AWS での Ansible Towerクイックスタートリファ

レンスデプロイガイド

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

AWS での Ansible Tower: クイックスタートリファレンスデプロイガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

Table of Contentsホーム ............................................................................................................................................... 1

クイックスタートについて ........................................................................................................... 2概要 .................................................................................................................................................. 3

AWS での Ansible Tower ............................................................................................................. 3コストとライセンス .................................................................................................................... 3AWS のサービス ........................................................................................................................ 3

アーキテクチャ .................................................................................................................................. 5Ansible Tower のインストール ..................................................................................................... 7

デプロイオプション ............................................................................................................................ 8デプロイ手順 ..................................................................................................................................... 9

ステップ 1. アカウントを準備する ................................................................................................ 9ステップ 2. CentOS または RHEL AMI にサブスクライブする ......................................................... 13

CentOS へのサブスクライブ .............................................................................................. 13RHEL へのサブスクライブ ................................................................................................. 14

ステップ 3. クイックスタートを起動する ..................................................................................... 14ステップ 4. ユーザーアカウントを作成する .................................................................................. 20ステップ 5. トライアルライセンスを取得する ............................................................................... 24ステップ 6. Tower の EC2 インスタンスを設定および管理する ........................................................ 30

EC2 と統合した Ansible Tower の設定 ................................................................................. 31EC2 インスタンスの検出と管理 .......................................................................................... 32他のマネージドインスタンスの追加 ..................................................................................... 38

トラブルシューティング .................................................................................................................... 41セキュリティ .................................................................................................................................... 42リソース .......................................................................................................................................... 43フィードバック ................................................................................................................................. 44ドキュメントの改訂 .......................................................................................................................... 45

.............................................................................................................................................. 45

iii

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

AWS クラウドでの Ansible Tower: クイックスタートリファレンスデプロイ

デプロイガイド

Tony Vattathil - AWS クイックスタートリファレンスチーム、ソリューションアーキテクト

2016 年 4 月  (最終更新日 (p. 45): 2017 年 6 月)

このクイックスタートリファレンスのデプロイガイドでは、Ansible Tower をアマゾン ウェブ サービス(AWS) クラウドにデプロイしてテストする手順について説明します。また、Ansible Tower のデプロイを自動化する AWS CloudFormation テンプレートの表示と起動のためのリンクを提供し、Ansible 対応の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成します。さらに、このガイドでは、EC2 インスタンスとそのメタデータを Ansible Tower ダッシュボードにプルするように、AnsibleTower を設定する方法についても説明しています。

このクイックスタートは、AWS コンピューティングリソースを管理するために Ansible Tower の実装を検討している IT インフラストラクチャアーキテクト、管理者、DevOps プロフェッショナルを対象としています。また、Ansible Tower バージョン 3 をサポートしています。x.

AWS OpsWorks オプション

このクイックスタートは、AWS で Ansible Tower インフラストラクチャを実行および管理したいと考えているお客様を対象としています。ただし、AWS によって提供される設定管理サービスである AWS OpsWorks もお客様のニーズに適しているかどうかを判断することをお勧めします。AWS OpsWorks は、すべてのタイプとサイズのアプリケーションの設定と運用に役立ちます。各コンポーネントのアプリケーションのアーキテクチャと仕様を、パッケージインストール、ソフトウェア設定、リソース (ストレージなど) を含め、定義できます。詳細については、AWS OpsWorks ユーザーガイドを参照してください。

以下のリンクは参考情報です。クイックスタートを起動する前に、このガイドで説明している考慮事項(アーキテクチャや設定など) を確認することをお勧めします。

• AWS アカウントがあり、AWS と Ansible Tower にすでに精通している場合は、クイックスタートを起動して、Ansible を AWS アカウントの新しいまたは既存の Virtual Private Cloud (VPC) にデプロイできます。デプロイには約 20 分かかります。AWS または Ansible Tower を初めて使用する場合は、実装の詳細を確認し、このガイドの後半に示している手順に従ってください。

 

     

 • デプロイを自動化する AWS CloudFormation テンプレートの内容を見る場合は、テンプレートを表示で

きます。テンプレートは、起動中にカスタマイズしたり、他のプロジェクト用にダウンロードして拡張したりできます。

1

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

クイックスタートについて

 

     

クイックスタートについてクイックスタートは、AWS クラウドでの主要なワークロード用の自動化リファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定のワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。

2

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

AWS での Ansible Tower

概要AWS での Ansible Tower

Ansible は、プロビジョン、設定管理、アプリケーションデプロイ、イントラサービスオーケストレーション、継続的なデリバリなどの IT プロセスを自動化する IT DevOps ツールです。

