61 - - [22/Dec/2019:12:13:49 +0900] "GET / HTTP/1.0" 200 23 "-" "FortiGate (FortiOS 4.0)"
192.168.10.61 - - [22/Dec/2019:12:13:59 +0900] "GET / HTTP/1.0" 200 23 "-" "FortiGate (FortiOS 4.0)"
192.168.10.61 - - [22/Dec/2019:12:14:09 +0900] "GET / HTTP/1.0" 200 23 "-" "FortiGate (FortiOS 4.0)"

ヘルスチェック確認(ダウン時)

試しにWeb01のhttpdをダウンさせ、動作確認してみます。

$ curl http://192.168.10.113
Web02(192.168.10.112)

$ curl http://192.168.10.113
Web02(192.168.10.112)

$ curl http://192.168.10.113
Web02(192.168.10.112)

$ curl http://192.168.10.113
Web02(192.168.10.112)

ちゃんとWeb02側だけにバランシングされました。

イベントログにもこんな形でログが記録されます。(VirtualServer側には何も出ません)

まとめ

以下のような結果になりました。

• AnsibleでFortigateのLB機能を一通り設定することができた
  • ヘルスチェックなども問題なく動作することが分かった
• 【残課題】手動での動作確認を、assertなどで実施できるよう学習を進める

商用でFortigateをLBとして使うケースはあまりないかも、とも思いますが、中小規模環境で、予算が削られて個別のLBが買えない、なんていう場合には利用できるかもしれません。(性能面は要検証です)

今回は試していませんが、SSLオフロード用機器としても利用できそうです。 また、今回はIPv4のみですが、IPv6や64/46も可能なようです。

なんかAnsibleというよりFortigate機能検証みたいな形になっていますが、どなたかのお役に立てれば幸いです。

バトンリレー

前回に引き続き、今回も無事にバトンをつなぐことができました。

お次は、@atsushi586さんです。

よろしくお願いいたします！

Advent Calenderの時期で、私もAnsible 2 Advent Calender 2019にエントリしていますが、空気を読まずに通常投稿！！

先日の記事にも書きましたが、我が家の検証用のFortigateが2台構成になりました。

最終的にHAを組むつもりなので、各々のバージョンを合わせるために、Ansibleでファームアップを試みてみましたので、それを記録しておきます。

Ansible関連の実践記事一覧はこちら。

• 目的
• 環境
• fortios_system_firmware_upgradeの手法毎の結果
  • source: usbの場合
  • source: fortiguardの場合
    • ダウングレードの場合
  • source: uploadの場合(未達成)
• まとめ

目的

AnsibleによるFortigateのファームアップにおけるPlaybookに必要なパラメータを明らかにするため

※モジュールのリファレンスが<your_own_value>ばかりで困るんです…

環境

• ansible: 2.9.0
• python: 3.6.8
• Fortios: 6.0.4->6.0.8
• コネクションプラグイン: httpapi

※途中の過程でFortios5.6でも試しかけましたが、fortios_factsすら通らなかったので断念。

やっぱり5.6系(fw02)だとfactsでもだめか… pic.twitter.com/GTEH2AWevC

— tatematsu_san (@tk4_jj) 2019年12月8日

fortios_system_firmware_upgradeの手法毎の結果

source: usbの場合

事前準備として、ファームアップ用のファイル(.outファイル)をUSBメモリに入れ、本体に接続します。

その後、以下のようなPlaybookで、問題なくファームアップが実施できました。

最後にdebug仕込んでますが、Reboot入ってしまうのでエラーになります。(うろ覚えなので、確認後修正するかもしれません。)

ただ、処理はちゃんと実行されていて、Reboot後には新しいファームで起動してきます。

---
- hosts: fortigate
  gather_facts: false
  vars:
    vdom: "root"

  tasks:

  - name: Perform firmware upgrade with firmware file on USB.
    fortios_system_firmware_upgrade:
      vdom:  "{{ vdom }}"
      system_firmware:
        filename: "FGT_60D-v6-build0303-FORTINET.out" #USBメモリ上のファイル名を入れる
        format_partition: "yes"
        source: "usb"
    register: fortios_system_firmware_upgrade_result
  
