Tere Habr!
Hiljuti ilmus siia artikkel kus sarnane probleem lahendati fossiilseid vahendeid kasutades. Ja kuigi ülesanne on täiesti tüüpiline, pole Habrel selles midagi sarnast. Julgen pakkuda oma ratast lugupeetud IT-ringkonnale.
See pole esimene jalgratas sellise ülesande jaoks. Esimene võimalus rakendati mitu aastat tagasi aastal ansible versioon 1.x.x. Jalgratas oli vähe kasutatud ja seetõttu pidevalt roostes. Selles mõttes, et ülesanne ise ei teki nii sageli kui versioone uuendatakse ansible. Ja iga kord, kui on vaja sõita, kukub kett maha või ratas. Esimene osa, konfiguratsioonide genereerimine, töötab aga õnneks alati väga selgelt jinja2 Mootor on pikka aega välja töötatud. Kuid teine osa, konfiguratsioonide rullimine, tõi tavaliselt üllatusi. Ja kuna ma pean konfiguratsiooni eemalt rullima poolesajale seadmele, millest mõned asuvad tuhandete kilomeetrite kaugusel, oli selle tööriista kasutamine veidi igav.
Siinkohal pean tunnistama, et minu ebakindlus seisneb suure tõenäosusega minu teadmatuses ansiblekui selle puudustes. Ja see, muide, on oluline punkt. ansible on täiesti eraldiseisev, oma teadmiste valdkond, millel on oma DSL (domeenispetsiifiline keel), mida tuleb hoida enesekindlal tasemel. Noh, see hetk ansible See areneb üsna kiiresti ja ilma tagasiühilduvusele erilist tähelepanu pööramata ei lisa see enesekindlust.
Seetõttu hakati mitte nii kaua aega tagasi kasutama jalgratta teist versiooni. Seekord edasi püütonvõi õigemini sisse kirjutatud raamistikule püüton ja eest püüton kutsutud
Niisiis - Nornir on sisse kirjutatud mikroraamistik püüton ja eest püüton ja mõeldud automatiseerimiseks. Sama, mis puhul ansible, siinsete probleemide lahendamiseks on vajalik pädev andmete ettevalmistamine, s.t. hostide ja nende parameetrite inventuur, kuid skripte kirjutatakse mitte eraldi DSL-is, vaid selles samas mitte väga vanas, aga väga heas p[i|i]tonis.
Vaatame järgmise reaalajas näite abil, mis see on.
Mul on mitmekümne kontoriga filiaalide võrk üle kogu riigi. Igas kontoris on WAN-ruuter, mis lõpetab erinevatelt operaatoritelt mitu sidekanalit. Marsruutimisprotokoll on BGP. WAN-ruutereid on kahte tüüpi: Cisco ISG või Juniper SRX.
Nüüd on ülesanne: peate konfigureerima videovalve jaoks spetsiaalse alamvõrgu kõigi haruvõrgu WAN-ruuterite eraldi pordis - reklaamige seda alamvõrku BGP-s - konfigureerige spetsiaalse pordi kiiruspiirang.
Esmalt tuleb ette valmistada paar malli, mille alusel genereeritakse eraldi konfiguratsioonid Cisco ja Juniperi jaoks. Samuti on vaja ette valmistada andmed iga punkti ja ühenduse parameetrite kohta, st. koguda sama inventari
Valmis mall Cisco jaoks:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyKadaka mall:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterŠabloonid ei tule muidugi tühjast ilmast. Need on sisuliselt erinevused töökonfiguratsioonide vahel, mis olid ja olid pärast ülesande lahendamist kahel konkreetsel erineva mudeli ruuteril.
Meie mallidest näeme, et probleemi lahendamiseks vajame Juniperi jaoks ainult kahte ja Cisco jaoks 3 parameetrit. siin nad on:
- ifname
- ipsufiks
- asn
Nüüd peame need parameetrid määrama iga seadme jaoks, st. tee sama asja inventar.
eest inventar Järgime rangelt dokumentatsiooni
see tähendab, et loome sama faili skeleti:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlFail config.yaml on standardne norniri konfiguratsioonifail
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Nimetame failis peamised parameetrid hosts.yaml, grupp (minu puhul on need sisselogimised/paroolid) sisse grupid.yamlja sisse vaikimisi.yaml Me ei näita midagi, kuid peate sinna sisestama kolm miinust - mis näitab, et see on nii yaml aga fail on tühi.
Hosts.yaml näeb välja selline:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Ja siin on groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Nii juhtus inventar meie ülesande jaoks. Initsialiseerimise ajal vastendatakse laofailide parameetrid objektimudeliga InventoryElement.
Spoileri all on InventoryElement mudeli diagramm
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}See mudel võib eriti alguses tunduda pisut segane. Selle väljaselgitamiseks lülitage interaktiivne režiim sisse ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Ja lõpuks, liigume edasi skripti enda juurde. Mul pole siin millegi üle eriti uhke olla. Võtsin lihtsalt valmis näite ja kasutas seda peaaegu muutmata kujul. Valmis tööskript näeb välja selline:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Pöörake tähelepanu parameetrile dry_run=Tõsi reas objekti lähtestamine nr.
Siin on sama, mis sees ansible on teostatud testkäivitus, mille käigus luuakse ühendus ruuteriga, koostatakse uus modifitseeritud konfiguratsioon, mille seejärel seade kinnitab (kuid see pole kindel; see sõltub seadme toest ja draiveri juurutamisest NAPALM-is) , kuid uut konfiguratsiooni otse ei rakendata. Võitluseks kasutamiseks peate parameetri eemaldama kuiv_jooks või muutke selle väärtust Vale.
Skripti käivitamisel väljastab Nornir konsooli üksikasjalikud logid.
Spoileri all on kahel katseruuteril toimunud võitluse väljund:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Paroolide peitmine ansible_vault'is
Artikli alguses läksin veidi üle piiri ansible, aga see pole sugugi nii hull. Mulle need väga meeldivad võlvkelder nagu, mis on loodud tundliku teabe nägemisest eemale peitmiseks. Ja ilmselt on paljud märganud, et meil on kõigi lahinguruuterite sisselogimised/paroolid avatud kujul failis sädelemas. gorups.yaml. See pole muidugi ilus. Kaitskem neid andmeid võlvkelder.
Teisaldame parameetrid failist groups.yaml saidile creds.yaml ja krüpteerime selle AES256-ga 20-kohalise parooliga:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Nii lihtne see ongi. Jääb üle meie õpetada Nornir-skript nende andmete toomiseks ja rakendamiseks.
Selleks meie skriptis pärast initsialiseerimisrida nr = InitNornir(config_file=… lisage järgmine kood:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Muidugi ei tohiks vault.passwd asuda creds.yaml kõrval, nagu minu näites. Aga mängimiseks sobib.
Praeguseks kõik. Tulekul on veel paar artiklit Cisco + Zabbixi kohta, kuid see ei puuduta automatiseerimist. Ja lähiajal plaanin Ciscos RESTCONFist kirjutada.
Allikas: www.habr.com