Ansible は、多層デプロイ用に設計されています。システムを個別に管理するのではなく、すべてのシステム間の相互関係を定義することで、IT インフラストラクチャをモデル化します。

Ansible Tower は、Ansible 用のウェブベースのユーザーインターフェイスです。そのビジュアルダッシュボードでは、Ansible プレイブックをスケジュールしてデプロイでき、一元化されたログ、監査、システムトラッキングが可能です。

他のオートメーションエンジンと比較して、Ansible の主な利点は、エージェントも追加のカスタムセキュリティインフラストラクチャも使用しないため、デプロイがシンプルになることです。Ansible では、YAML という非常にシンプルで人間が読める言語をプレイブックに使用して、設定、デプロイ、オーケストレーションのタスクを管理します。Ansible は、お客様のノードに接続し、Ansible モジュールという小さいプログラムを実行することで機能して、お客様のシステムのリソースを設定します。これらのモジュールをデフォルトでは Secure Shell (SSH) 上で実行し、終了時に削除します。

コストとライセンスこのクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。詳細については、使用する各 AWSサービスの料金表ページを参照してください。

このクイックスタートは、Ansible Tower を Linux Ansible クライアントと共に AWS クラウドにデプロイします。Ansible Tower には、Ansible Software のサブスクリプションとサービス契約が適用されます。Ansible Tower の無料トライアルでは、最大 10 台のホストを管理できます。クイックスタートをデプロイしたら、このガイドの手順に従って 10 ホストトライアルライセンスを取得できます。

Ansible は、Ansible Tower のインストール中にインストールされ、GNU General Public License バージョン 3 下で使用許諾されます。

AWS のサービスこのクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます(AWS を初めて利用する場合は、AWS ドキュメントの「はじめに」セクションを参照してください)。

• Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。

• Amazon VPC - Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。

• AWS CloudFormation – AWS CloudFormation は、関連する AWS リソースのコレクションを容易に作成および管理し、整った予測可能な方法でプロビジョニングおよび更新できるようにします。テンプレー

3

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

AWS のサービス

トを使用して、必要なすべての AWS リソース (EC2 インスタンスなど) を定義します。リソースを個別に作成、設計して、それぞれの依存関係を考える必要はありません。AWS CloudFormation がすべてを処理します。

• IAM - AWS Identity and Access Management (IAM) を使用すると、AWS のサービスおよびリソースに対するお客様のユーザーのアクセスを安全に制御できます。IAM を使用すると、ユーザー、セキュリティ認証情報 (アクセスキーなど)、AWS リソースに対するユーザーのアクセス権限を一元管理できます。

4

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

アーキテクチャデフォルトパラメータを使用して新しい VPC にこのクイックスタートをデプロイすると、AWS クラウドで以下の環境が構築されます。

5

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

6

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

Ansible Tower のインストール

図 1: AWS での Ansible Tower のクイックスタートアーキテクチャ

 

このクイックスタートは以下のように設定します。

• アベイラビリティーゾーン内の 1 つのパブリックサブネットで VPC を設定して、AWS で独自の仮想ネットワークを提供する。*

• インターネットゲートウェイでインターネットへのアクセスを許可する。*• 1 つの Linux クライアントインスタンスをパブリックサブネットにデプロイする。• 1 つの Ansible Tower インスタンスをパブリックサブネットにデプロイする。

* クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたタスクをスキップし、既存の VPC 設定を求めます。

Ansible Tower のインストールこのクイックスタートは、CentOS 7 または Red Hat Enterprise Linux (RHEL) 7 を実行している EC2 インスタンスに Ansible Tower をデプロイします。インストールは、インスタンスが AWS CloudFormation を介して起動されると実行されるユーザーデータスクリプトによって自動的に行われます。Ansible Tower のインストールファイルは Ansible のリリースサーバーから直接インストールされます。

Ansible Tower のインストールに加えて、クイックスタートは Linux クライアントも VPC にデプロイします。クライアントには、Tower キーがタグ付けされます。クイックスタートをデプロイしたら、このキーを使用して、Ansible Tower でクライアントを識別して管理します。そのための手順については、デプロイのセクションの「ステップ 6 (p. 30)」で説明しています。

7

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

デプロイメントオプションこのクイックスタートには、2 つのデプロイオプションがあります。

• Ansible Tower を新しい VPC にデプロイする (エンドツーエンドのデプロイ)。このオプションでは、VPC、サブネット、NAT ゲートウェイ、セキュリティグループ、その他のインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、その新しい VPC に Ansible Tower をデプロイします。