  - name: Debug
    debug:
      var: fortios_system_firmware_upgrade_result

source: fortiguardの場合

事前準備として、ファームアップ用のファイル名が必要になります。

この「ファイル名」が曲者でして。「オンラインなのにファイル名…？」となりました。バージョンの指定とかならわかるんですが。

• USBでやったときの結果と同じファイル名でやってみる→NG ( "FGT_60D-v6-build0303-FORTINET.out" )
• ターゲットにしているバージョンを入れてみる→NG ( "v6.0.8" )

■NG時の出力(Playbookの実行結果のstateとしてはokになります)

"results": {
    "error": "download_failed",
    "status": "error"
},

頭を悩ませていたんですが、fortios_factsに「system_firmware_select」というfactがあったことを思い出しまして、以下のPlaybookを実行。

■fortios_facts実行用のPlaybook

---
- hosts: fortigate
  gather_facts: false

  tasks:
  - name: Get Facts.
    fortios_facts:
      gather_subset:
        - fact: 'system_firmware_select'
    register: getfact_result

  - name: Debug
    debug: 
      var: getfact_result

その結果、以下のようなJSON形式の情報が戻ってきました。

■fortios_factsの出力結果

"results": {
"available": [
    {
        "branch-point": 303,
        "build": 303,
        "id": "06000000FIMG0009900008",
        "major": 6,
        "minor": 0,
        "name": "FortiOS",
        "notes": "http://docs.fortinet.com/d/fortios-6.0.8-release-notes/download",
        "patch": 8,
        "release-type": "GA",
        "source": "fortiguard",
        "version": "v6.0.8"
    },
    {
        "branch-point": 302,
        "build": 302,
        "id": "06000000FIMG0009900007",
        "major": 6,
        "minor": 0,
        "name": "FortiOS",
        "notes": "http://docs.fortinet.com/d/fortios-6.0.7-release-notes/download",
        "patch": 7,
        "release-type": "GA",
        "source": "fortiguard",
        "version": "v6.0.7"
    },
(中略)
],
"current": {
    "branch-point": 231,
    "build": 231,
    "id": "current",
    "major": 6,
    "minor": 0,
    "name": "FortiOS",
    "notes": "http://docs.fortinet.com/d/fortios-6.0.4-release-notes/download",
    "patch": 4,
    "platform-id": "FGT60D",
    "release-type": "GA",
    "source": "current",
    "version": "v6.0.4"
}

この中のどれかか…とあたりを付け、ファイル名になりそうな「id」という情報を試しに入れてみました。

結果、Playbookの実行が即download_Failed　などにはならず、待ち状態→Timeoutっぽい形でfailedになりました。

■作成したPlaybook

---
- hosts: fortigate
  gather_facts: false
  vars:
    vdom: "root"

  tasks:

  - name: Perform firmware upgrade with firmware on fortiguard.
    fortios_system_firmware_upgrade:
      vdom:  "{{ vdom }}"
      system_firmware:
        filename: "06000000FIMG0009900008" #v6.0.8の場合の「ID」の値を記載
        format_partition: "yes"
        source: "fortiguard"
    register: fortios_system_firmware_upgrade_result
  
  - name: Debug
    debug:
      var: fortios_system_firmware_upgrade_result

しばらく放置すると、コンソール画面に変化が現れ、ファームアップのシーケンスに入ってくれて、その後自動で再起動→ファームアップが完了しました！！

というわけで、【source: fortiguardを利用する場合のfilenameにはfortios_factsで取得できる対象ファームウェアの「id」を入れればいい】ということがわかりました。

これも最後にdebug仕込んでますが、ファームウェアのダウンロード中の段階でTimeoutを迎えてエラーになります。ただ、処理はちゃんと実行されていて、Reboot後には新しいファームで起動してきます。

