めずらしくAnsible系以外の記事になります。

Repsonaというプロジェクト管理ツールが個人的に気に入っていて、会社でも使いたいなーと思っているのですが、会社のHTTPS復号環境だと、ログイン画面の直前でWebSocket用のJavaScriptの読み込みで失敗するようでした。

ひたすら、これが出る感じですね。 pic.twitter.com/1mi3CCX9EC

— tatematsu_san (@tk4_jj) 2020年7月12日

↑再現させた自宅での環境もこんな感じ。

Repsonaの開発者の ガッシー( @GussieTech ) さんと会話をする中で、検証環境用にHTTPS復号プロキシを簡単に立てられないかなと思い、実際に立ててみました。その作業メモを残しておきます。

• 環境
• 手順
  • Squidのインストール
  • オレオレ認証局の証明書と鍵の作成
  • 認証局証明書の取得、信頼するルートCAへのインポート
    • 設定→オプション→「プライバシーとセキュリティ」→「証明書」
    • 証明書マネージャ→「インポート」
    • 対象のpemファイルを選択し、「開く」
    • インポートダイアログで「この認証局によるウェブサイトの識別を信頼する」にチェックし「OK」
    • インポートした認証局の情報が表示されることを確認。（ここでは、Default Company Ltd）
  • 証明書ファイルの所有者・権限の変更
• 証明書キャッシュの作成と初期化、所有権の変更
  • /etc/squid/squid.confの修正
  • firewalldの設定追加
  • SELINUXのPermissive
  • サービスの起動と動作確認
  • クライアントのプロキシ設定と動作確認
  • 上手く行かない時は…
• まとめ
• 参考にさせていただいたサイト

環境

• OS: CentOS Linux release 7.7.1908
• squid: 3.5.20
• クライアント用ブラウザ: Firefox 78.0.2

手順

Squidのインストール

yumコマンドでインストールを行います。

$ sudo yum -y install squid

インストール後、バージョン確認と有効になっているOptionを確認。

$ squid -v 
[ansible@proxy2 ~]$ squid -v
Squid Cache: Version 3.5.20
Service Name: squid

以下のように、有効になっているオプションが表示されますが、このなかで赤字にしてある2点(--enable-ssl-crtd , --with-openssl)が入っていれば、HTTPS復号プロキシは利用可能です。

configure options: '--build=x86_64-redhat-linux-gnu'(略) '--enable-snmp' '--enable-ssl-crtd' '--enable-storeio=aufs,diskd,rock,ufs' '--enable-wccpv2' '--enable-esi' '--enable-ecap' '--with-aio' '--with-default-user=squid' '--with-dl' '--with-openssl' '--with-pthreads' '--disable-arch-native' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches (略)

オレオレ認証局の証明書と鍵の作成

Squidのディレクトリに移動し、オレオレ認証局の証明書と鍵を作成します。

$ cd /etc/squid

$ sudo openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout secret.key -out squidCA.pem

Generating a 2048 bit RSA private key
...........................................................................................................+++
..................+++
writing new private key to 'secret.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:hogehoge
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:hogehoge.com
Email Address []:

#↑の部分は対話式で入力していきます。

結果、以下のように認証局証明書(squidCA.pem)と秘密鍵(secret.key)の作成が完了しました。

認証局証明書の取得、信頼するルートCAへのインポート

SCPなどを用いて、squidCA.pemをプロキシクライアント端末へ取得し、ブラウザの証明書ストアへインポートします。

※DER形式へのコンバートコマンドなども書いてありますが、FireFoxであれば、pemでそのままインポート可能でした。

設定→オプション→「プライバシーとセキュリティ」→「証明書」

証明書マネージャ→「インポート」

対象のpemファイルを選択し、「開く」

インポートダイアログで「この認証局によるウェブサイトの識別を信頼する」にチェックし「OK」

インポートした認証局の情報が表示されることを確認。（ここでは、Default Company Ltd）

証明書ファイルの所有者・権限の変更

以下コマンドを入力し、証明書ファイルをsquid:squidの所有権に変更します。

$ sudo chown squid:squid squidCA.pem
$ sudo chmod 400 squidCA.pem

証明書キャッシュの作成と初期化、所有権の変更

以下コマンドで、証明書キャッシュの作成と初期化を行います。

なお、参考サイトで記載しているカスペルスキーさんのところでは「/usr/lib/squid/ssl_crtd 」となっていますが、最近の環境では、下記のように「/usr/lib64/squid/ssl_crtd」に修正する必要があると思います。

