Hey Habr!
KĂŒrzlich ist hier ein Artikel aufgetaucht wo ein Ă€hnliches Problem mit fossilen Mitteln gelöst wurde. Und obwohl die Aufgabe völlig typisch ist, gibt es auf HabrĂ© nichts Vergleichbares. Ich wage es, mein Fahrrad der angesehenen IT-Community anzubieten.
Dies ist nicht das erste Fahrrad fĂŒr eine solche Aufgabe. Die erste Option wurde bereits vor einigen Jahren umgesetzt ansible Version 1.x.x. Das Fahrrad wurde selten benutzt und war daher stĂ€ndig verrostet. In dem Sinne, dass die Aufgabe selbst nicht so oft auftritt, wenn Versionen aktualisiert werden ansible. Und jedes Mal, wenn Sie fahren mĂŒssen, fĂ€llt die Kette ab oder das Rad fĂ€llt ab. Allerdings funktioniert der erste Teil, das Generieren von Configs, zum GlĂŒck immer sehr ĂŒbersichtlich Jinja2 Der Motor ist lĂ€ngst etabliert. Aber der zweite Teil â das Ausrollen der Konfigurationen â brachte meist Ăberraschungen. Und da ich die Konfiguration aus der Ferne auf ein halbes Hundert GerĂ€te ausrollen muss, die teilweise Tausende von Kilometern entfernt sind, war die Verwendung dieses Tools etwas langweilig.
Hier muss ich zugeben, dass meine Unsicherheit höchstwahrscheinlich auf meiner mangelnden Vertrautheit beruht ansibleals in seinen MĂ€ngeln. Und das ist ĂŒbrigens ein wichtiger Punkt. ansible ist ein völlig eigenstĂ€ndiges, eigenes Wissensgebiet mit eigener DSL (Domain Specific Language), das auf einem sicheren Niveau gehalten werden muss. Nun, dieser Moment ansible Es entwickelt sich recht schnell und ohne besondere RĂŒcksicht auf die AbwĂ€rtskompatibilitĂ€t schafft es kein zusĂ€tzliches Vertrauen.
Daher wurde vor nicht allzu langer Zeit eine zweite Version des Fahrrads eingefĂŒhrt. Diesmal weiter python, oder besser gesagt auf einem in geschriebenen Framework python und fĂŒr python berechtigt
Also - nornir ist ein geschriebenes Mikroframework python und fĂŒr python und fĂŒr die Automatisierung ausgelegt. Das gleiche wie im Fall mit ansibleUm hier Probleme zu lösen, ist eine kompetente Datenaufbereitung erforderlich, d.h. Inventar der Hosts und ihrer Parameter, aber Skripte werden nicht in einem separaten DSL geschrieben, sondern in demselben nicht sehr alten, aber sehr guten p[i|i]ton.
Schauen wir uns anhand des folgenden Live-Beispiels an, was es ist.
Ich verfĂŒge ĂŒber ein Filialnetz mit mehreren Dutzend BĂŒros im ganzen Land. Jedes BĂŒro verfĂŒgt ĂŒber einen WAN-Router, der mehrere KommunikationskanĂ€le verschiedener Betreiber terminiert. Das Routing-Protokoll ist BGP. WAN-Router gibt es in zwei Typen: Cisco ISG oder Juniper SRX.
Jetzt die Aufgabe: Sie mĂŒssen ein dediziertes Subnetz fĂŒr die VideoĂŒberwachung an einem separaten Port auf allen WAN-Routern des Filialnetzwerks konfigurieren â dieses Subnetz in BGP bekannt geben â die Geschwindigkeitsbegrenzung des dedizierten Ports konfigurieren.
ZunĂ€chst mĂŒssen wir einige Vorlagen vorbereiten, auf deren Grundlage Konfigurationen separat fĂŒr Cisco und Juniper generiert werden. Es ist auch notwendig, Daten fĂŒr jeden Punkt und Verbindungsparameter aufzubereiten, d. h. Sammle das gleiche Inventar
Fertige Vorlage fĂŒr Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyVorlage fĂŒr Wacholder:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterVorlagen kommen natĂŒrlich nicht aus dem Nichts. Dabei handelt es sich im Wesentlichen um Unterschiede zwischen den Arbeitskonfigurationen, die nach Lösung der Aufgabe auf zwei bestimmten Routern unterschiedlicher Modelle vorhanden waren und waren.
