Ansible から PaloAlto に接続し、set モードで config を取得したい

Palo Alto Networks Ansible Collection を使用して、config を取得する検証をしているのですが、実現できずにいます。

PaloAlto CLI でいうと、以下に相当することを実現したいのですが、1行目の set cli config-output-format set を実行する手段が見つかりません。
どのようにすれば実現できるか、ご存知のかたがいらっしゃれば、ご教示いただきたいです。

set cli config-output-format set
configure
show

ちなみに、以下のように task を書くと、XML形式で出力されてしまいます。

tasks:
  - name: show run
    paloaltonetworks.panos.panos_op:
      provider: "{{ palo_provider }}"
      cmd: 'show config running'

※動作環境は、RHEL8, Ansible 2.9.13 です

行動規範の内容に同意します

回答1件

ベストアンサー

回答

Palo Alto Networks Ansible Collectionは内部的にHTTPSのAPIを使ってPaloaltoと通信しています。
つまり、このCollectionを使う限りはPaloaltoのAPIに対応した操作しかできません。

1行目の set cli config-output-format set を実行する手段が見つかりません。
どのようにすれば実現できるか、ご存知のかたがいらっしゃれば、ご教示いただきたいです。

恐らく、これはPaloaltoのAPIではできないのではないか...と思います。

私も以前show config diffをAnsible経由で実行しようとしたことがありますが、このコマンド相当のAPIが存在しないためか失敗しました。

代案

SmartCSなどを使ってシリアルコンソール経由でアクセスするか、telnetモジュールを使うなど、PaloaltoのCollection以外の方法を検討する必要があるかと思います。

AnsibleからPaloaltoに直接SSHができればベストですが、その方法は私にもわかりません。

投稿2022/02/26 12:38

endy

総合スコア170

xotaki

2022/02/26 13:34

回答ありがとうございました！できない理由に納得しました。代案としては、expectモジュールはどうかと思っていますが、まだ試せていません。エラー処理が大変なので、あまり採用したくはないのですが……。

endy

2022/02/27 03:27

確かにexpectモジュールであれば、custom connection pluginなど使わずになんとかできそうですね。 rawモジュールも別の理由で使えなかったと思うので (※)、expectが一番良いやり方のような気がしてきました...。 (※) rawモジュールは`ssh <IP> set cli config-output-format set` を実行する (コマンドも入れてSSHする) イメージとどこかで聞いたことがあるのですが、Paloaltoはこのような指定の仕方ができないんですよね。 Paloaltoはログインシェルを起動しないとコマンド実行ができないのかな...と理解しています。 expectであればログインシェルを起動するので、動きそうな気がしますね！おっしゃるとおり、エラー処理は大変だと思いますが...。

行動規範の内容に同意します