$ sudo mkdir -p /var/lib/squid
$ sudo /usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

Initialization SSL db...
Done

$ sudo chown -R squid:squid /var/lib/squid

/etc/squid/squid.confの修正

以下の箇所の変更を行います。

# Squid normally listens to port 3128
#http_port 3128　#コメントアウト
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/squidCA.pem key=/etc/squid/secret.key #追加

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 4MB #追加

sslcrtd_children 5 #追加

ssl_bump server-first all #追加

sslproxy_cert_error deny all #追加

firewalldの設定追加

Squid用のTCP3128について、着信を許可します。

$ sudo firewall-cmd --add-port=3128/tcp --zone=public --permanent

success

$ sudo firewall-cmd --reload
success

$ sudo firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources:
  services: dhcpv6-client ssh
  ports: 3128/tcp  #これが出てればOK
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

SELINUXのPermissive

Enforceのままだと証明書キャッシュの生成に失敗するので、とりあえずPermissiveにします。(怒られそう）

$ sudo setenforce permissive

サービスの起動と動作確認

systemctlコマンドでsquidサービスを起動します。

$ sudo systemctl start squid

クライアントのプロキシ設定と動作確認

プロキシを以下のように設定。

以下のように、HTTPSサイトにアクセスしたときに証明書の認証局が書き換わっており、SquidのアクセスログにHTTPSでアクセスした詳細なパス情報が記録されていればOK。

$ sudo cat /var/log/squid/access.log | grep news.yahoo

1594645647.847     78 192.168.10.243 TAG_NONE/200 0 CONNECT news.yahoo.co.jp:443 - HIER_DIRECT/182.22.25.124 -
1594645647.946     91 192.168.10.243 TCP_MISS/200 29546 GET https://news.yahoo.co.jp/pickup/6365311 - HIER_DIRECT/182.22.25.124 text/html
1594645649.292     56 192.168.10.243 TCP_MISS/200 8623 GET https://news.yahoo.co.jp/comment/plugin/v1/short/? - HIER_DIRECT/182.22.25.124 text/html

上手く行かない時は…

だいたい、/var/log/squid/cache.logか、/var/log/messagesに理由が書いてあります。

• 初期化されていない系→案内通りにやってみる。だめならSELINUX設定見直し。

Uninitialized SSL certificate database directory: /var/lib/squid/ssl_db. To initialize, run "ssl_crtd -c -s /var/lib/squid/ssl_db".

• 証明書が有効でない系エラーの場合→squid.confと、証明書ファイルのアクセス権の見直し。

まとめ

大分雑な環境ですが、こんな形でSquidでHTTPS復号を行うプロキシサーバを立てることができました。

実運用考えた場合、squidのスタートアップだけでなく、SELINUXもConfigいじったりしないといけませんし、復号除外用のACLが書けるような設定にしたり、プロセス数をチューニングしたりと色々考える必要がありますので、そのあたりは適宜調整していただければ。

何かのお役に立てば幸いです。

今度はこれ、Playbook化しよっと。

参考にさせていただいたサイト

カスペルスキーさんのサイト

Squid で SSL Bump なプロキシサーバを構築する - 約束の地

先日開催された、Ansible Night オンライン2020に参加しました。

ansible-users.connpass.com

その際の資料や感想について記録したいと思います。

「Ansibleとドキュメント〜公式ドキュメントにあるエモい表現〜」RedHatさん

資料

drive.google.com

感想

RedHatの燃脇さん、齋藤さん、中村さんが、Ansible Engineのドキュメントのエモい表現を語る！ということで、いろいろとぶっちゃけトークが聞けました。

