Plan Bのおすすめ Technical Blog

お問い合わせ

LinuxサーバからSSL-VPNでアクセスするためのAnsible-Playbook

投稿者:ソリューション担当

常田です。

最近、サーバの設定をAnsibleで実施する日々が続いています。便利です。
以前は、Provisioning Scriptで構成していたのですがAnsibleとの住み分けをどうしようかなと思いながら利用しています。いずれにしてもServerSpecでのテストは必須ですね。

さて、SoftLayerのサーバ群には標準で用意されているSSL-VPN経由でサーバにアクセスが出来ます。この経路であれば各サーバへインターネット経由で接続せずにプライベートアドレスでアクセス出来て便利です。

Ansibleを実行するLinux端末からSSL-VPNに接続するためにはVPNクライアントを導入しなければいけません。devサイトに導入用のAnsibleが有りましたので利用してみます。

Ansibleの実行環境は作られているものとします。

以下の内容を install_arrray_vpn.yml として保管して下さい。

---
- hosts: 127.0.0.1
  connection: local
  sudo: yes
  tasks:
    - name: Create directory for VPN client
      file:
        path: "~/vpn"
        state: directory

    - name: Get VPN binary file
      get_url:
        url: "http://speedtest.dal05.softlayer.com/array/ArrayNetworksL3VPN_LINUX.zip"
        dest: "~/vpn/ArrayNetworksL3VPN_LINUX.bin"
        sha256sum: "6300f97886bdabcd8e92d3327f2704b705dc0bd050b4fd9fb5dc8cb9ed6ceec2"

    - name: Add execute permissions on VPN client
      file:
        path: "~/vpn/ArrayNetworksL3VPN_LINUX.bin"
        mode: u=rwx

    - name: Extract VPN client files from binary
      command: "./ArrayNetworksL3VPN_LINUX.bin"
      args:
        chdir: "~/vpn"
        creates: "~/vpn/array_vpnc64"

    - name: Update permissions on the VPN client
      file:
        path: "~/vpn"
        mode: "u=rwX,g=rX,o=rX"
        recurse: yes

上記を実行すると /root/vpn 配下にコマンドが導入されます。
以下のコマンドで接続を行います。

$sudo /root/vpn/array_vpnc64 -hostname https://vpn.dal05.softlayer.com -username sl_userid -passwd vpn_password
array_vpnc: VPN TUNNEL SUCCESSFUL!

実際に何れかのサーバへpingを実施します。

vagrant@vagrant-ubuntu-trusty:~$ ping 10.160.143.40
PING 10.160.143.40 (10.160.143.40) 56(84) bytes of data.
64 bytes from 10.160.143.40: icmp_seq=1 ttl=54 time=219 ms
64 bytes from 10.160.143.40: icmp_seq=2 ttl=54 time=240 ms
^C
--- 10.160.143.40 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 219.371/229.917/240.463/10.546 ms

このようにプライベートアドレスに対して通信ができるようになりました。SoftLayerはよくも悪くも標準では全てのサーバにパブリックIPアドレスが付与されてしまうので可能な限り通信制御を行ったうえでこの様案SSL-VPNなどを利用するのが良いかと思います。


Bluemixの環境構築、運用、ご利用契約のことなら
日本情報通信にお任せください。

Bluemixについての
お問い合わせはこちら

ページの先頭に戻る