Hej Habr!
Lastatempe aperis ĉi tie artikolo kie simila problemo estis solvita per fosiliaj rimedoj. Kaj kvankam la tasko estas tute tipa, estas nenio simila pri ĝi ĉe Habré. Mi kuraĝas proponi mian biciklon al la respektata IT-komunumo.
Ĉi tio ne estas la unua biciklo por tia tasko. La unua opcio estis efektivigita antaŭ pluraj jaroj reen en ansible versio 1.x.x. La biciklo estis malofte uzata kaj tial konstante rustiĝis. En la senco, ke la tasko mem ne aperas tiom ofte kiom versioj estas ĝisdatigitaj ansible. Kaj ĉiufoje kiam vi bezonas veturi, la ĉeno defalas aŭ la rado defalas. Tamen, la unua parto, generanta agordojn, ĉiam funkcias tre klare, feliĉe jinja2 La motoro estas longe establita. Sed la dua parto, disvolvanta la agordojn, kutime alportis surprizojn. Kaj ĉar mi devas elŝuti la agordon malproksime al duoncent aparatoj, kelkaj el kiuj troviĝas miloj da kilometroj for, uzi ĉi tiun ilon estis iom enuiga.
Ĉi tie mi devas konfesi, ke mia necerteco plej verŝajne kuŝas en mia manko de konatiĝo kun ansibleol en siaj mankoj. Kaj ĉi tio, cetere, estas grava punkto. ansible estas tute aparta, sia propra areo de scio kun sia propra DSL (Domain Specific Language), kiu devas esti konservita je certa nivelo. Nu, tiumomente tio ansible Ĝi evoluas sufiĉe rapide, kaj sen speciala konsidero al malantaŭa kongruo, ĝi ne aldonas fidon.
Tial, antaŭ ne longe estis efektivigita dua versio de la biciklo. Ĉi-foje plu python, aŭ pli ĝuste sur kadro enskribita python kaj por python sub la nomo
Do - Nornir estas mikrokadro skribita enen python kaj por python kaj desegnita por aŭtomatigo. La sama kiel en la kazo kun ansible, por solvi problemojn ĉi tie, necesas kompetenta datumpreparo, t.e. inventaro de gastigantoj kaj iliaj parametroj, sed skriptoj estas skribitaj ne en aparta DSL, sed en la sama ne tre malnova, sed tre bona p[i|i]ton.
Ni rigardu, kion ĝi uzas la sekvan vivan ekzemplon.
Mi havas branĉoreton kun kelkaj dekoj da oficejoj tra la lando. Ĉiu oficejo havas WAN-enkursigilon, kiu finas plurajn komunikajn kanalojn de malsamaj funkciigistoj. La vojprotokolo estas BGP. WAN-enkursigiloj venas en du tipoj: Cisco ISG aŭ Juniper SRX.
Nun la tasko: vi devas agordi dediĉitan subreton por Videogvatado sur aparta haveno sur ĉiuj WAN-enkursigiloj de la branĉa reto - reklamu ĉi tiun subreton en BGP - agordu la rapidlimon de la dediĉita haveno.
Unue, ni devas prepari kelkajn ŝablonojn, surbaze de kiuj agordoj estos generitaj aparte por Cisco kaj Juniper. Necesas ankaŭ prepari datumojn por ĉiu punkto kaj konektoparametroj, t.e. kolekti la saman inventaron
Preta ŝablono por Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyŜablono por Junipero:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterŜablonoj, kompreneble, ne eliras el la aero. Ĉi tiuj esence estas diferencoj inter la funkciaj agordoj, kiuj estis kaj estis post solvado de la tasko sur du specifaj enkursigiloj de malsamaj modeloj.
El niaj ŝablonoj ni vidas, ke por solvi la problemon, ni bezonas nur du parametrojn por Juniper kaj 3 parametrojn por Cisco. ĉi tie ili estas:
- ifnomo
- ipsufikso
- asn
Nun ni devas agordi ĉi tiujn parametrojn por ĉiu aparato, t.e. faru la samon inventaro.
Por inventaro Ni strikte sekvos la dokumentadon
tio estas, ni kreu la saman dosierskeleton:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlLa dosiero config.yaml estas la norma agorda dosiero de nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Ni indikos la ĉefajn parametrojn en la dosiero gastigantoj.yaml, grupo (en mia kazo ĉi tiuj estas ensalutoj/pasvortoj) en grupoj.yamlkaj en defaŭltoj.yaml Ni indikos nenion, sed vi devas enmeti tri minusojn tie - indikante ke ĝi estas yaml la dosiero tamen estas malplena.
Jen kiel hosts.yaml aspektas:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Kaj jen groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Jen kio okazis inventaro por nia tasko. Dum inicialigo, parametroj de stokregistraj dosieroj estas mapitaj al la objektomodelo InventoryElement.
Sub la spoiler estas diagramo de la modelo InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ĉi tiu modelo povas aspekti iom konfuza, precipe komence. Por eltrovi ĝin, la interaga reĝimo en pitono.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Kaj fine, ni transiru al la skripto mem. Mi havas nenion pri kio aparte fieri ĉi tie. Mi nur prenis pretan ekzemplon el kaj uzis ĝin preskaŭ senŝanĝe. Jen kiel aspektas la finita laborskripto:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Atentu la parametron dry_run=Vere en linio objekto inicialigo nr.
Ĉi tie la sama kiel en ansible testkuro estis efektivigita en kiu konekto al la enkursigilo estas farita, nova modifita konfiguracio estas preparita, kiu tiam estas konfirmita per la aparato (sed tio ne estas certa; ĝi dependas de la aparatsubteno kaj la ŝoforefektivigo en NAPALM) , sed la nova agordo ne estas rekte aplikata. Por bataluzo, vi devas forigi la parametron seka_kuri aŭ ŝanĝi ĝian valoron al falsa.
Kiam la skripto estas efektivigita, Nornir eligas detalajn protokolojn al la konzolo.
Sub la spoiler estas la eligo de batalkuro sur du testaj enkursigiloj:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Kaŝi pasvortojn en ansible_vault
Komence de la artikolo mi iom transiris ansible, sed ĝi ne estas tiom malbona. Mi tre ŝatas ilin volbo kiel, kiu estas desegnita por kaŝi sentemajn informojn for de vido. Kaj verŝajne multaj rimarkis, ke ni havas ĉiujn ensalutojn/pasvortojn por ĉiuj batalenkursigiloj brilantaj en malferma formo en dosiero. gorups.yaml. Ĝi ne estas bela, kompreneble. Ni protektu ĉi tiujn datumojn per volbo.
Ni transdonu la parametrojn de groups.yaml al creds.yaml, kaj ĉifri ĝin per AES256 kun 20-cifera pasvorto:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Estas tiel simpla. Restas instrui nian Nornir-skripto por preni kaj apliki ĉi tiujn datumojn.
Por fari tion, en nia skripto post la inicialigo linio nr = InitNornir (agorda dosiero=... aldonu la jenan kodon:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Kompreneble, vault.passwd ne situu apud creds.yaml kiel en mia ekzemplo. Sed estas bone por ludi.
Tio estas ĉio por nun. Estas kelkaj pliaj artikoloj pri Cisco + Zabbix venantaj, sed ĉi tio ne estas iomete pri aŭtomatigo. Kaj baldaŭ mi planas skribi pri RESTCONF en Cisco.
fonto: www.habr.com