Hey Habr!
Bu yaxınlarda burada bir məqalə çıxdı fosil vasitələrdən istifadə edərək bənzər bir problem həll edildi. Tapşırıq tamamilə tipik olsa da, Habré-də buna bənzər bir şey yoxdur. Velosipedimi hörmətli İT ictimaiyyətinə təqdim etməyə cəsarət edirəm.
Bu, belə bir vəzifə üçün ilk velosiped deyil. Birinci variant bir neçə il əvvəl yenidən həyata keçirildi ansible versiya 1.x.x. Velosiped az istifadə olunub və ona görə də daim paslanır. O mənada ki, tapşırığın özü versiyalar yeniləndiyi qədər tez-tez yaranmır ansible. Və hər dəfə maşın sürmək lazım olanda zəncir düşür və ya təkər düşür. Bununla belə, konfiqurasiya yaradan birinci hissə xoşbəxtlikdən həmişə çox aydın işləyir jinja2 Motor çoxdan qurulub. Ancaq ikinci hissə - konfiqurasiyaların yayılması - adətən sürprizlər gətirirdi. Bəziləri minlərlə kilometr məsafədə yerləşən yarım yüz cihaza uzaqdan konfiqurasiyanı yaymalı olduğum üçün bu alətdən istifadə etmək bir az darıxdırıcı idi.
Burada etiraf etməliyəm ki, mənim qeyri-müəyyənliyim çox güman ki, tanışlığımın olmamasıdır ansibleçatışmazlıqlarından daha çox. Və bu, yeri gəlmişkən, vacib bir məqamdır. ansible inamlı səviyyədə saxlanmalı olan öz DSL (Domain Specific Language) ilə tamamilə ayrı, öz bilik sahəsidir. Yaxşı, o an ansible O, kifayət qədər sürətlə inkişaf edir və geriyə uyğunluğa xüsusi əhəmiyyət vermədən özünə inam əlavə etmir.
Buna görə də, bir müddət əvvəl velosipedin ikinci versiyası həyata keçirildi. Bu dəfə python, daha doğrusu yazılmış çərçivədə python və üçün python deyilən
Belə ki - Nornir yazılmış mikroçərçivədir python və üçün python və avtomatlaşdırma üçün nəzərdə tutulmuşdur. Eyni ilə halda olduğu kimi ansible, burada problemləri həll etmək üçün səlahiyyətli məlumatların hazırlanması tələb olunur, yəni. hostların inventar və onların parametrləri, lakin skriptlər ayrıca DSL-də deyil, eyni çox köhnə deyil, çox yaxşı p[i|i]tonda yazılmışdır.
Aşağıdakı canlı nümunədən nə istifadə etdiyinə baxaq.
Ölkə boyu bir neçə onlarla ofisim olan filial şəbəkəm var. Hər bir ofisdə müxtəlif operatorlardan bir neçə rabitə kanalını dayandıran WAN marşrutlaşdırıcısı var. Marşrutlaşdırma protokolu BGP-dir. WAN marşrutlaşdırıcıları iki növdə olur: Cisco ISG və ya Juniper SRX.
İndi tapşırıq: siz filial şəbəkəsinin bütün WAN marşrutlaşdırıcılarında ayrıca portda Video Nəzarət üçün xüsusi alt şəbəkəni konfiqurasiya etməlisiniz - bu alt şəbəkəni BGP-də reklam edin - xüsusi portun sürət həddini konfiqurasiya edin.
Birincisi, bir neçə şablon hazırlamalıyıq, bunun əsasında Cisco və Juniper üçün ayrıca konfiqurasiyalar yaradılacaqdır. Həm də hər bir nöqtə və əlaqə parametrləri üçün məlumat hazırlamaq lazımdır, yəni. eyni inventar toplamaq
Cisco üçün hazır şablon:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyJuniper üçün şablon:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterŞablonlar, təbii ki, havadan çıxmır. Bunlar, müxtəlif modellərin iki xüsusi marşrutlaşdırıcısında tapşırığı həll etdikdən sonra mövcud olan və mövcud olan iş konfiqurasiyaları arasındakı əsas fərqlərdir.