• Ansible Tower を既存の VPC にデプロイする。このオプションでは、Ansible Tower を既存の AWS インフラストラクチャにプロビジョンします。

クイックスタートには、これらのオプション用に個別のテンプレートが用意されています。このガイドの後半で説明しているように、CIDR ブロックやインスタンスタイプなどの追加の設定を定義することもできます。

8

AWS での Ansible Tower クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

デプロイ手順AWS に Ansible Tower をデプロイしてテストする手順は、以下のステップで構成されます。詳細な手順については、各ステップのリンクをクリックしてください。

• ステップ 1. AWS アカウントを準備する (p. 9)

このステップには、AWS アカウントのサインアップ、リージョンの選択、キーペアの作成、必要に応じてアカウント制限の引き上げリクエストが含まれます。

• ステップ 2. CentOS または RHEL AMI にサブスクライブする (p. 13)

このステップには、AWS アカウントのサインアップ、リージョンの選択、キーペアの作成、必要に応じてアカウント制限の引き上げリクエストが含まれます。

• ステップ 3. クイックスタートを起動する (p. 14)

このステップでは、AWS アカウントに AWS CloudFormation テンプレートを起動し、パラメータ値を指定してスタックを作成します。クイックスタートには、エンドツーエンドのデプロイと既存の VPC へのデプロイ用に個別のテンプレートが用意されています。

• ステップ 4. ユーザーアカウントを作成する (p. 20)

Ansible Tower のユーザーアカウントを作成し、IAM PowerUserAccess ポリシーに割り当てます。または、既存の管理者アカウントを使用することもできます。

• ステップ 5. Ansible Tower のトライアルライセンスを取得する (p. 24)

ウェブブラウザを使用して Ansible Tower に接続し、Ansible Tower のライセンスの取得手順に従います。

• ステップ 6. Ansible Tower で EC2 インスタンスを設定および管理する (p. 30)

EC2 と統合した Ansible Tower を設定し、AWS コンピューティングリソースを Ansible Tower インベントリに統合し、Ansible Tower で表示および設定できる他のマネージドインスタンスを追加します。

ステップ 1. AWS アカウントを準備する1. AWS アカウントがまだない場合は、https://aws.amazon.com で画面上の指示に従って作成します。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

2. ナビゲーションバーのリージョンセレクターを使用して、AWS に Ansible Tower をデプロイするAWS リージョンを選択します。

Amazon EC2 のロケーションは、リージョンとアベイラビリティーゾーンで構成されています。リージョンは、独立した地理的領域に分散して存在します。リージョンを選択する前に、そのリージョンで目的の AWS サービスが使用可能かどうかを確認することをお勧めします。使用可能でないと、デプロイは失敗します。

9

AWS での Ansible Tower クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

図 2: AWS リージョンの選択

ヒント

データセンターや社内ネットワークに最も近いリージョンを選択して、AWS で実行されているシステム間、および企業ネットワーク上のシステムとユーザー間のネットワークレイテンシーを削減するためにリージョンを選択することを検討します。

3. 任意のリージョンでキーペアを作成します。これを行うには、Amazon EC2 コンソールのナビゲーションペインで [Key Pairs]、[Create Key Pair] を選択し、名前を入力して [Create] を選択します。

10

AWS での Ansible Tower クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

図 3: キーペアの作成

Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います。インスタンスにログイン可能にするには、キーペアを作成する必要があります。Linux では、キーペアを使用して SSH ログインを認証します。

4. 必要に応じて、Amazon EC2 t2.medium インスタンスタイプを求めて、サービス制限の引き上げをリクエストします。これを行うには、AWS サポートセンターで、[Create Case]、[Service LimitIncrease]、[EC2 instances] の順に選択し、上限緩和フォームのフィールドに入力します。現在のデフォルトの制限は 20 インスタンスです (「ステップ 3 (p. 14)」で説明したように、AWSCloudFormation パラメータをカスタマイズすることで、異なるインスタンスタイプを選択することもできます)。

このインスタンスタイプを使用する既存のデプロイがすでに存在し、このリファレンスデプロイでデフォルトの制限を超えている可能性がある場合は、制限の引き上げをリクエストする必要があります。新しいサービスの上限が有効になるには、数日かかる場合があります。詳細については、『AWSドキュメント』の「Amazon EC2 サービスの制限」を参照してください。

11

AWS での Ansible Tower クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

図 4: サービス制限の引き上げリクエスト

12

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 2. CentOS またはRHEL AMI にサブスクライブする

