実践ネット自動化スクリプト集

現場で役立つPython：ネットワーク自動化における冪等性担保の手法

システム開発やクラウドインフラ自動化の世界では、「冪等性（Idempotency）」という概念が非常に重視されます。同じ操作を何度実行しても、システムの状態が常に同じ結果になる性質を指し、自動化やCI/CDパイプラインにおいては、予期せぬ副作用なく安全に繰り返し実行できることを保証するために不可欠です。

ネットワーク設定の自動化においても、この冪等性は極めて重要です。特に、設定の変更を自動化する場合、スクリプトを再実行しても意図しない変更が加えられたり、エラーが発生したりしないようにする必要があります。しかし、ネットワーク機器の設定はCLIコマンドに依存することが多く、CLIは実行するたびに結果が変わる非冪等な操作を含みやすいため、Pythonスクリプトで冪等性を担保するには工夫が必要です。

この記事では、Pythonを使ったネットワーク自動化において、設定変更の冪等性を実現するための具体的なアプローチと、いくつかのライブラリを活用した実装例をご紹介します。

なぜネットワーク自動化で冪等性が重要なのか

ネットワーク機器の設定変更は、インフラストラクチャに対するデプロイ操作と見なすことができます。手動操作では一度だけ実行すれば済む場合が多いですが、自動化されたシステムでは以下のような状況で同じ設定操作が繰り返し実行される可能性があります。

• 再実行: スクリプトの実行中にエラーが発生し、途中で停止した場合、問題を修正した後に最初からスクリプトを再実行する必要がある。
• 定期実行: 定期的に設定のコンプライアンスチェックを行い、逸脱していれば修正設定を投入する。
• 構成管理ツールの挙動: Ansibleのような構成管理ツールは、デフォルトで冪等性を考慮した設計になっている。Pythonスクリプトをこれらのツールから呼び出す場合、スクリプトも冪等であるべき。
• 手動実行: 人為的なミスで同じスクリプトを誤って複数回実行してしまう。

これらの状況で冪等性が確保されていないと、設定が重複して意図しない挙動を引き起こしたり、エラーで処理が中断されたりする可能性があります。

Pythonスクリプトで冪等性を実現するためのアプローチ

Pythonスクリプト単体でネットワーク設定の冪等性を実現するには、主に以下の手法が考えられます。

1. 事前状態確認: 設定投入前に現在のネットワーク機器の状態を確認し、目的の状態と一致するかを判断します。必要な設定が既に入っていれば、その設定に関する操作はスキップします。
2. APIの利用: ネットワーク機器がRESTConfやNETConfのようなAPIを提供している場合、これらのAPIはCLIに比べて構造化されており、冪等な操作をサポートしていることが多いです。例えば、PUT リクエストでリソースの状態を完全に指定する操作は冪等になりやすいです。
3. 構造化データと差分比較: 期待するネットワーク設定の状態をYAMLやJSONなどの構造化データで定義し、実際の機器の現在の設定状態を取得して比較します。差分がある部分のみを抽出して、その差分を解消するためのコマンドやAPI操作を実行します。

これらのアプローチを組み合わせて、スクリプトの冪等性を高めることができます。

実践例：状態確認とNAPALMを活用した冪等性担保

ここでは、「事前状態確認」と「構造化データ+差分比較」のアプローチを組み合わせた例として、PythonライブラリであるNAPALMを活用した手法をご紹介します。NAPALMは、異なるネットワーク機器ベンダーに対して共通のPythonオブジェクトやメソッドを通じて設定や状態を取得・変更できる抽象化ライブラリです。特に compare_config() や load_merge_candidate() といった機能が冪等性の実現に役立ちます。

NAPALMを使用する場合、以下のような流れで冪等な設定変更スクリプトを作成できます。

1. NAPALMを使用してネットワーク機器に接続します。
2. get_config(retrieved_config='running') などを用いて、現在の実行コンフィグを取得します。
3. 適用したい「期待する設定」を定義します。これはテキストファイルや文字列として準備します。
4. load_merge_candidate(config=expected_config_string) または load_replace_candidate(config=expected_config_string) を使用して、期待する設定を候補コンフィグとしてロードします。load_merge_candidate は現在の設定にマージし、load_replace_candidate は現在の設定を置き換えます。冪等性の観点では、現在の状態を考慮して差分のみを適用するマージが一般的に適していますが、シナリオによってはリプレースが適切な場合もあります。
5. compare_config() を使用して、現在の実行コンフィグと候補コンフィグの差分を取得します。
6. 差分がない場合は、すでに期待する状態であると判断し、設定変更操作（commit_config()）をスキップします。
7. 差分がある場合のみ、commit_config() を実行して設定を反映します。
8. discard_config() を使用して候補コンフィグをクリアします。

