#ssmjp

ssmjp 2018/10 Ansibleを語る回@dmm.com に参加してきました。

今回はAnsibleのお話です。

Ansible ではじめるサーバー・ネットワークの自動化 (Ansible2.7情報つき)@akira6592さん

Ansibleではじめるサーバー・ネットワークの自動化（2018/10/12） from akira6592

Ansibleの概要としては

シンプル（Playbook）

パワフル（多数のモジュールがあってサーバ、クラウド、NW機器向

エージェントレス

というのがあり、シェルと比較すると

モジュールを利用することでコマンドを直接書かなくてよい

エラーの扱いが楽

冪等性がある

ほかのAnsibleと連携できる

などの特徴がある。動作環境はPython環境があればよい。

Ansibleの構成要素としては

インベントリ：対象のホスト情報（IPアドレス、ホスト名。グループ化も可能）

モジュール：機能単位。利用するモジュールとオプションを利用。yumモジュールやios_configモジュールなど、現在は1900以上ある。（モジュール一覧はコチラ）

Playbook：構成定義。YAMLフォーマット。スペースの数で構造定義をしてる

ansible.cfg：環境設定。Ansibleの動作を決める

2.7アップデート情報は

230以上のモジュール追加(GCP絡みが増えた）

コントロールノードでPython2.6非サポート

pipモジュールで、nameのリスト指定とバージョンが併用可能になった

無効なタスク属性がデフォルトでエラーに（2.6まではWARNING)

CHANGELOGはコチラ

やはり公式文書を参考にして色々なモジュールを探したりしながらやっていくのが基本みたいです。

定期的にもくもく会を開催していたり、Slackもあるので気楽に参加して下さいとのことです。

Ansibleで始めるNW設定の自動化について 〜Cisco(VIRL)編〜 (仮)@すがいさん

AnsibleではじめるNW設定の自動化について - Cisco(VIRL)編 - from Yasuyuki Sugai

モジュールを使って色々なNW機器に設定できるんだけど、イマイチ情報が少ないので実演してみるというお話。

まずVIRLの紹介

CiscoのNWシミュレータ。有償だけど便利

環境をVMイメージで配布

スペックは結構求められる

NW構成の作成も自由に簡単にできる

VIRL外のNWにも接続可能

他ベンダーのOS（BigIPとかFortigate）も搭載可能

VIRLはOpenstack構成

最大5ノードでクラスタを組める

次はngrokの紹介

ローカルのPORTをSSHトンネルで公開できるngrok（https://ngrok.com/）が便利

実際にやってみる

モジュールがたくさんあるので公式から探す

モジュールだけではできないことがまだあるので、 割り切りが大事 

ios_configモジュールというコマンドを直接送り込むこともできる。show run との差分を見てから実行する

playbookを固定化し、動的なものは変数化したい

NW自動化に向けた課題

複雑になり定型化できない

管理するパラメータが多い

問題があった時の切り戻し

質疑応答

Q.初期はipアドレスすらない状態だが、そういったところの自動化はどうするのか。

A.初期設定はどうしても手作業になっちゃうけど、変更の多いNW機器だとメリットがあるのでは。

@akira6592さんからの回答

IP到達性のないネットワーク機器をコンソールサーバー経由Ansibleで操作するというのを、Interopでセイコーソリューションズさんが参考出展されていました。 #ssmjp https://t.co/WijJPg0J6B

— よこち(yokochi) (@akira6592)