Aus unseren Vorlagen sehen wir, dass wir zur Lösung des Problems nur zwei Parameter fĂŒr Juniper und drei Parameter fĂŒr Cisco benötigen. hier sind sie:
- ifname
- ipsuffix
- asn
Jetzt mĂŒssen wir diese Parameter fĂŒr jedes GerĂ€t einstellen, d.h. mach das selbe Inventar.
fĂŒr Inventar Wir werden uns strikt an die Dokumentation halten
das heiĂt, erstellen wir das gleiche DateigerĂŒst:
.
âââ config.yaml
âââ inventory
â âââ defaults.yaml
â âââ groups.yaml
â âââ hosts.yamlDie Datei config.yaml ist die Standard-Nornir-Konfigurationsdatei
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Wir geben die Hauptparameter in der Datei an hosts.yaml, Gruppe (in meinem Fall sind das Logins/Passwörter) in groups.yamlUnd in defaults.yaml Wir werden nichts angeben, aber Sie mĂŒssen dort drei Minuspunkte eingeben, um anzuzeigen, dass dies der Fall ist YAML Die Datei ist jedoch leer.
So sieht hosts.yaml aus:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Und hier ist groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Das ist, was passiert ist Inventar fĂŒr unsere Aufgabe. Bei der Initialisierung werden Parameter aus Inventardateien dem Objektmodell zugeordnet Inventarelement.
Unterhalb des Spoilers befindet sich ein Diagramm des InventoryElement-Modells
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Dieses Modell kann vor allem auf den ersten Blick etwas verwirrend wirken. Um es herauszufinden, ist der interaktive Modus in python.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Und schlieĂlich kommen wir zum Drehbuch selbst. Hier gibt es nichts, worauf ich besonders stolz sein kann. Ich habe gerade ein vorgefertigtes Beispiel von genommen und nutzte es nahezu unverĂ€ndert. So sieht das fertige Arbeitsskript aus:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Achten Sie auf den Parameter dry_run=True Inline-Objektinitialisierung nr.
Hier das Gleiche wie in ansible Es wurde ein Testlauf implementiert, bei dem eine Verbindung zum Router hergestellt wird, eine neue geĂ€nderte Konfiguration vorbereitet wird, die dann vom GerĂ€t validiert wird (dies ist jedoch nicht sicher; es hĂ€ngt von der GerĂ€teunterstĂŒtzung und der Treiberimplementierung in NAPALM ab) , aber die neue Konfiguration wird nicht direkt angewendet. FĂŒr den Kampfeinsatz mĂŒssen Sie den Parameter entfernen Probelauf oder Ă€ndern Sie den Wert in falsch.
Wenn das Skript ausgefĂŒhrt wird, gibt Nornir detaillierte Protokolle an die Konsole aus.
Unter dem Spoiler ist die Ausgabe eines Kampflaufs auf zwei Testroutern:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Passwörter in ansible_vault verstecken
Am Anfang des Artikels bin ich ein wenig weiter gelaufen ansible, aber so schlimm ist es doch nicht. ich mag sie wirklich Gewölbe Ăhnliches, das darauf ausgelegt ist, vertrauliche Informationen auĂer Sichtweite zu verbergen. Und wahrscheinlich haben viele bemerkt, dass wir alle Logins/Passwörter fĂŒr alle Kampfrouter in offener Form in einer Datei haben gorups.yaml. Es ist natĂŒrlich nicht schön. SchĂŒtzen wir diese Daten mit Gewölbe.
Ăbertragen wir die Parameter von groups.yaml nach creds.yaml und verschlĂŒsseln sie mit AES256 mit einem 20-stelligen Passwort:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435So einfach ist das. Es bleibt uns noch beizubringen nornir-script, um diese Daten abzurufen und anzuwenden.
Dazu in unserem Skript nach der Initialisierungszeile nr = InitNornir(config_file=⊠FĂŒgen Sie den folgenden Code hinzu:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...NatĂŒrlich sollte sich vault.passwd nicht wie in meinem Beispiel neben creds.yaml befinden. Aber zum Spielen ist es ok.
Das ist alles fĂŒr den Moment. Es folgen noch ein paar weitere Artikel ĂŒber Cisco + Zabbix, aber hier geht es nicht im Geringsten um Automatisierung. Und in naher Zukunft habe ich vor, ĂŒber RESTCONF in Cisco zu schreiben.
Source: habr.com