以下に、NAPALMを使ったこのフローの基本的なコード例を示します。

from napalm import get_network_driver
import json

# 接続情報 (実際には環境変数や設定ファイルから読み込むべきです)
DEVICE_PARAMS = {
    'hostname': 'your_device_ip',
    'username': 'your_username',
    'password': 'your_password',
    'optional_args': {
        'platform': 'ios', # 対象機器のプラットフォームを指定
        'port': 22,
    }
}

# 適用したい期待する設定 (例: VLANを追加する設定)
# これは対象機器のCLIコマンド形式で記述します
EXPECTED_CONFIG = """
vlan 10
 name WEB_VLAN
vlan 20
 name APP_VLAN
"""

# 例外処理を考慮した関数にする
def apply_config_idempotent(device_params, expected_config):
    """
    NAPALMを使用してネットワーク機器に設定を冪等に適用する関数

    Args:
        device_params (dict): 接続パラメータ
        expected_config (str): 適用したい期待する設定文字列 (CLI形式)
    """
    driver = get_network_driver(device_params['optional_args']['platform'])
    device = None # 初期値をNoneに設定

    try:
        print(f"Connecting to {device_params['hostname']}...")
        device = driver(**device_params)
        device.open()
        print("Connected.")

        # 候補コンフィグをロード (マージモード)
        print("Loading candidate configuration...")
        device.load_merge_candidate(config=expected_config)
        print("Candidate configuration loaded.")

        # 差分を確認
        print("Comparing running configuration with candidate...")
        diff = device.compare_config()

        if diff:
            print("Configuration difference found:")
            print(diff)
            # 差分がある場合のみコミット
            print("Committing configuration...")
            device.commit_config()
            print("Configuration committed successfully.")
        else:
            print("No configuration difference. Skipping commit.")

    except Exception as e:
        print(f"An error occurred: {e}")
        # エラー発生時や処理中断時には候補コンフィグを破棄する
        if device and device.loaded_config(): # 候補コンフィグがロードされていれば
            print("Discarding candidate configuration due to error.")
            device.discard_config()
        raise # エラーを再スローして呼び出し元に伝える

    finally:
        # 接続が開いていれば閉じる
        if device and device.is_open():
            print("Closing connection.")
            device.close()
            print("Connection closed.")

# スクリプトの実行例
if __name__ == "__main__":
    # TODO: 実際にはここをターゲット機器の情報に置き換えてください
    # 実行環境に応じて適切な NAPALMドライバと接続パラメータを設定してください
    # 例: Cisco IOSデバイスの場合
    cisco_ios_params = {
        'hostname': '192.168.1.10',
        'username': 'admin',
        'password': 'password123',
        'optional_args': {
            'platform': 'ios',
            'port': 22,
        }
    }
    # 例: Juniper Junosデバイスの場合
    # juniper_junos_params = {
    #     'hostname': '192.168.1.20',
    #     'username': 'admin',
    #     'password': 'password123',
    #     'optional_args': {
    #         'platform': 'junos',
    #         'port': 22,
    #     }
    # }


    # デモ用のダミーパラメータ - 実際には上記のどちらかに置き換えてください
    demo_params = {
        'hostname': 'dummy.example.com', # 存在しないホスト名
        'username': 'testuser',
        'password': 'testpassword',
        'optional_args': {
            'platform': 'ios', # デモとして 'ios' を指定
            'port': 22,
        }
    }


    print("--- Attempting to apply configuration ---")
    try:
        # apply_config_idempotent(cisco_ios_params, EXPECTED_CONFIG) # 実際の機器で実行する場合
        apply_config_idempotent(demo_params, EXPECTED_CONFIG) # デモ実行用
    except Exception as e:
        print(f"Script finished with error: {e}")

    print("--- Script execution finished ---")

コード解説:

