実践ネット自動化スクリプト集 - 実践Pythonネットワーク自動化：Ansibleとの連携パターンとコード例

実践Pythonネットワーク自動化：Ansibleとの連携パターンとコード例

Tags: Python, Ansible, ネットワーク自動化, IaC, スクリプト連携

はじめに

ネットワーク機器の設定や運用の自動化は、現代のITインフラ運用において不可欠な要素となっています。Pythonは豊富なライブラリと高い柔軟性から、ネットワーク自動化の強力なツールとして広く利用されています。一方、Ansibleのような構成管理ツールは、宣言的なアプローチと冪等性により、インフラの状態をDesired Stateに保つことを得意としています。

Pythonスキルを高くお持ちのエンジニアの皆様の中には、既存のPythonベースの自動化ワークフローやIaCツールによるインフラ管理プロセスに、どのようにネットワーク自動化を組み込むかに関心をお持ちの方もいらっしゃるかと存じます。特に、ネットワーク機器の直接的な操作に慣れていない場合でも、Pythonのスキルを活かしてネットワーク部分を効率化したい、とお考えかもしれません。

この記事では、PythonとAnsibleを連携させることで、それぞれの強みを活かした効率的かつ堅牢なネットワーク自動化を実現する方法について解説します。具体的な連携パターンとコード例を通じて、皆様の現場での自動化スクリプト開発の一助となれば幸いです。

なぜPythonとAnsibleを連携させるのか

PythonとAnsibleは、それぞれ異なる特性を持つツールです。これらを連携させることには、以下のようなメリットがあります。

Ansibleの強み:
- 冪等性: 同じ操作を何度実行しても結果が同じになるように設計されており、安全な設定変更を実現します。
- 宣言的: 最終的なDesired Stateを定義するだけでよく、具体的な手順を記述する必要がありません。
- シンプルなPlaybook: YAML形式で記述され、比較的読みやすく理解しやすい構造です。
- 豊富なネットワークモジュール: Cisco, Juniper, Aristaなど、様々なベンダーのネットワーク機器に対応したモジュールが提供されています。
Pythonの強み:
- 柔軟性: 複雑な条件分岐、ループ処理、データ構造の操作など、高度なプログラミングロジックを記述できます。
- 外部ライブラリ: netmiko, paramiko, NAPALMなどのネットワーク操作ライブラリに加え、データ処理、API連携、レポーティングなど、エコシステム全体を利用できます。
- API連携: REST APIやNETConf/RESTConfなど、APIベースのネットワーク機器やコントローラーとの連携に優れています。

Ansibleは「状態を定義し、それを実現する」タスク指向の自動化に適しています。一方、Pythonは「複雑なデータを処理し、条件に基づいて判断を行い、外部システムと連携する」ような、よりプログラマブルな処理に適しています。

これらの強みを組み合わせることで、例えば以下のようなシナリオを実現できます。

Pythonで外部ソース（DB, ファイル, APIなど）から複雑なネットワーク設定データを取得・加工し、その結果をAnsibleに渡して設定投入を実行する。
Ansibleで複数のネットワーク機器から情報を収集し、Pythonでその情報を集計・分析してレポートを生成したり、監視システムに連携したりする。
Pythonで高度な条件判断やAPI操作を行い、その結果に基づいてAnsibleで特定のネットワークタスクを実行する。

PythonとAnsibleの連携パターン

PythonとAnsibleを連携させる主なパターンをいくつかご紹介します。

パターン1: Ansible PlaybookからPythonスクリプトを呼び出す

このパターンでは、Ansible Playbookのタスクの一部としてPythonスクリプトを実行します。PythonスクリプトはAnsibleの管理対象ホスト上、またはAnsibleコントローラー上（Delegate to localhostなどを使用）で実行できます。

これは、Ansibleの標準モジュールでは実現できない複雑なデータ処理、外部API連携、または特定の計算などをPythonで行いたい場合に便利です。

使用するAnsibleモジュール:

scriptモジュール: 管理対象ホスト上でローカルのスクリプトを実行します。
command / shellモジュール: 管理対象ホスト上で任意のコマンド（Pythonインタプリタの実行など）を実行します。
rawモジュール: SSH経由でモジュールを転送・実行できないような特殊なケースで使用します（通常は利用頻度は低いです）。