ステップ 2. CentOS または RHEL AMI にサブスクライブする

このクイックスタートを使用して、Ansible Tower を CentOS または Red Hat Enterprise Linux (RHEL) にデプロイできます。クイックスタートを起動する前に、AWS Marketplace で CentOS 7 または RHEL 7AMI にサブスクライブする必要があります。

CentOS AMI へのサブスクライブ

1. AWS Marketplace (http://aws.amazon.com/marketplace) にアクセスし、AWS アカウントでログインします。

2. CentOS 7 の AWS Marketplace ページから [Continue] を選択します。

図 5: CentOS AMI へのサブスクライブ3. このページの指示に従ってお客様のリージョンの AMI にサブスクライブします (t2.medium インスタ

ンスタイプを選択)。サブスクリプションプロセスの詳細については、「AWS Marketplace FAQ」を参照してください。

4. サブスクリプションが完了したら、クイックスタートを起動する準備が整いました。「ステップ3 (p. 14)」に進むことができます。

13

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

RHEL へのサブスクライブ

RHEL AMI へのサブスクライブ

1. AWS Marketplace (http://aws.amazon.com/marketplace) にアクセスし、AWS アカウントでログインします。

2. [AWS Marketplace page for RHEL 7.2] から [Continue] を選択します。

図 6: RHEL AMI へのサブスクライブ3. このページの指示に従ってお客様のリージョンの AMI にサブスクライブします (t2.medium インスタ

ンスタイプを選択)。サブスクリプションプロセスの詳細については、「AWS Marketplace FAQ」を参照してください。

4. サブスクリプションが完了したら、クイックスタートを起動する準備が整いました。「ステップ 3」に進むことができます。

ステップ 3. クイックスタートを起動するNote

このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。このクイックスタートを使用しても追加コストは発生しません。詳細については、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

1. 以下のいずれかのオプションを選択して、AWS アカウントに AWS CloudFormation テンプレートを起動します。オプションの選択については、このガイドの「デプロイオプション (p. 8)」を参照してください。

オプション 1

Ansible Tower を AWS 上の新しい VPC にデプロイする

オプション 2

Ansible Tower を AWS 上の既存の VPC にデプロイする

14

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 3. クイックスタートを起動する

Important

既存の VPC に Ansible Tower をデプロイする場合は、クイックスタートを起動するときにVPC 設定を求められます。

各デプロイには約 20 分かかります。2. ナビゲーションバーの右上隅に表示されているリージョンを確認し、必要に応じて変更します。これ

は、Ansible Tower のネットワークインフラストラクチャが構築される場所です。テンプレートは、デフォルトで 米国西部 (オレゴン) リージョンで起動されます。

3. [Select Template] ページで、テンプレート URL のデフォルト設定をそのままにし、[Next] を選択します。

4. [Specify Details] ページで、必要に応じてスタック名を変更します。テンプレートのパラメータを確認します。入力が必須のパラメータの値を指定します。他のすべてのパラメータのデフォルト設定を確認し、必要に応じてカスタマイズします。パラメータの確認とカスタマイズが終了したら、[Next] を選択します。

以下の表では、パラメータをカテゴリ別に示し、2 つのデプロイオプションについて個別に説明しています。

• Ansible Tower を新しい VPC にデプロイする場合のパラメータ (p. 15)• Ansible Tower を既存の VPC にデプロイする場合のパラメータ (p. 18)

オプション 1: Ansible Tower を新しい VPC にデプロイする場合のパラメータ

テンプレートを表示

ネットワーク構成:

パラメータラベル パラメータ名 デフォルト値 説明

VPC CIDR VPCCIDR 10.0.0.0/16 作成する VPC の CIDRブロック。

Subnet CIDR PublicSubnetCIDR 10.0.0.0/19 Ansible Tower がデプロイされるパブリック(DMZ) サブネットのCIDR ブロック。

Permitted IP range AccessCIDR 入入入入 Ansible Tower へのアクセスが許可されている CIDR IP の範囲。この値を信頼された IP範囲に設定することをお勧めします。たとえば、自社のネットワークにのみソフトウェア

15

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 3. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明へのアクセスを許可できます。

Ansible 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Key Pair Name KeyPairName 入入入入 既存のパブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWSアカウントを作成した際に、指定したリージョンで作成したキーペアです

Ansible Tower IPAddress

AnsibleTowerIP 10.0.0.10 Ansible Tower のプライベート IP アドレス。

Linux Client IP Address AnsibleClientLinuxIP 10.0.0.12 Ansible が管理できるLinux インスタンスのIP アドレス。

