Прывітанне, Хабр!
Нядаўна тут праскочыў артыкул дзе падобную задачу вырашалі выкапнямі сродкамі. І хоць задача зусім тыповая, на Хабре пра яе як то нічога падобнага і не знаходзіцца. Адважуся прапанаваць паважанаму ІТ-супольнасці свой ровар.
Гэта не першы веласіпед для падобнай задачы. Першы варыянт быў рэалізаваны некалькі гадоў таму яшчэ на адказны версіі 1.x.х. Ровар выкарыстоўваўся рэдка і таму ўвесь час іржавеў. У тым сэнсе, што сама задача ўзнікае не так часта, як абнаўляюцца версіі. адказны. І кожны раз, калі трэба ехаць, то ланцуг спадзе, то кола адваліцца. Зрэшты першая частка, генерацыя канфігаў - адрабляе заўсёды вельмі выразна, балазе jinja2 рухавік даўно ўстояны. А вось другая частка - раскочванне канфігаў, як правіла падавала неспадзеўкі. А бо раскочваць канфіг мне даводзіцца выдалена на падлогу сотні прылад, некаторыя з якіх знаходзяцца ў тысячах кіламетраў, то карыстацца гэтай прыладай было злёгку сыкотна.
Тут трэба прызнаць, што мая няўпэўненасць, хутчэй крыецца ў недастатковым знаёмстве мяне з адказны, чым у яго недахопах. І вось гэта, дарэчы, важны момант. адказны - гэта зусім асобная, свая ўласная вобласць ведаў са сваім уласным DSL (Domain Specific Language), які неабходна падтрымліваць на ўпэўненым узроўні. Ну і той момант, што адказны досыць хутка развіваецца, прычым без асаблівай аглядкі на зваротную сумяшчальнасць, упэўненасці не дадае.
Таму не так даўно быў рэалізаваны другі варыянт ровара. На гэты раз на пітон, а дакладней на фрэймворку, напісаным на пітон і для пітон пад назвай
Такім чынам - Nornir гэта мікрафрэймак, напісаны на пітон і для пітон і прызначаны для аўтаматызацыі. Гэтак жа як і ў выпадку з адказны, для рашэння задач тут патрабуецца пісьменная падрыхтоўка даных г.зн. інвентарызацыі хастоў і іх параметраў, а вось сцэнары пішуцца не на асобным DSL, а ўсё на тым жа не вельмі старым, але вельмі добрым п[і|ай]тоне.
Давайце разгледзім што яно такое на наступным жывым прыкладзе.
Ёсць у мяне філіяльная сетка з некалькімі дзясяткамі офісаў па ўсёй краіне. У кожным офісе існуе WAN-маршрутызатар, які тэрмінуе некалькі каналаў сувязі ад розных аператараў. Пратакол маршрутызацыі - BGP. WAN-маршрутызатары бываюць двух тыпаў: Cisco ISG ці Juniper SRX.
Зараз задача: неабходна сканфігураваць на ўсіх WAN-маршрутызатарах філіяльнай сеткі выдзеленую падсетку для Відэаназірання ў асобным порце - анансаваць гэтую падсетку ў BGP - сканфігураваць абмежаванне хуткасці выдзеленага порта.
Спачатку нам неабходна падрыхтаваць пару шаблонаў, на аснове якіх будуць генеравацца канфігурацыі асобна па Cisco і Juniper. А гэтак жа неабходна падрыхтаваць дадзеныя па кожным пункце і параметры падлучэння г.зн. сабраць тое самае inventory
Гатовы шаблон для Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyШаблон для Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterШаблоны, вядома, бяруцца не са столі. Гэта ў сутнасці diff-ы паміж працоўнымі канфігурацыямі было-стала пасля рашэння пастаўленай задачы на двух пэўных маршрутызатарах розных мадэляў.
З нашых шаблонаў мы бачым, што нам для рашэння задачы дастаткова двух параметраў для Juniper і 3 параметра для Cisco. вось яны:
- ifname
- ipsuffix
- асн
Цяпер нам неабходна задаць гэтыя параметры для кожнай прылады, г.зн. зрабіць тое самае інвентарызацыя.
Для інвентарызацыя будзем дакладна прытрымлівацца дакументацыі
т.е створым такі ж файлавы шкілет:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlФайл config.yaml - стандартны файл канфігурацыі nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Асноўныя параметры будзем паказваць у файле hosts.yaml, групавыя (у маім выпадку гэта лагіны/паролі) у groups.yaml, а ў defaults.yaml нічога паказваць не будзем, але туды неабходна ўпісаць тры мінусы - паказваюць, на тое што гэта ямл файл хоць і пусты.
Вось так выглядае hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111А вось так groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Вось такое напалілася інвентарызацыя для нашай задачы. Пры ініцыялізацыі параметры з inventory-файлаў мапяцца на аб'ектную мадэль InventoryElement.
Пад спойлерам схема мадэлі InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Гэтая мадэль можа выглядаць крыху заблытанай, асабліва спачатку. Для таго каб разабрацца вельмі дапамагае інтэрактыўны рэжым у пітон.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Ну і нарэшце пераходзім уласна да скрыпту. Тут мне асабліва ганарыцца няма чым. Я проста ўзяў гатовы прыклад з і амаль без змен яго выкарыстаў. Вось так выглядае гатовы працоўны скрыпт:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Звярніце ўвагу на параметр dry_run=True у радку ініцыялізацыя аб'екта nr.
Тут гэтак жа як і ў адказны рэалізаваны тэставы прагон пры якім адбываецца злучэнне з маршрутызатарам, рыхтуецца новая змененая канфігурацыя, якая затым валідуецца прыладай (але гэта не сапраўды; залежыць ад падтрымкі прыладай і рэалізацыі драйвера ў NAPALM), але непасрэдна ўжыванні новай канфігурацыі не адбываецца. Для баявога прымянення неабходна прыбраць параметр сухі_прагон альбо змяніць яго значэнне на фальшывы.
Пры выкананні сцэнара Nornir выдае ў кансоль падрабязныя логі.
Пад спойлерам выснова баявога прагону на двух тэставых машрутызатарах:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Хаваем паролі ў ansible_vault
У пачатку артыкула я крыху наехаў на адказны, Але там не ўсё так дрэнна. Вельмі мне ў іх Сховішча падабаецца, які прызначаны для ўтойвання адчувальнай інфармацыі з вачэй далоў. І мусіць шматлікія заўважылі, што ў нас усе лагіны/паролі да ўсіх баявых маршрутызатараў зіхацяць у адкапаным выглядзе ў файле gorups.yaml. Непрыгожа гэта вядома. Давайце абаронім гэтыя дадзеныя з дапамогай Сховішча.
Перанясём параметры з groups.yaml у creds.yaml, і зашыфруем яго AES256 c 20-значным паролем:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Вось так проста. Засталося навучыць наш Nornir-скрыпт даставаць і прымяняць гэтыя дадзеныя.
Для гэтага ў нашым скрыпце пасля радка ініцыялізацыі nr = InitNornir(config_file=… дадаем наступны код:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Зразумела, vault.passwd не павінен ляжаць побач з creds.yaml як у маім прыкладзе. Але для пагуляць сыдзе.
На гэтым пакуль усё. На падыходзе яшчэ пара артыкулаў пра Cisco + Zabbix, але гэта крыху не пра аўтаматызацыю. А ў недалёкім будучыні планую напісаць пра RESTCONF у Cisco.
Крыніца: habr.com