コード例: scriptモジュールを使用した例

ここでは、管理対象ホスト（この例ではローカルホストを想定）でPythonスクリプトを実行し、その出力をAnsibleで取得する例を示します。

まず、実行するPythonスクリプト get_system_info.py を作成します。

#!/usr/bin/env python3

import sys
import platform
import json

# 標準出力にJSON形式で情報を出力
info = {
    "python_version": platform.python_version(),
    "system": platform.system(),
    "node_name": platform.node(),
    "release": platform.release(),
    "version": platform.version(),
    "machine": platform.machine()
}

json.dump(info, sys.stdout)
print() # Ensure newline at the end

次に、このスクリプトを呼び出すAnsible Playbook run_python_script.yml を作成します。

---
- name: Run Python script and process output
  hosts: localhost # または適切なネットワーク機器ホスト
  connection: local # またはnetwork_cliなど、適切な接続タイプ
  gather_facts: false

  tasks:
    - name: Execute Python script
      script: ./get_system_info.py # 実行するスクリプトへのパスを指定
      # registerでスクリプトの実行結果を格納
      register: script_output

    - name: Parse JSON output from script
      # stdoutは文字列として取得されるため、from_jsonフィルターでパース
      ansible.builtin.set_fact:
        system_info: "{{ script_output.stdout | from_json }}"

    - name: Display parsed information
      debug:
        msg: "System Information: {{ system_info }}"

    - name: Display specific info (e.g., Python version)
      debug:
        msg: "Python Version: {{ system_info.python_version }}"

このPlaybookを実行すると、get_system_info.py が実行され、その標準出力がAnsibleの script_output.stdout に格納されます。from_json フィルターを使ってこれをPythonオブジェクト（Ansibleではディクショナリ）に変換し、set_fact で変数に格納しています。これにより、Pythonスクリプトで生成した構造化データをAnsible Playbook内で後続のタスクで利用することが可能になります。

ネットワーク自動化の文脈では、Pythonスクリプト内でnetmikoなどを使って機器から情報を取得し、その結果をJSONなどで出力し、Ansibleで受け取って処理する、といった応用が考えられます。

パターン2: PythonスクリプトからAnsible Playbook/モジュールを呼び出す

このパターンは、より複雑な自動化ワークフローをPythonで構築し、その中でネットワーク機器への設定投入や状態確認などのタスクを実行するためにAnsibleを利用する場合に有効です。例えば、外部のイベント（監視アラート、チケットシステム連携など）をトリガーにPythonスクリプトが起動し、状況を判断した上で必要なネットワーク操作をAnsibleに実行させる、といったことができます。

PythonからAnsibleを実行するには、Ansibleが提供するPython APIやツールを利用します。主なものとして ansible-runner や内部API (ansible.inventory, ansible.playbook など) があります。公式には ansible-runner の利用が推奨されています。

ansible-runner を使用した例:

ansible-runner は、Ansible PlaybookやRoleをプログラムから実行するためのインターフェースを提供します。実行環境の隔離や、結果の構造化された取得が容易になります。

まず、実行したいAnsible Playbook configure_vlan.yml を作成します（これは一般的なネットワーク機器設定のPlaybookを想定）。

---
- name: Configure VLAN
  hosts: network_devices # 設定対象のホストグループ
  connection: network_cli
  gather_facts: false

  tasks:
    - name: Ensure VLAN exists
      # 使用するベンダーに応じたモジュールを使用
      # 例: Cisco IOSの場合
      cisco.ios.ios_vlan:
        vlan_id: "{{ vlan_id }}"
        name: "{{ vlan_name }}"
        state: present
      # 変数はPythonスクリプトから渡される

次に、このPlaybookをPythonスクリプトから呼び出す例を示します。

import ansible_runner
import os

# Playbookが存在するディレクトリ
playbook_dir = './ansible'
# 実行するPlaybookファイル名
playbook_file = 'configure_vlan.yml'

# Playbookディレクトリとvarsディレクトリを作成 (必要に応じて)
os.makedirs(os.path.join(playbook_dir, 'vars'), exist_ok=True)

# PythonスクリプトからAnsibleに渡す変数
# この例では、どのVLANを設定するかを動的に決定することを想定
vlan_vars = {
    "vlan_id": 100,
    "vlan_name": "Sales_VLAN"
}

# ansible-runner を使用してPlaybookを実行
# private_data_dir: runnerが作業に使用するディレクトリ
# playbook: 実行するPlaybookのファイル名
# extravars: Playbookに渡す追加変数
r = ansible_runner.run(
    private_data_dir=playbook_dir,
    playbook=playbook_file,
    extravars=vlan_vars
)

# 実行結果の確認
print(f"Playbook execution status: {r.status}")
if r.status == 'successful':
    print("Playbook executed successfully.")
    # 詳細な結果は r.stats, r.events などから取得可能
else:
    print(f"Playbook failed. Error: {r.stdout.read()}")
    # より詳細なエラー情報は r.events などから取得