Ansible Tower AdminPassword

AnsibleAdminPassword 入入入入 Ansible Tower 管理者アカウントのパスワード。このパスワードは 8 文字以上で、文字、数字、記号で構成して、少なくとも1 つの大文字を含める必要があります (An$ibl3ChgMe など)。このパスワードを記録してください (「ステップ 5 (p. 24)」で使用します)。

Database AdminPassword

DatabaseAdminPassword入入入入 Ansible データベース管理者アカウントのパスワード。このパスワードは 8 文字以上で、文字、数字、記号で構成して、少なくとも 1 つの大文字を含める必要があります。すべてのデータベースリソース(Redis、Postgres など)はこのパスワードを使用します。

16

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 3. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Tower Instance Type AnsibleTowerInstanceTypem4.large Ansible Tower 設定サーバーの EC2 インスタンスタイプ。

Client Instance Type AnsibleClientInstanceTypet2.medium Linux ノードの EC2 インスタンスタイプ。

オペレーティングシステム

OSType Redhat-Enterprise-Linux-7

Ansible Tower に使用する Linux オペレーティングシステム。2つのオプションは RedHat Enterprise Linux(RHEL) 7 と CentOS 7です。

AWS クイックスタート設定:

パラメータラベル パラメータ名 デフォルト値 説明

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

17

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 3. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Quick Start S3 KeyPrefix

QSS3KeyPrefix redhat/ansible/latest クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができますが、先頭または末尾にスラッシュを使用しないでください(自動的に追加されます)。

オプション 2: Ansible Tower を既存の VPC にデプロイする場合のパラメータ

既存の VPC のテンプレートを表示する

ネットワーク構成:

パラメータラベル パラメータ名 デフォルト値 説明

VPC CIDR VPCCIDR 172.31.0.0/16 既存の VPC の CIDRブロック (10.0.0.0/16など)。

Permitted IP range AccessCIDR 入入入入 Ansible Tower へのアクセスが許可されている CIDR IP の範囲。この値を信頼された IP範囲に設定することをお勧めします。たとえば、自社のネットワークにのみソフトウェアへのアクセスを許可できます。

サブネット ID SubnetID 入入入入 Ansible Tower がデプロイされる既存のVPC のパブリックサブネットの ID (subnet-b58c3d67 など)。

18

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 3. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

VPC ID VPCID 入入入入 Ansible Tower がデプロイされる既存の VPCの ID (vpc-0343606eなど)。

Ansible 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Key Pair Name KeyPairName 入入入入 既存のパブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWSアカウントを作成した際に、指定したリージョンで作成したキーペアです

Ansible Tower IPAddress

AnsibleTowerIP 172.31.0.10 Ansible Tower のプライベート IP アドレス。

Linux Client IP Address AnsibleClientLinuxIP 172.31.0.11 Ansible が管理できるLinux インスタンスのIP アドレス。

Ansible Tower AdminPassword

AnsibleAdminPassword 入入入入 Ansible Tower 管理者アカウントのパスワード。このパスワードは 8 文字以上で、文字、数字、記号で構成して、少なくとも1 つの大文字を含める必要があります (An$ibl3ChgMe など)。このパスワードを記録してください (「ステップ 5 (p. 24)」で使用します)。

Database AdminPassword

DatabaseAdminPassword入入入入 Ansible データベース管理者アカウントのパスワード。このパスワードは 8 文字以上で、文字、数字、記号で構成して、少なくとも 1 つの大文字を含める必要があります。すべてのデータベースリソース(Redis、Postgres など)はこのパスワードを使用します。

19

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 4. ユーザーアカウントを作成する

パラメータラベル パラメータ名 デフォルト値 説明

Tower Instance Type AnsibleTowerInstanceTypem4.large Ansible Tower 設定サーバーの EC2 インスタンスタイプ。

Client Instance Type AnsibleClientInstanceTypet2.medium Linux ノードの EC2 インスタンスタイプ。

オペレーティングシステム

OSType Redhat-Enterprise-Linux-7

Ansible Tower に使用する Linux オペレーティングシステム。2つのオプションは RedHat Enterprise Linux(RHEL) 7 と CentOS 7です。

5. [Options] ページでは、スタック内のリソースのタグ (キー値のペア) を指定し、詳細オプションを設定できます。終了したら、[Next] を選択します。

6. [Review] ページで、テンプレート設定を確認して確定します。[Capabilities] で、テンプレートによって IAM リソースが作成されることを確認するチェックボックスをオンにします。

