Netzwerkautomatisierung mit Ansible und AWX

Während in vielen Netzwerken noch fehleranfällige, repetitive Handarbeit auf der CLI angesagt ist, gehen moderne Administratoren einen anderen Weg und nutzen Skripte. Auf den ersten Blick bietet manuelles Scripting maximale Flexibilität, jedoch erfüllt die Automatisierung keinen Selbstzweck. Sie soll die Effizienz und Konsistenz steigern, um Freiräume für andere Innovationen zu schaffen. Gleichzeitig gilt es aber auch, die Sicherheit zu gewährleisten.

Um diese Aspekte bei der Netzwerkautomatisierung umzusetzen, stehen Konfigurationsmanagementwerkzeuge zur Verfügung. Da auf vielen aktiven Netzwerkkom- ponenten wie Routern und Switches keine Möglichkeiten der Installation von Agenten zur Steuerung solcher Werkzeuge bestehen, bieten sich agentenlose Tools an. Optimal kann eine solche Software nicht nur aktive Netzwerkkomponenten, sondern auch Linux- und Windows-Serversysteme. Hier kommt das Open-Source-Tool Ansible [1] ins Spiel.

Zwei Tools lösen Ansibles Probleme

Jedoch bringt das native CLI-Tool Ansible einige Herausforderungen mit sich. Eine hiervon stellt das Rechtemanagement dar. Zum einen stellt sich die Frage, wie das Hinterlegen von Credentials für die aktiven Netzwerkkomponenten erfolgen soll: Für Service-Accounts mit Vollzugriff auf Switches, Router und Firewalls muss sichergestellt sein, dass Nutzer mit ansonsten eingeschränkten Rechten, wie Junior-Admins oder Auditoren, keine Privilegien-Eskalation durchführen können, nur weil sie Zugriff auf Ansible benötigen. Zusätzlich besteht die Notwendigkeit einer sicheren und verschlüsselten Ablage der Credentials.

Eine weitere Herausforderung stellt ein zentrales und auditierbares Log dar. Gerade bei Konfigurationsmanagement-Tools, mit denen in kurzer Zeit Massenkonfigurationen erfolgen, muss rückverfolgbar sein, wer zu welcher Zeit welchen Change auf welchen Komponenten durchgeführt hat. Dies erleichtert auch

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.