試しにPlaybook実行時に--timeout=6000 とオプションを入れてみましたが変わりませんでした。

httpapiのtimeout値をいじればもしかしたら戻りが取れるのかもしれません。また調べてみようと思います。

ダウングレードの場合

試しに、6.0.8-＞6.0.7を同じやり方で試してみたんですが、ダウングレードは始まりませんでした。

ファームウェア関連は、WebUIで見ると、こんな画面になります。(System -> Firmware )

上手く行かない理由は、この部分の「Confirm version downgrade」に当たる部分がモジュール上存在しないからかな、と予想してます。

(WebUIでやる場合には、問題なくダウングレードも実施可能です)

source: uploadの場合(未達成)

おそらく、Ansibleを使う時点でUSBはないな、と思ってます。そうすると、本命はfortiguardか、このupload。

なんですが。

なぜbase64エンコードをする必要があるのか…

モジュール側で処理してくれればいいのにと思いながら、ちょっと試してみましたが、上手く行かず。

■作成したPlaybook(失敗してます)

---
- hosts: fortigate
  gather_facts: false
  vars:
    vdom: "root"

  tasks:
  - name: Perform firmware upgrade with firmware file Upload File.
    fortios_system_firmware_upgrade:
      vdom:  "{{ vdom }}"
      system_firmware:
        file_content: lookup('file', '/home/ansible/ansible-playbook/fortigate/F60Dv608_base64')
        filename: "FGT_60D-v6-build0303-FORTINET.out"
        format_partition: "yes"
        source: "upload"
    register: fortios_system_firmware_upgrade_result
  
  - name: Debug
    debug:
      var: fortios_system_firmware_upgrade_result

外部でbase64化したものをlookupで読ませたんですが、失敗してます。

これは余裕がある時にもう少し別の方法を試してみます。

まとめ

最後の「upload」はまだ未完了ですが、FortigateのファームアップもAnsibleで実行できることが確認できました。

uploadのものも、fortiguardほどはわからなくはないと思いますので、また折を見てやってみます。

●残課題

• uploadでのbase64での実践
• fortiguard/uploadで発生するtimeoutを伸ばして、処理結果を取得する方法

Ansibleのfortios用のモジュールには、バックアップモジュールはありません。

実際には、fortios_configというモジュールで取得ができたようなのですが、pyFGが必要なようです。

自分の環境ではpyFGが入らないので、うーんと思っていました。(細かい原因は追ってません…)

先日書いた汎用のuriを、こちらのブログを参考にして少しいじったら、バックアップを取得することができました。

参考にしたブログではAPI_KEYを利用されていましたが、現時点ではセッションのCookieでも取得は可能でした。(将来が若干不安ではありますが…)

Ansible関連の実践記事一覧はこちら。

作成したPlaybook

---
- hosts: fortigate  
  gather_facts: false

  vars:
    api_type: "monitor"
    api_path: "system"
    api_name: "config"

  tasks:
  - name: Login
    uri:
      url: https://{{ ansible_host }}/logincheck
      validate_certs: no
      method : "POST"
      force_basic_auth: yes
      body_format: "form-urlencoded"
      url_username: "{{ ansible_user }}"
      url_password: "{{ ansible_password }}"
      body:
        - [ username, "{{ ansible_user }}" ]
        - [ secretkey, "{{ ansible_password }}" ]
        - [ ajax, "1" ]
    register: http_response
    
  - name: GET Config Backup
    uri:
      url: https://{{ ansible_host }}/api/v2/{{ api_type }}/{{ api_path }}/{{ api_name }}/backup?scope=global
      validate_certs: no
      method: "GET"
      headers:
        Cookie: "{{ http_response.set_cookie }}"
      return_content: yes
    register: get_obj

  - name: Backup File
    copy:
      content: "{{ get_obj.content }}"
      dest: ./backup.txt # バックアップ出力先指定

取得できたバックアップ

2バイト文字もばっちり。

うーん、この参考にしたブログの方はAPIリファレンスお持ちなのかな…

やっぱりフル活用するにはAPIリファレンスが読みたいなあ…