曰く、「Ansibleのドキュメントは稀に見るフリーダムさ」なんだそうです。

実装されてもいない、幻の夢機能が記載されてた時期があったとか…

資料にも記載がありますが、「ヒント、ヒント」なんて、確かに他では目にしないですね…

なお、翻訳チームのおかげで、Ansible 2.9のドキュメントが「日本語化」されたそうです！！素晴らしい！今後ともよろしくお願いいたします！

これでますますAnsibleに触れる人が増えることを祈っております。

アンケートの話題のときの、齋藤さんの「そもそもドキュメントみない？ああ、ソースコード読んでるからドキュメントいらないってことですね」にはさすがに吹きました。

「AnsibleでNW自動化を進める人に伝えたいこと」by @usagi_automate さん

資料

www.slideshare.net

感想

エーピーコミュニケーションズの三枝さんの、NWモジュールを使う上でのサーバモジュールとの違いについて、詳細に解説頂きました。

サーバ系のモジュールと異なり、ネットワーク系モジュールはモジュールの実行がAnsible実行ノード上となり、pingモジュールは疎通確認にならないなど、NWモジュールを触り始める際の要注意点や、冪等性に関する落とし穴（CLIだとスペースを補完してくれるが、冪等性的には異なる設定となるため毎回Changedになる)などをご紹介いただきました。

私もNW屋さんなので、Ansible触り始めのときには疎通確認にも苦労した覚えがあります。この資料を見て少しでも多くのNW屋さんがAnsibleに親しんでもらえればうれしいですね。

他作Playbookを実行することになって読みにくかった話 by @dayamaguchi1さん

資料

speakerdeck.com

感想

エイチームの山口さんの、タイトルから不安を感じるLTです。

山口さんは、一般男性氏の元同僚で現同僚さんとのこと。仲良しか！

元同僚、現同僚です

— 一般男性 a.k.a 陽だまりの草原 (@aabbss757) 2020年6月23日

Ansibleにおけるいい点で「誰でも同じ作業ができる」というのがありますが、そんなAnsibleでも条件分岐などでよくわからない条件が設定された結果、なんで動くかよくわからないという悲しいPlaybookに頭を悩まされたそうです。

私は一人でAnsibleやってるので、引継ぎとかうらやましい限りだったりするのですが、他のスクリプトでも条件分岐はちょいちょいハマってますので、Playbookを自作するときはわかりやすさを心掛けたいなと肝に銘じました。

Ansible roleのCIをGitHub Actionsで行う by @ma2muratomonoriさん

資料

github.com

感想

普段からTwitterでもAnsibleを用いたCI/CDについて、様々な見解をつぶやかれている@ma2muratomonoriさんの、GitHub Actionsを用いたCIに関するLTでした。

CentOS7に対してcowsayをインストールする際の実際のサンプルコードを用いたCIのイメージを詳細に解説していただきました。

複数のVMが並列で起動しテストを実施する例の中で利用されたAnsibleは最新βの2.10.0b1とansible-base!!

バージョン違いも並列で簡単にチェック対象にできるというのは、やはりIaCの強味だなあと改めて思いました。

なお、その後AnsibleとMoleculeについてのこんなツイートもされていました。またお勉強させていただきます！

ふと思ったがMolecule簡単だとAnsible Nightでは言ったが

自分の場合はYouTubeのハンズオン動画を3本ほど観て次の3時間でGitHub Actionsに入れられたのだが

そもそもの前提が

- 英語の動画でも観て理解出来る
- GitHub Actionsが分かる

なので当てはまる人がそもそも少ないのかも知れない…

— matsumuratomonori (@ma2muratomonori) 2020年6月24日

Kubernetesクラスタ構築を例に既存の作業をAnsible化するポイント by @zaki_hmkcさん

資料

speakerdeck.com

感想

やきうの人のLTでした。

kubeadmという、K8S公式インストーラの一つを用いたK8Sクラスタ構築自動化に関するPlaybookの紹介と、実際の構築におけるkubeadmのドキュメント上の要注意ポイントなどを解説していただきました。