2018年10月12日

Q.モジュールの粒度が細かいので、まとまった便利なモジュールないのか。探すのが面倒

A.ないので、機器に対応したものを選ばないとだめ。モジュールはベンダー機器に合わせたものをキャッチアップしていくほうが確実

残念な現場にAnsibleを適応してみた過去と現在と未来@togakushiさん

割と非公開ネタ114ページ

残念な情報は非公開。面倒かつ非効率なことが多く大変なところにAnsible導入

踏み台が複数あるような複雑な環境も工夫してAnsibleで乗り切れた

ssmjp 2017/12 に参加しました。こんかいは波田野さん祭りだそうです。

一応運用（一人情シス）をやってる人間なので気になるところ。

運用現場におけるSRE本の「正しい」読み方

@tcshさんによる発表。今年発売されて話題になったSRE本のお話。

資料はSpeakerDeckに上げて頂いているので、印象に残ったことを書きます。

SREは未確定の概念

SRE本から得られる財産は、本を読んだ後の疑問

各章は筆者の主観が濃く、読み手のスキルや経験によってブレる

hbstudy#74で翻訳者の玉川さんが登壇してくれた動画をYoutubeで見ろ

Googleはできないことを精神論で片づけない集団

Googleはドキュメンテーション、理論ができることが前提の博士号の集団

自分らはどうか？Googleか？

基礎を学んでいない人が多い

組織は局所最適化になりがち

マトモなドキュメントがないのが普通

Googleに近づけるか？

社会人大学？

ベンチャーや小さい組織でもない限り、一から考えられない

ドキュメントなら出来そう。書け

実装は一時のモノですが、ドキュメント化された理論には計り知れない価値があります。

SRE本で疑うところ

運用＝Operationなのか

日本語の「運用」には活用という前向きな意味が含まれている

英語の「operation」は機械操作や作業中のプロセスと言った受け身の意味合い

原文のOperationを「運用」と捉えると危険？

SRE本の歩き方

その1

まずはUNIXという考え方を読む

その２

そのあとにSRE本を読む

その3

超重要な章

序文

重要

2部 原則

4部 管理

参考になる

はじめに

1部 イントロダクション

まとめ

1週目は不要

3部 実践

final（この軸からブレない）

実装は一時のものですが、ドキュメント化された理論には計り知れない価値があります。

もしそこらへんの運用担当者が波田野 裕一の『「運用改善」を考える 〜「自動化」を考える前に』を読んだら(もしハタ)

@Typhon666_deathさんによる発表。資料は非公開。

波多野さんのスライドを読み込んで自身の業務に生かしたお話です。

参考資料はこれとこれです。

移動先の運用環境が良くなくて戸惑うことが多かった

引継ぎがない

運用でカバーではなく、残業でカバー

問い合わせ管理がない

インシデント管理、構成管理が不十分

対応方針もよくなかったので、見直すことにした

See（現状把握）/Plan（計画）/Do（実行）のやり方でやった

課題を1つずつ洗い出し、対策を行った

やり方を変えたりツールを導入した

クラウドを使って開発効率が上がった

やったことは他部署と共有し、事業全体の最適化

インターン生にもやってもらった

構成管理ツールの導入

Saucsという脆弱性管理サイトを活用

owasp dependency checkの活用

VulsとDCを組み合わせた運用設計

運用設計には痛みが必要だが、経験の少ないインターン生はよくやってくれた

「手順書の話」

@togakushiさんによる発表。手順書を作るときに意識していることだそうです。

手順書とは（定義）

仕事はINPUT⇒PROCESS⇒OUTPUTに分解できる

手順書も同じではないか

INPUT（目的）⇒PROCESS（手順）⇒OUTPUT（結果）

PROCESSの練りこみ

プログラムに似ている

人を処理する

エラー（例外）は全部止まればいい

エスカレーション

確認して自己修復して再実行

粒度

依存関係

排他処理

５W1H

良い手順書

明確

何も考えなくてよい

準備されている

時間の見積もり

PROCESS以外にも機器の準備などで時間がかかるので、そういう部分も考える

リファクタリング

まとめられる部分は無いか

間違えやすい場所は無いか

デバッグ

危機管理

事故は起こるさという歌がある

質問タイム

手順書のレビューは担当者を混ぜるとグダグダになりがち

最低3回はやってる。回数を重ねてブラッシュアップするしかない。

運用自動化、不都合な真実

@tcshさんによる発表。本日2回目。

今回も資料はSpeakerDeckに上げて頂いているので、印象に残ったことを書きます。

駄目な自動化

担当者が自動化の漏れを負担してることが多く、運用でカバーは変わらない

EOLやOS、言語のバージョンアップで顕在化し、破綻することが多い

運用自動化負のループ。忘却期がクセモノだが、業界の定理

運用自動化は運用標準化の1つ

運用業務をコードレベルまでドキュメント化して実装する事

工数がかかるので全て実装しなくてもいい

運用自動化されれば定型化されるわけではない

運用自動化は目的化しやすい

あくまでも効率化の手段

やたらと自動化したがる人を疑え

運用自動化の3つの不都合な真実

自動化は硬直化を生む

自動化されたシステム自体が属人化

やれるところから自動化したせいでキメラ化

保守も変更もできないmonolithicな自動化群の誕生

自動化の寿命は短い

作製直後が最高の価値であっという間に陳腐化⇒負債化

ではどうしたらよいか

手短に作る。使い捨てる気持ち

ただし設計書やWhyは残す

ドキュメントは資産、ツールは揮発物

自動化は外との接点（I/F）から始める

小さく自動化

疎結合

もしもの時の手動対応まで想定して自動化するのがプロ

ただ自動化してもビジネス的には無意味

成果が適正品質、適正コストであればよい

ぬくもりのある手作業の方がお金は稼げる場合

工数当たりのアウトプット増大をめざす

工数削減を目的化しない

最終的にはゼロになってしまう

感想

SREとか自動化がBUZZった昨今ですが、 @Typhon666_deathのように1つずつしっかりと解決していくのが現実的なんだなあと思いました。

4年くらい前に突然一人情シスを命じられ、途方に暮れて「運用」をググりまくってる時に見つけたのが波田野さんでした。

クラウドやSRE、自動化と言った流行り廃りがありますが「運用」は不滅です。

最初はTumblrに書いたんだけど相変わらず日本語とMarkdownの扱いが💩だったのでesaに書きました。

https://esa-pages.io/p/sharing/1208/posts/83/addc0f35ddd0a5877b4d.html

運用系勉強会ssmjpの2016年AdventCalerndar23日目です。

勉強会そのもので何かを話すということは今でこそありふれたことだと自分は思っているのだけど、そうでない人もいる。発表はIT関連じゃなくてもいいと思うんですね。 そんなわけで、いつかのssmjpで養鶏の話をした人です。