7. [Create] を選択してスタックをデプロイします。8. スタックの状態をモニタリングします。ステータスが [CREATE_COMPLETE] になったら、Ansible

Tower スタックは準備完了です。後で図 11 (p. 25) に示すように、IP アドレスはスタックの[Outputs] タブに表示されます。

重要

スタックの作成が完了したら、IT 標準に従って管理者アカウントとデータベース管理者アカウントのパスワードを更新することをお勧めします。

ステップ 4. Ansible Tower のユーザーアカウントを作成する

Ansible Tower 用に ansibleadm という名前の新しいユーザーを作成しましょう。これはオプションの手順です。既存のユーザーアカウントに適切な権限がある場合は、そのアカウントを使用できます (少なくとも、メタデータをプルするには、EC2 インスタンスへの読み取り専用アクセスが必要です)。

1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。2. ナビゲーションペインで [Users]、[Add user] の順に選択します。3. ユーザー名として「ansibleadm」と入力します。4. [Access type] で、[Programmatic access] を選択します。5. [Next: Permissions] を選択します。

20

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 4. ユーザーアカウントを作成する

図 7: ユーザー詳細の設定6. [Set permissions] ページで、[Attach existing policies directly] を選択します。7. [Policy type] の [Filter] フィールドに「PowerUserAccess」と入力し、そのポリシーを選択してか

ら、[Next: Review] を選択します。

21

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 4. ユーザーアカウントを作成する

22

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 4. ユーザーアカウントを作成する

図 8: ユーザーのアクセス権限の設定8. 選択内容を確認し、[Create user] を選択します。

図 9: ユーザーの作成9. アクセスキー ID とシークレットアクセスキーを記録し、[Close] を選択します。[Show] を選択して、

シークレットアクセスキーを表示できます。

23

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

図 10: アクセスキー ID とシークレットアクセスキーの表示

先ほど作成した ansibleadm ユーザーには、AWS のサービスとリソースへのフルアクセスを許可するIAM PowerUserAccess ポリシーがあります。必要に応じて、アクセス権限をさらに制限できます。IAMロールの詳細については、Amazon EC2 ドキュメントの「Amazon EC2 の IAM ロール」を参照してください。

ステップ 5. Ansible Tower のトライアルライセンスを取得する

1. VPC で Ansible Tower の IP またはホスト名に移動します。

24

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

Note

AWS マネジメントコンソールの [Outputs] タブ (図 11) または Amazon EC2 コンソールで、Tower の URL を見つけることができます。

図 11: Ansible Tower の IP アドレス

ウェブブラウザに警告が表示されます。これは、デプロイで自己署名証明書が使用されるためです。続行するには、自己署名証明書を信頼する必要がありますが、より高いセキュリティを確保するために、独自の証明書を Ansible Tower に追加することをお勧めします。詳細については、『AnsibleTower ユーザーガイド』を参照してください。

2. [Advanced]、[Proceed] の順に選択して、Ansible Tower ダッシュボードにアクセスします (この手順は Google Chrome 設定を反映しています。手順のオプションは、ウェブブラウザによって異なります)。

3. ユーザー名として「admin」と入力した後、「手順 3 (p. 14)」でクイックスタートを起動したときに [Ansible Tower Admin Password] パラメータに指定した管理者パスワードを入力します。

25

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

図 12: Ansible のサインイン画面

パスワードを忘れた場合は、Ansible ルートディレクトリで見つかります。以下のコマンドは、管理者パスワードを表示します。

[centos@ip-10-0-0-10 ~]$ sudo grep admin_password /ansible-tower-setup-bundle*/inventory

Secure Shell (SSH) を使用して EC2 インスタンスに接続する方法については、「ステップ6 (p. 30)」を参照してください。

Note

CentOS では、SSH 接続にユーザー名として、ec2-user ではなく centos を使用します。たとえば、CentOS では、以下のように使用します。

ssh –i <your>.pem centos@<ip-or-hostname>

RHEL では、以下のように使用します。

ssh –i <your>.pem ec2-user@<ip-or-hostname>

ログインに成功すると、図 13 で示している画面が表示されます。4. [Request License] を選択して、無料の Tower トライアルライセンスを取得します (Tower ライセンス

がすでにある場合は、この手順をスキップして後でライセンス情報を入力できます)。

26

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

図 13: Tower ライセンスのリクエスト5. 無料トライアルオプション (10 ノード) を選択し、求められた情報を入力して、[Submit] を選択しま

す。

27

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

28

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 5. トライアルライセンスを取得する

図 14: Ansible Tower の無料トライアルの選択

Ansible は、図 15 に示しているようなトライアルライセンスファイルをお客様の E メールアカウントに送信します。

6. ワークステーションにライセンスファイルを保存します。

図 15: Ansible トライアルライセンスファイル7. [Tower License] ページで、[Browse] を選択し、ライセンスを保存した場所に移動します。