実際のPlaybookはこちら。（↓）

github.com

業務でK8S触る予定ないのですが、簡単に構築できるなら少し試してみようかな…？

センセイ、よろしく！！！(ゝ∀・＊)

やきうの人です←

ちなみに発表に入らなかった話で、kubeadmでk8s構築を自動化すると、CentOS7インストール直後のVMからだと、1master/2workerでウチの一般的な回線で6～10分くらいで構築できます(・∀・)

» Ansible Night オンライン！2020.06に参加しました。 - てんこ https://t.co/lxb3EhZbcO

— z a k i (@zaki_hmkc) 2020年6月25日

AWXのプロジェクトを自動同期させたい by @nnstt1 さん

資料

speakerdeck.com

感想

Twitter上でもよくやり取りをさせていただいている、ののしさんの初LT！

「Ansibleユーザ会への物理参加」という、地方民にとてもわかりみの深い目標を掲げてらっしゃいました。私も地方なので初参加のときはテンションあがりました！

内容は、GitLabとAWXを連携させた自動同期ということで、Moleculeまで既に使いこなされており、自分もNWだけでチマチマ遊んでいる場合ではないなあと改めてMoleculeの学習の必要性を感じました。

いつか現地で自動化Tシャツで集合写真撮りましょうね！！

Moleculeのdelegatedドライバ + OpenStackでAnsibleのテストを行う by @miyamadoKLさん

資料

感想

最後はマイクロアドの長田さんの、Moleculeのdelegatedドライバに関するLTでした。

Moleculeのテストを、Dockerコンテナ以外のOpenStackやネットワーク機器などの環境で利用する場合に使う機能とのことで、仮想アプライアンスが用意されないような機器を触っている私も、身に着ける必要がありそうな内容でした…！

とはいえ、現時点ではMoleculeあまりにも無知なので改めて学習してから復習させていただこうと思います！

全般を通して

Molecule祭りだったなーという印象です。昨年のRedhatさんのイベントで「皆さん、Molecule使ってますよね？」と言われてからも全く手を付けていませんでしたが、いい加減覚えていかないといけないなあとヒシヒシと感じました。

ただ、あんまり急いでもアレなのでマイペースで学習を進めていきたいなあと思います。

皆さん結構Ansible Automatesからのハシゴをされていたような感じで、ほとんど聞けなかった私としてはとてもうらやましかったです。(Automatesの内容については、後日配信されるアーカイブ動画などをまた視聴させていただきます。)

ちなみに、ツイートランキングではなんと1位を頂いたそうです。あまり内容のないツイートばかりで申し訳ない…^^;

Ansible Night オンライン！ 2020.06のツイート集計結果のTOP10の方々です！！@tk4_jj@mopoki2696@anikinthos@xzr_tw@answer_d@ZOLLVEREIN1213@maguro_infra@yassan168@Y0u281@yuta_k0911

AnsibleJPボスへDMしていただければ良い物がもらえると思います！！

AnsibleJPボス: @fideleruuth

— 日常系インフラ自動化もふもふおじさん@Ansible x VMware (@sky_jokerxx) 2020年6月23日

Ansible飯

Ansible Nightオンラインの後、ZoomでのリモートAnsible飯が開催され、自動化Tシャツ＋顔出しで参加をさせていただきました！

途中、よこちさんのZoom画像をそのまま背景にしたりとZoomの背景をいろいろといじって遊んでいました。いたずらしてすみません。

ほぼほぼ自己紹介で終わってしまいましたが、これまでお会いしたことのある方、はじめましての方も含めて、様々な社外のエンジニアの方とリモートでも交流できるのはやはり楽しいなあと感じました。

コロナ禍で年内中は厳しいと思いますが、また落ち着いたら恵比寿で開催していただいて、その際には現地参加で直接顔を合わせたり、LTをしたいなと思いました。

それにむけて、もっとつよつよにならねば…！