このPythonスクリプトでは、ansible_runner.run() 関数を使って指定したPlaybookを実行しています。extravars パラメータを通じて、Pythonスクリプト内で定義した変数をPlaybookに渡すことができます。これにより、Pythonで生成した動的なデータをAnsibleのタスクに適用することが可能です。

このパターンは、ネットワーク自動化をより広範な自動化ワークフローやアプリケーションに組み込む場合に非常に強力です。

パターン3: カスタムAnsibleモジュールをPythonで作成

Ansibleに標準で用意されていない機能や、非常に特定の処理をネットワーク機器に対して行いたい場合、Pythonでカスタムモジュールを作成することができます。作成したカスタムモジュールは、標準モジュールと同様にPlaybookから呼び出すことができます。

カスタムモジュール開発にはAnsibleモジュールの構造に関する理解が必要ですが、これによりAnsibleの機能をPythonの柔軟性で拡張することが可能になります。このパターンに関する詳細な解説は別記事で行う予定ですが、Ansibleの公式ドキュメントや関連情報を参照していただくことを推奨いたします。

連携における考慮事項

PythonとAnsibleを連携させる際には、以下の点に留意することで、より堅牢で運用しやすい自動化を実現できます。

データ連携: どちらの方向でデータを渡す場合でも、構造化されたデータ形式（JSON, YAMLなど）を利用することを推奨します。これにより、データのパースや利用が容易になります。
エラーハンドリング: スクリプトやPlaybookの実行失敗、ネットワーク機器からのエラー応答など、予期せぬ状況に対するエラーハンドリングを適切に実装することが重要です。Pythonのtry-exceptやAnsibleのfailed_whenなどを活用します。
認証情報の管理: ネットワーク機器への認証情報は、Playbookやスクリプト内に直接記述せず、Ansible Vaultや環境変数、外部のシークレット管理システムなどを利用して安全に管理してください。PythonスクリプトからAnsibleを呼び出す場合も同様に考慮が必要です。
冪等性の維持: Ansibleは冪等性を意識して設計されていますが、Pythonスクリプトやカスタムモジュールの内部で副作用のある操作を行う場合は、その操作自体が冪等になるように設計する必要があります。
依存関係の管理: Pythonスクリプトに必要なライブラリ（netmiko, ansible-runnerなど）やAnsibleの依存関係（Collectionなど）は、poetryやpipenv, requirements.txtなどを使用して適切に管理します。
ロギング: スクリプトやPlaybookの実行状況、成功・失敗、エラーメッセージなどを適切にログに出力することで、問題発生時の原因特定や監査が容易になります。

実践的な応用例

PythonとAnsibleの連携は、様々なネットワーク自動化シナリオに応用できます。

ネットワーク機器情報の収集・集約・分析: Ansibleで複数の機器からshow running-configやshow ip interface briefなどのコマンド出力を収集し、Pythonスクリプトでこれらの出力をパース、必要な情報を抽出、データベースに格納したり、レポートとして集計したりします。
条件に基づいた動的な設定変更: Pythonスクリプトで監視システムやチケットシステムから情報を取得し、特定の条件（例: インターフェース帯域使用率が高い、特定の障害が発生している）が満たされた場合に、PythonからAnsible Playbookを呼び出して、該当するネットワーク機器に対して設定変更（例: QoS設定の変更、経路の切り替え）を実行します。
新規機器のプロビジョニング: 新しいネットワーク機器の導入時に、PythonスクリプトでDHCPサーバーやDNSサーバー、監視システムなどに機器情報を登録し、その後にAnsible Playbookを呼び出して初期設定（ホスト名、IPアドレス、SSH設定など）を投入します。

まとめ

この記事では、PythonとAnsibleを連携させたネットワーク自動化の手法について、そのメリット、主要な連携パターン、そして実践における考慮事項を解説しました。Pythonの柔軟性とAnsibleの堅牢性を組み合わせることで、より複雑で、かつメンテナンス性の高いネットワーク自動化ワークフローを構築することが可能です。

ネットワーク機器の直接的な操作に不慣れな場合でも、Pythonでデータ処理や外部連携を担当し、ネットワーク機器との具体的な通信や設定適用はAnsibleの豊富なモジュールに任せる、といった役割分担により、皆様がお持ちのPythonスキルをネットワーク自動化の分野で最大限に活かすことができるはずです。

今回ご紹介したコード例やパターンが、皆様の現場でのネットワーク自動化の取り組みを推進する一助となれば幸いです。今後も、より具体的なスクリプト例や応用シナリオについてご紹介していく予定です。