Γεια σου Χαμπρ!
Πρόσφατα ένα άρθρο εμφανίστηκε εδώ όπου παρόμοιο πρόβλημα επιλύθηκε με απολιθωμένα μέσα. Και παρόλο που η εργασία είναι εντελώς τυπική, δεν υπάρχει τίποτα παρόμοιο σε αυτό στο Habré. Τολμώ να προσφέρω το ποδήλατό μου στην αξιοσέβαστη κοινότητα πληροφορικής.
Αυτό δεν είναι το πρώτο ποδήλατο για μια τέτοια εργασία. Η πρώτη επιλογή εφαρμόστηκε πριν από αρκετά χρόνια πίσω αδύνατο έκδοση 1.x.x. Το ποδήλατο χρησιμοποιούταν σπάνια και γι' αυτό ήταν συνεχώς σκουριασμένο. Με την έννοια ότι η ίδια η εργασία δεν προκύπτει τόσο συχνά όσο ενημερώνονται οι εκδόσεις αδύνατο. Και κάθε φορά που χρειάζεται να οδηγείτε, πέφτει η αλυσίδα ή πέφτει ο τροχός. Ωστόσο, το πρώτο μέρος, η δημιουργία παραμέτρων, λειτουργεί πάντα πολύ καθαρά, ευτυχώς jinja2 Ο κινητήρας έχει εδραιωθεί εδώ και καιρό. Αλλά το δεύτερο μέρος - η ανάπτυξη ρυθμίσεων - συνήθως έφερε εκπλήξεις. Και επειδή πρέπει να αναπτύξω τη διαμόρφωση από απόσταση σε μισή εκατό συσκευές, μερικές από τις οποίες βρίσκονται χιλιάδες χιλιόμετρα μακριά, η χρήση αυτού του εργαλείου ήταν λίγο βαρετή.
Εδώ πρέπει να ομολογήσω ότι η αβεβαιότητα μου έγκειται πιθανότατα στην έλλειψη εξοικείωσης μου αδύνατοπαρά στις ελλείψεις του. Και αυτό, παρεμπιπτόντως, είναι ένα σημαντικό σημείο. αδύνατο είναι ένας εντελώς ξεχωριστός, δικός του τομέας γνώσης με το δικό του DSL (Domain Specific Language), το οποίο πρέπει να διατηρείται σε επίπεδο εμπιστοσύνης. Λοιπόν, εκείνη τη στιγμή αδύνατο Αναπτύσσεται αρκετά γρήγορα και χωρίς ιδιαίτερη σημασία για τη συμβατότητα προς τα πίσω, δεν προσθέτει εμπιστοσύνη.
Επομένως, πριν από λίγο καιρό εφαρμόστηκε μια δεύτερη έκδοση του ποδηλάτου. Αυτή τη φορά Πύθων, ή μάλλον σε ένα πλαίσιο γραμμένο σε Πύθων και για Πύθων καλείται
Ετσι - Νόρνιρ είναι ένα μικροπλαίσιο γραμμένο σε Πύθων και για Πύθων και έχει σχεδιαστεί για αυτοματισμό. Το ίδιο όπως στην περίπτωση με αδύνατο, για την επίλυση προβλημάτων εδώ, απαιτείται κατάλληλη προετοιμασία δεδομένων, δηλ. απογραφή των κεντρικών υπολογιστών και των παραμέτρων τους, αλλά τα σενάρια δεν είναι γραμμένα σε ξεχωριστό DSL, αλλά στο ίδιο όχι πολύ παλιό, αλλά πολύ καλό p[i|i]ton.
Ας δούμε τι είναι χρησιμοποιώντας το παρακάτω ζωντανό παράδειγμα.
Έχω ένα δίκτυο καταστημάτων με πολλές δεκάδες γραφεία σε όλη τη χώρα. Κάθε γραφείο έχει έναν δρομολογητή WAN που τερματίζει πολλά κανάλια επικοινωνίας από διαφορετικούς χειριστές. Το πρωτόκολλο δρομολόγησης είναι BGP. Οι δρομολογητές WAN διατίθενται σε δύο τύπους: Cisco ISG ή Juniper SRX.
Τώρα η εργασία: πρέπει να διαμορφώσετε ένα αποκλειστικό υποδίκτυο για επιτήρηση βίντεο σε ξεχωριστή θύρα σε όλους τους δρομολογητές WAN του δικτύου υποκαταστημάτων - διαφημίστε αυτό το υποδίκτυο στο BGP - διαμορφώστε το όριο ταχύτητας της αποκλειστικής θύρας.
Αρχικά, πρέπει να προετοιμάσουμε μερικά πρότυπα, βάσει των οποίων θα δημιουργηθούν διαμορφώσεις ξεχωριστά για το Cisco και το Juniper. Είναι επίσης απαραίτητο να προετοιμαστούν δεδομένα για κάθε σημείο και παραμέτρους σύνδεσης, π.χ. συλλέγουν το ίδιο απόθεμα
Έτοιμο πρότυπο για Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyΠρότυπο για Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterΤα πρότυπα, φυσικά, δεν βγαίνουν από τον αέρα. Αυτές είναι ουσιαστικά διαφορές μεταξύ των διαμορφώσεων εργασίας που ήταν και ήταν μετά την επίλυση της εργασίας σε δύο συγκεκριμένους δρομολογητές διαφορετικών μοντέλων.