Şablonlarımızdan görürük ki, problemi həll etmək üçün bizə yalnız Juniper üçün iki parametr və Cisco üçün 3 parametr lazımdır. bunlardır:
- ifname
- ipsuffix
- asn
İndi hər bir cihaz üçün bu parametrləri təyin etməliyik, yəni. eyni şeyi edin inventar.
Uğrunda inventar Sənədlərə ciddi əməl edəcəyik
yəni eyni fayl skeletini yaradaq:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlconfig.yaml faylı standart nornir konfiqurasiya faylıdır
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Faylda əsas parametrləri göstərəcəyik hosts.yaml, qrup (mənim vəziyyətimdə bunlar girişlər/parollardır). qruplar.yaml, içində isə defaults.yaml Heç nə göstərməyəcəyik, ancaq orada üç minus daxil etməlisiniz - bunun olduğunu göstərir yaml fayl boş olsa da.
hosts.yaml belə görünür:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Budur group.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Bu baş verdi inventar vəzifəmiz üçün. İlkinləşdirmə zamanı inventar fayllarından parametrlər obyekt modelinə uyğunlaşdırılır InventoryElement.
Spoylerin altında InventoryElement modelinin diaqramı var
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Bu model xüsusilə ilk baxışda bir az çaşqın görünə bilər. Bunu anlamaq üçün interaktiv rejimdə ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Və nəhayət, ssenarinin özünə keçək. Burada xüsusilə fəxr edəcəyim heç nə yoxdur. Mən sadəcə olaraq hazır nümunə götürdüm və demək olar ki, dəyişməz istifadə etdi. Hazır iş skripti belə görünür:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Parametrə diqqət yetirin dry_run=Düzdür sətir obyektinin işə salınması nr.
Burada olduğu kimi ansible marşrutlaşdırıcıya qoşulma aparıldığı, yeni dəyişdirilmiş konfiqurasiyanın hazırlandığı, daha sonra cihaz tərəfindən təsdiqləndiyi bir sınaq işi həyata keçirildi (lakin bu dəqiq deyil; bu, cihazın dəstəyindən və NAPALM-də sürücünün tətbiqindən asılıdır) , lakin yeni konfiqurasiya birbaşa tətbiq edilmir. Döyüş istifadəsi üçün parametri çıxarmalısınız quru_qaç və ya dəyərini dəyişdirin Saxta.
Skript yerinə yetirildikdə, Nornir ətraflı jurnalları konsola çıxarır.
Spoylerin altında iki sınaq marşrutlaşdırıcısında döyüş çıxışı var:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ansible_vault-da parolların gizlədilməsi
Yazının əvvəlində bir az həddi aşdım ansible, lakin hər şey o qədər də pis deyil. Mən onları çox bəyənirəm gölməçə kimi, həssas məlumatları gözdən kənarda gizlətmək üçün nəzərdə tutulmuşdur. Və yəqin ki, bir çoxları bir faylda açıq formada parıldayan bütün döyüş marşrutlaşdırıcıları üçün bütün girişlərin/parolların olduğunu fərq etdi. gorups.yaml. Bu, əlbəttə ki, gözəl deyil. Bu məlumatları ilə qoruyaq gölməçə.
Parametrləri group.yaml-dan creds.yaml-a köçürək və onu AES256 ilə 20 rəqəmli parolla şifrələyək:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Bu qədər sadədir. Bizə öyrətmək qalır Nornir-bu məlumatları əldə etmək və tətbiq etmək üçün skript.
Bunu etmək üçün, başlatma xəttindən sonra skriptimizdə nr = InitNornir (config_file=… aşağıdakı kodu əlavə edin:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Təbii ki, vault.passwd mənim nümunəmdəki kimi creds.yaml-ın yanında yerləşməməlidir. Amma oynamaq üçün yaxşıdır.
Hələlik bu qədər. Cisco + Zabbix haqqında daha bir neçə məqalə var, lakin bu, avtomatlaşdırma haqqında bir az deyil. Və yaxın gələcəkdə Cisco-da RESTCONF haqqında yazmağı planlaşdırıram.
Mənbə: www.habr.com