29

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ステップ 6. Tower の EC2 インスタンスを設定および管理する

図 16: ライセンスファイルの選択8. 画面の下部にあるチェックボックスをオンにすることで、使用許諾契約に同意したら、[Submit] を選

択します。

ステップ 6. Tower の EC2 インスタンスを設定および管理する

このステップでは、 Amazon EC2 と統合した Ansible Tower を設定します。そのため、Ansible Towerダッシュボードで EC2 インスタンスを表示および管理できます。その後、Ansible Tower によって検出される他のマネージドインスタンスも追加します。Anipal Tower で組織、チーム、プロジェクトを設定する方法の詳細については、『Ansible Tower ユーザーガイド』を参照してください。

30

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 と統合した Ansible Tower の設定

EC2 と統合した Ansible Tower の設定

1.Ansible Tower ダッシュボードで、 ボタンを押して、設定画面を開きます。

31

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

図 17: Ansible Tower ダッシュボード2. 右上の歯車のアイコンを選択し、[Credentials] を選択します。[Add] を選択します。3. 図 18 に示しているように、認証情報の詳細を入力します。

a. [Name] と [Description] に入力します。b. お客様の組織を選択します。c. [Type] で、[Amazon Web Services] を選択します。d. [Access Key] と [Secret Key] に入力します。e. [Save] を選択します。

図 18: Ansible Tower での認証情報の作成

Ansible Tower での EC2 インスタンスの検出と管理Ansible では、タスクを起動できるホストの集合をインベントリと呼びます。インベントリは、特定のホスト (システム、ノード、またはインスタンス) を含むグループで構成されます。これらの概念の詳細については、『Ansible Tower ユーザーガイド』を参照してください。

1. Ansible Tower のナビゲーションバーで、[Inventories] を選択します。

32

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

2. [New Inventory] 画面で、インベントリの名前と説明を入力し、[Save] を選択します。

図 19: インベントリの作成3. 次に、[Add Group] を選択して、グループを作成します。

33

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

図 20: Ansible Tower のグループ4. [Add Group] ウィンドウで、以下の操作を行います。

a. グループの名前と説明を入力します。b. [Cloud Credential] で虫眼鏡を選択してから、[AWS Credentials] を選択します。c. [Regions] で、[All] を選択します。d. [Instance Filters] に「tag-key=Tower」と入力します。e. 他のフィールドはすべて変更せずに、[Save] を選択します。

34

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

35

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

図 21: グループの追加5. ナビゲーションバーを使用して [Inventories] に戻り、[AWS Inventory] を選択します。

図 22: グループへのアクセス6.

[Groups] ウィンドウで、[EC2 Group] を選択し、 ボタンを押して同期プロセスを開始します。

図 23: グループの同期

36

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

EC2 インスタンスの検出と管理

同期中、Ansible Tower は提供された認証情報を使用して、AWS からメタデータを取得します。このプロセスが正常に完了すると、グループ名の横に緑色のクラウドと緑色の円が表示されて、AWS との同期が完了したことが示されます。

[Hosts] セクションには、2 つのホストとして Ansible Tower とベア Linux クライアントインスタンスが表示されます。いずれも Ansible によって管理されます。

図 24: Ansible Tower によって検出された EC2 インスタンス7. Tower ホストを選択して、インスタンスメタデータを表示できます。

37

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド他のマネージドインスタンスの追加

図 25: Ansible Tower インスタンスのプロパティ

他のマネージドインスタンスの追加

このクイックスタートで起動された AWS CloudFormation テンプレートは、最初に EC2 インスタンスを作成し、Tower キーでタグ付けしました。Amazon EC2 コンソールでは、[Launch More Like This] 機能があり、Tower キーでタグ付けされた追加のインスタンスを起動できます。同期をリクエストすると、Ansible Tower によって新しいインスタンスが検出されます。

1. Amazon EC2 コンソールの [Instances] ページで、[AnsibleClient] を選択します。2. [Actions]、[Launch More Like This] の順に選択します。

38

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド他のマネージドインスタンスの追加

図 26: 追加の EC2 インスタンスの起動3.