• get_network_driver で対象機器のプラットフォームに応じたドライバを取得します。
• device.open() で機器に接続します。
• device.load_merge_candidate(config=expected_config) で、適用したい設定文字列を候補コンフィグとして読み込みます。現在の設定にマージされる形式です。
• device.compare_config() で、実行コンフィグと候補コンフィグの差分を取得します。差分がなければ空文字列が返されます。
• if diff: で差分の有無を確認し、差分がある場合のみ device.commit_config() を実行して設定を反映します。これにより、既に目的の設定が適用されている場合はコミットがスキップされ、冪等性が担保されます。
• finally ブロックで確実に接続を閉じます。エラー発生時も候補コンフィグを破棄する処理を含めることで、機器側の一時的な候補コンフィグが残ってしまうのを防ぎます。

NAPALMを使用することで、ベンダーごとのCLIコマンドの差異を吸収しつつ、状態確認や差分比較といった冪等性担保に必要な機能を利用できる点が大きなメリットです。

その他の冪等性アプローチと考慮点

• CLIパースによる状態確認: NAPALMがサポートしていない機器や特定の細かい状態を確認したい場合は、NetmikoなどでCLIコマンドを実行し、その結果をPythonでパースして現在の状態を判断する必要があります。この場合、パーシングのロジックが複雑になりがちで、機器のOSバージョンアップなどでコマンド出力が変わるとパーシング処理のメンテナンスが必要になります。TextFSM や genie.libs.parser といったライブラリがCLI出力の構造化に役立ちます。
• APIを活用したアプローチ: 機器がREST APIやNETConf/RESTConf APIを提供している場合は、Pythonの requests ライブラリや ncclient ライブラリなどを使用してAPI経由で設定を行います。APIは状態をリソースとして扱うため、指定した状態にするという操作（PUTなど）が冪等になるように設計されていることが多いです。CLIパースに比べて安定しており、推奨されるアプローチです。
• 設定ファイルの自動生成: Jinja2のようなテンプレートエンジンを使って、機器ごとの設定ファイルを自動生成し、SCP/SFTPなどで転送して適用する手法もあります。ただし、設定ファイル全体を置き換える場合は冪等ですが、部分的な設定変更をマージする場合は、既存の設定ファイルの内容を考慮した複雑なテンプレートや生成ロジックが必要になる場合があります。
• エラーハンドリングとリトライ: ネットワーク機器との通信は不安定になることもあります。適切な例外処理やリトライ機構を実装することで、一時的なエラーからの復旧や処理の中断を防ぎ、スクリプト全体の信頼性と冪等性を高めることができます。

IaCツールとの連携における冪等性

AnsibleやChef、SaltStackといった一般的なインフラストラクチャ自動化（IaC）ツールは、その設計思想の中心に冪等性があります。これらのツールは、タスクを実行する前にシステムの状態を確認し、必要がなければ操作をスキップする「Desired State Configuration」のアプローチを取ります。

Pythonスクリプトでネットワーク自動化を行う場合、単体のスクリプトとして実行することもあれば、これらのIaCツールから呼び出されるカスタムモジュールとして実装することもあります。IaCツールから呼び出されるスクリプトは、IaCツールの冪等な実行フローに組み込まれるため、スクリプト自体も冪等であることが強く推奨されます。

もし複雑なロジックや特定のPythonライブラリの活用が必要で、IaCツールの標準モジュールでは実現が難しい場合にPythonスクリプトを作成する際は、この記事で紹介したような冪等性を意識した設計を心がけることが重要です。

まとめ

ネットワーク設定の自動化において冪等性は、スクリプトの信頼性や再実行性を確保するために不可欠な性質です。特に、開発やインフラ自動化の文脈でPythonスキルを活かしたいエンジニアの方々にとって、ネットワーク機器特有の非冪等な操作に対する理解と、それをPythonスクリプトでどのように吸収して冪等性を実現するかの知識は非常に役立ちます。

この記事では、NAPALMライブラリを活用した状態確認と差分比較による冪等な設定適用のアプローチを中心に紹介しました。APIの利用やCLIパースによる状態確認など、他にも様々な手法が存在します。自動化対象のネットワーク機器や実現したいシナリオに応じて、最適なアプローチを選択し、冪等性を意識した堅牢な自動化スクリプトを開発してください。これらの実践的なスキルは、ネットワーク運用自動化の現場であなたの価値をさらに高めることでしょう。