Από τα πρότυπά μας βλέπουμε ότι για να λύσουμε το πρόβλημα, χρειαζόμαστε μόνο δύο παραμέτρους για το Juniper και 3 παραμέτρους για τη Cisco. εδώ είναι:
- ifname
- επίθημα
- asn
Τώρα πρέπει να ορίσουμε αυτές τις παραμέτρους για κάθε συσκευή, π.χ. κάνε το ίδιο πράγμα απογραφή.
Για απογραφή Θα ακολουθήσουμε αυστηρά την τεκμηρίωση
δηλαδή, ας δημιουργήσουμε τον ίδιο σκελετό αρχείου:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlΤο αρχείο config.yaml είναι το τυπικό αρχείο διαμόρφωσης nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Θα υποδείξουμε τις κύριες παραμέτρους στο αρχείο οικοδεσπότες.yaml, ομαδοποιήστε (στην περίπτωσή μου πρόκειται για logins/passwords) στο ομάδες.yaml, ενώ στο προεπιλογές.yaml Δεν θα υποδείξουμε τίποτα, αλλά πρέπει να εισαγάγετε τρία μείον εκεί - υποδεικνύοντας ότι είναι γιαμ το αρχείο είναι κενό όμως.
Έτσι φαίνεται το hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Και εδώ είναι group.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Αυτό έγινε απογραφή για το έργο μας. Κατά την προετοιμασία, οι παράμετροι από τα αρχεία αποθέματος αντιστοιχίζονται στο μοντέλο αντικειμένου InventoryElement.
Κάτω από το σπόιλερ είναι ένα διάγραμμα του μοντέλου InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Αυτό το μοντέλο μπορεί να φαίνεται λίγο μπερδεμένο, ειδικά στην αρχή. Για να το καταλάβετε, η διαδραστική λειτουργία εισέρχεται Πύθων.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Και τέλος, ας περάσουμε στο ίδιο το σενάριο. Δεν έχω τίποτα για να είμαι ιδιαίτερα περήφανος εδώ. Μόλις πήρα ένα έτοιμο παράδειγμα από και το χρησιμοποίησε σχεδόν αμετάβλητο. Έτσι φαίνεται το ολοκληρωμένο σενάριο εργασίας:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Δώστε προσοχή στην παράμετρο dry_run=Αλήθεια σε αρχικοποίηση αντικειμένου γραμμής nr.
Εδώ το ίδιο όπως και μέσα αδύνατο έχει υλοποιηθεί μια δοκιμαστική εκτέλεση κατά την οποία πραγματοποιείται σύνδεση με το δρομολογητή, προετοιμάζεται μια νέα τροποποιημένη διαμόρφωση, η οποία στη συνέχεια επικυρώνεται από τη συσκευή (αλλά αυτό δεν είναι σίγουρο, εξαρτάται από την υποστήριξη της συσκευής και την υλοποίηση του προγράμματος οδήγησης στο NAPALM) , αλλά η νέα διαμόρφωση δεν εφαρμόζεται άμεσα. Για πολεμική χρήση, πρέπει να αφαιρέσετε την παράμετρο dry_run ή αλλάξτε την τιμή του σε Ψευδής.
Όταν εκτελείται το σενάριο, το Nornir εξάγει λεπτομερή αρχεία καταγραφής στην κονσόλα.
Κάτω από το σπόιλερ είναι η έξοδος μιας μάχης σε δύο δοκιμαστικούς δρομολογητές:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Απόκρυψη κωδικών πρόσβασης στο ansible_vault
Στην αρχή του άρθρου έκανα μια μικρή υπέρβαση αδύνατο, αλλά δεν είναι και τόσο κακό. Μου αρέσουν πολύ θόλος όπως, το οποίο έχει σχεδιαστεί για να κρύβει ευαίσθητες πληροφορίες μακριά από το οπτικό πεδίο. Και πιθανότατα πολλοί έχουν παρατηρήσει ότι έχουμε όλα τα logins/passwords για όλους τους δρομολογητές μάχης που αστράφτουν σε ανοιχτή μορφή σε ένα αρχείο gorups.yaml. Δεν είναι όμορφο, φυσικά. Ας προστατεύσουμε αυτά τα δεδομένα με θόλος.
Ας μεταφέρουμε τις παραμέτρους από το group.yaml στο creds.yaml και ας τις κρυπτογραφήσουμε με AES256 με 20ψήφιο κωδικό πρόσβασης:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Είναι τόσο απλό. Μένει να διδάξουμε το δικό μας Νόρνιρ-σενάριο για ανάκτηση και εφαρμογή αυτών των δεδομένων.
Για να γίνει αυτό, στο σενάριό μας μετά τη γραμμή προετοιμασίας nr = InitNornir(config_file=… προσθέστε τον ακόλουθο κώδικα:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Φυσικά, το vault.passwd δεν πρέπει να βρίσκεται δίπλα στο creds.yaml όπως στο παράδειγμά μου. Αλλά είναι εντάξει για παιχνίδι.
Αυτα για τωρα. Έρχονται μερικά ακόμη άρθρα σχετικά με το Cisco + Zabbix, αλλά αυτό δεν είναι λίγο για την αυτοματοποίηση. Και στο εγγύς μέλλον σκοπεύω να γράψω για το RESTCONF στη Cisco.
Πηγή: www.habr.com