Ansible Tower の [Hosts] 画面で、 ボタンを選択して、新しいインスタンスをスキャンします。

図 27 では、3 番目のホストも示しています。

39

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド他のマネージドインスタンスの追加

図 27: Ansible Tower での新しい EC2 インスタンスの検出

Tower キーでタグ付けされたホストを検出するように Ansible Tower を設定したところで、EC2 インスタンスを管理および設定するプレイブックをデプロイ可能になります。

40

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

トラブルシューティングQ. クイックスタートの起動時に CREATE_FAILED エラーが発生しました。どうすればよいですか?

A. AWS CloudFormation でスタックの作成に失敗した場合は、[Rollback on failure] を [No] に設定してテンプレートを再起動することをお勧めします (この設定は AWS CloudFormation コンソールの [Options]ページで [Advanced] にあります)。この設定では、スタックの状態は保持され、インスタンスは実行されたままになるため、トラブルシューティングを行うことができます (エラーの原因の詳細については、ログファイル /var/log/cloud-init.log を参照)。

重要

[Rollback on failure] を [No] に設定すると、このスタックに対して AWS 料金が発生し続けます。トラブルシューティングが完了したら、必ずスタックを削除してください。

追加情報については、AWS ウェブサイトの「AWS CloudFormation のトラブルシューティング」を参照してください。

Q. AWS CloudFormation テンプレートをデプロイしたときにサイズ制限エラーが発生しました。

A. クイックスタートテンプレートは、AWS から提供された場所または別の S3 バケットから起動することをお勧めします。コンピュータのローカルコピーまたは S3 以外の場所からテンプレートをデプロイする場合は、スタックの作成時にテンプレートサイズの制限を受けることがあります。AWS CloudFormationの制限の詳細については、AWS ドキュメントを参照してください。

41

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

セキュリティセキュリティグループは、1 つ以上のインスタンスのトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、1 つ以上のセキュリティグループとインスタンスを関連付けます。各セキュリティグループに対してルールを追加し、関連付けられたインスタンスに対するトラフィックを許可します。セキュリティグループのルールはいつでも変更できます。新しいルールは、セキュリティグループに関連付けられているインスタンスすべてに自動的に適用されます。

このソリューションの一部として作成されて各インスタンスに割り当てられたセキュリティグループは、アクセスが可能な限り制限されますが、Ansible Tower に必要なさまざまな機能へのアクセスが許可されます。Ansible が稼働状態になったら、セキュリティグループを確認して、必要に応じてアクセスをさらに制限することをお勧めします。

クイックスタートをデプロイした後、管理者およびデータベース管理者アカウントのパスワードをお客様の IT 標準に従って更新することを強くお勧めします。

42

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

その他のリソースAWS サービス

• AWS CloudFormation• Amazon EC2• IAM• AWS OpsWorks• Amazon VPC

Ansible リソース

• Ansible Tower ユーザーガイド

クイックスタートリファレンスデプロイ

• AWS クイックスタートのホームページ

43

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

フィードバックの送信GitHub リポジトリでは、このクイックスタートのテンプレートとスクリプトのダウンロード、コメントの投稿、および他のユーザーとのカスタマイズ内容の共有ができます。

44

AWS での Ansible Tower クイックスタートリファレンスデプロイガイド

ドキュメントの改訂日付 変更 場所

2017 年 5 月 日 管理者の認証情報を保存するための tower_setup_conf.yml ファイルの使用を削除。

手順 5 (p. 24)

2017 年 5 月 日 Ansible Tower バージョン 3 について更新。

テンプレートでの変更、ガイド全体での変更

2016 年 4 月 日 初版発行 –

注意本文書は、情報提供の目的のみのために提供されるものです。本文書の発行時点における AWS の現行製品と慣行を表したものであり、それらは予告なく変更されることがあります。お客様は本文書の情報および AWS 製品の使用について独自に評価する責任を負うものとします。これらの情報は、明示または黙示を問わずいかなる保証も伴うことなく、「現状のまま」提供されるものです。本文書内のいかなるものも、AWS、その関係者、サプライヤ、またはライセンサーからの保証、表明、契約的なコミットメント、条件や確約を意味するものではありません。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客様との間の契約に属するものではなく、また、当該契約が本文書によって修正されることもありません。

このホワイトペーパーに付属のソフトウェアは Apache License バージョン 2.0 (以下 "License") の下で使用許諾されます。License に準拠する場合にのみ、このファイルを使用できます。License のコピーは、http://aws.amazon.com/apache2.0/ か、このファイルに添付されている "license" ファイルにあります。このコードは、明示的にも黙示的にも、いかなる種類の保証や条件もなく、"現状有姿" で配布されます。License の下での言語に基づくアクセス権限と制限については、License を参照してください。

45