ssmjpの中ではかなり異端な話だったのではと思うけど、内容としてはそこまで難しいことはしていなくて。 何かを調べるための好奇心を捨てないこと、実行に移してみることを強調したいエントリです。手前味噌ですが「養鶏の話」の裏の話をしたいと思います。

養鶏について特に事前知識などなく（自分は畜産関係者でもありません）、自分で調べることができる範囲で予習しまして、新聞・雑誌・専門誌・業界紙など、活字で読めるものはその当時の資料は集めて読んでいました。ITエンジニアにとって養鶏は疎か畜産の分野というのは謎に包まれているに近いもので（逆も然りだと思うけど、前佛さんのような方もいるしなあ…）、日頃ITがわからない人たちを相手にしているエンジニアがその逆に置かれたときに「こういう感覚なのだな」というのは得難いなと思います。

養鶏を取り巻く環境を調べて行くと、当然ITやソフトウェア開発とは全然違う世界があって、でも共通するようなトピックもあるわけです。例えば、リスク管理（施設の安全管理、衛生管理）のような話もあるし、生産性を最大限にしたいといった話もあるため、自分の知っている知識に倣って落とし込み理解していくようになります。こういう、異業界の理解が進むときが楽しい。

その次に考えるのは実体験です。誰でもそうですが相当のモチベーションがなければ「実際に見に行こう」にはならないですよね。どこに見に行けばいいのかわからないしどこに養鶏場あるのか知らないし…なので人に頼るほうが良かった。あちこちに電話（メール対応してないとこが多い）して、また調べなければならないけど、そうするとおぼろげながら見えてくる事情があります。

なぜ見に行けないのか → ウイルスなど予防

なぜ開放していないのか → 開放している場所もあるが、今回見たい施設ではない

何を重要視してしているのか → 安全性

どうすれば見に行けるのか → わりと運（個人の感覚です

どこであれば見れるのか → Webなどで広報しているところなど

他、どっかの武闘派愛護団体が出しているようなブロイラーの酷さという形で喧伝される恐れもあるからなど、身元がしっかりしていても難しいとかそのあたりは普通かなと思いました（DCだってカジュアルに行ける場所ではないし）。そんな感じで人におねがいしたりなどして施設を見せてもらえたのですが、百聞は一見にしかずというのはありました。こういう環境に身を置くというのはなかなかできない経験だな…と、この歳になって思う次第です。小中学校でいけた場所って結構貴重なのかもしれません。

終わってみると、なにこの大人の社会科見学という感じですが、大人ほど社会科見学し辛いという現実を突きつけられ、専門誌（紙）の方々はすげえなあと思うところしきりでした。

好奇心から始まったことですが、それにしてもなかなか知ることができない分野のことを知ろうとするにはWebだけでは足りないということが一番大きくて、全く使われてないわけじゃないけど、このあたりもっと何かできるんでは、とか思った感じです。

そうして得た経験は何かしらアウトプットすることで他の人の共感を呼んだり、困惑させたりすることができて、総合的にはプラスになるのではないかと。

予定が早く終わって時間が出来たので「#ssmjp 2014/08」に飛び入りで参加しその場で資料作ってLTさせて頂きました http://ssmjp.connpass.com/event/7770/

まとめはtogetter

ちょっと遅れて行った。セキココで席を押さえていったのに三鷹の人が代わりに座っててなんとも言えない気分のままに隣に座った。

ペロペロさんのHack in the boxにネタセッションを投稿したら採択された話の途中から聴き始めた、英語で30分話してきた、アムステルダムの夜はガラが悪い、コンピューターに限らないHackもあった、と言う話。

続いてparamikoを使ってSSHの脆弱性（OSUETA）を突いてみる話。パスフレーズに4万文字突っ込むなどわりと力技な感じだった。 スライド

ykameさん。情報収集についての話。2chにおけるVIPや鬼女板の個人特定（Dork）の具体的な方法論の話題。そのままスライドを掲載すると、悪意を持った人類に対してのチートシートになりかねないので、個人的にはもう少し内容を調整したほうがよいかも、と思った。これについては思うところがあったのでちょっと喋らせてもらった。osintこわい

usaturnさん。前回CoreOSの話をしていて、今回ｱﾝｼﾎﾞｰときた。多分自分とポジションは近いところに居る気がする。来月Chefの話でもすればよいのだろうか。