Comments 5
Спасибо за пост! Поскольку информации по автоматизации отечественных криптошлюзов откровенно мало, считаю что подобные наработки надо выкладывать на какой то общедоступный репозиторий.
P.S для загрузки ipsec конфигов сгенерированных через jinja2 можно воспользоваться таким фокусом, это спасло бы вас от 3го булыжника, думаю что и от 4го тоже... но стоит порой консультироваться с вендором, а не пытаться в гараже сделать звезду смерти.
Зачем нужен был sql? Чем вас не устроило динамическое инвентори из xlsx?
- name: Setup IPsec config
hosts: s_terra
gather_facts: true
tasks:
- name: Create a directory for scripts if it does not exist
ansible.builtin.file:
path: /var/ansible
state: directory
- name: Send config IPsec
ansible.builtin.copy:
src: /main-ansible/ansible/ipsec.conf
dest: /var/ansible
- name: Setup IPsec in cisco-like
ansible.builtin.raw: "(echo -e 'conf t'; cat /var/ansible/ipsec.conf; echo -e '\n end') | su cscons"
Полностью с Вами согласен.
Я считаю. что это должен сделать Вендор. Мы с ними достаточно плотно и дружно работаем и конечно сможем пердоставить или загрузить на GitLab если будет такая потребность.
Хотя по сути это все работа с Cisco и Linux.
SQL был нужен как фильтрация (отбору группы строк по содержанию ячейки) по содержанию ячеек и не более. Решений целая куча, просто выбрали именно это.
Каждый кто работал с С-террой КП знает что она не экономит, а отнимает время. Исключение генерация пакетов клиентов.
Документации на API КП нету.
Через Ansible большинство проблем можно решить разными путями.
Иногда надо поставить себя на место интегратора и понять что конечному заказчику абсолютно все равно какими путями он будет решать ту или иную задачу.
Сюда же относятся истории некоторых отечественных вендоров про "запрещено регулятором", только этот регулятор не фсб, а то как видят это отделы сертификации внутри...
Искренне надеюсь что сертификация как процесс отойдет на задний план, а вендоров скорее заставят доказывать процент заимствования исходного кода.
На счет Гамм вопрос интересный. Но т.к. они индивидуальные проблем не вижу. тот же самый аппаратный способ как на 7000 и 3000.
Sterra КП не резервируется и не является целевой схемой управления, у меня даже письмо где-то есть от S-terra. Кроме того Автоматизация кликов мышкой, это не то чего мы пытались добиться.
Путешествие по камням, или Как мы скрестили криптошлюзы S‑Terra с Ansible для автоматизации конфигурирования устройств