هی هابر!
اخیراً مقاله ای در اینجا ظاهر شده است جایی که مشکل مشابهی با استفاده از وسایل فسیلی حل شد. و اگرچه این کار کاملاً معمولی است، هیچ چیز مشابهی در مورد آن در Habré وجود ندارد. من جرات دارم دوچرخه ام را به جامعه محترم فناوری اطلاعات تقدیم کنم.
این اولین دوچرخه برای چنین کاری نیست. اولین گزینه چندین سال پیش در این کشور اجرا شد ansible نسخه 1.x.x. دوچرخه به ندرت مورد استفاده قرار می گرفت و به همین دلیل دائماً زنگ می زد. به این معنا که خود وظیفه به همان اندازه که نسخه ها به روز می شوند، ایجاد نمی شود ansible. و هر بار که نیاز به رانندگی داشته باشید، زنجیر می افتد یا چرخ می افتد. با این حال، بخش اول، ایجاد تنظیمات، خوشبختانه، همیشه بسیار واضح کار می کند jinja2 موتور مدت زیادی است که تاسیس شده است. اما بخش دوم - ارائه تنظیمات - معمولاً شگفتی هایی را به همراه داشت. و از آنجایی که باید پیکربندی را از راه دور به نیم صد دستگاه که برخی از آنها هزاران کیلومتر دورتر قرار دارند باز کنم، استفاده از این ابزار کمی خسته کننده بود.
در اینجا باید اعتراف کنم که عدم اطمینان من به احتمال زیاد در عدم آشنایی من است ansibleنسبت به کمبودهای آن و اتفاقاً این یک نکته مهم است. ansible یک حوزه دانش کاملاً مجزا با DSL (زبان اختصاصی دامنه) خود است که باید در سطح مطمئنی حفظ شود. خب اون لحظه ansible این بسیار سریع در حال توسعه است و بدون توجه خاص به سازگاری با عقب، اعتماد به نفس اضافه نمی کند.
بنابراین، چندی پیش نسخه دوم دوچرخه اجرا شد. این بار در پایتون، یا بهتر است بگوییم روی یک چارچوب نوشته شده در پایتون و برای پایتون نامیده می شود
بنابراین - نورنیر یک میکروفریمورک است که در آن نوشته شده است پایتون و برای پایتون و برای اتوماسیون طراحی شده است. همانطور که در مورد با ansible، برای حل مشکلات در اینجا، آماده سازی داده های صالح مورد نیاز است، یعنی. موجودی هاست ها و پارامترهای آنها، اما اسکریپت ها نه در یک DSL جداگانه، بلکه در همان p[i|i]ton نه چندان قدیمی، اما بسیار خوب نوشته می شوند.
بیایید با استفاده از مثال زنده زیر به آنچه در آن است نگاه کنیم.
من یک شبکه شعب با چندین ده دفتر در سراسر کشور دارم. هر دفتر دارای یک روتر WAN است که چندین کانال ارتباطی را از اپراتورهای مختلف خاتمه می دهد. پروتکل مسیریابی BGP است. روترهای WAN دو نوع هستند: Cisco ISG یا Juniper SRX.
اکنون وظیفه: شما باید یک زیرشبکه اختصاصی برای نظارت تصویری را در یک پورت جداگانه روی همه روترهای WAN شبکه شعبه پیکربندی کنید - این زیر شبکه را در BGP تبلیغ کنید - محدودیت سرعت پورت اختصاصی را پیکربندی کنید.
ابتدا باید چند قالب آماده کنیم که بر اساس آنها تنظیمات جداگانه برای Cisco و Juniper ایجاد می شود. همچنین لازم است داده ها برای هر نقطه و پارامترهای اتصال آماده شوند، یعنی. همان موجودی را جمع آوری کنید
قالب آماده برای سیسکو:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyقالب برای Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterالگوها، البته، از هوا بیرون نمی آیند. اینها اساساً تفاوتهایی بین پیکربندیهای کاری هستند که پس از حل کار روی دو روتر خاص از مدلهای مختلف بوده و هستند.
از قالب های ما می بینیم که برای حل مشکل فقط به دو پارامتر برای Juniper و 3 پارامتر برای Cisco نیاز داریم. آن ها اینجا هستند:
- ifname
- پسوند ip
- اصن
اکنون باید این پارامترها را برای هر دستگاه تنظیم کنیم، i.e. همین کار را انجام دهید فهرست.
برای فهرست ما به شدت مستندات را دنبال می کنیم
یعنی بیایید همان اسکلت فایل را ایجاد کنیم:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlفایل config.yaml فایل پیکربندی استاندارد nornir است
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"پارامترهای اصلی را در فایل نشان خواهیم داد hosts.yaml، گروه (در مورد من اینها ورود به سیستم/رمز عبور هستند) در group.yaml، و در پیش فرض ها.yaml ما چیزی را نشان نمی دهیم، اما باید سه منهای را در آنجا وارد کنید - که نشان می دهد اینطور است یامل هر چند فایل خالی است
این چیزی است که hosts.yaml به نظر می رسد:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111و در اینجا group.yaml است:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2این چیزی است که اتفاق افتاد فهرست برای وظیفه ما در طول مقداردهی اولیه، پارامترهای فایل های موجودی به مدل شی نگاشت می شوند InventoryElement.
در زیر اسپویلر نموداری از مدل InventoryElement آمده است
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}این مدل به خصوص در ابتدا می تواند کمی گیج کننده به نظر برسد. برای فهمیدن آن، حالت تعاملی در پایتون.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
و در نهایت، اجازه دهید به خود فیلمنامه برویم. من اینجا هیچ چیز خاصی برای افتخار کردن ندارم. من فقط یک مثال آماده از آن گرفتم و تقریبا بدون تغییر از آن استفاده کرد. این چیزی است که اسکریپت کار تمام شده به نظر می رسد:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)به پارامتر توجه کنید dry_run=درست است در مقداردهی اولیه شی nr.
اینجا هم مثل داخل ansible یک اجرای آزمایشی اجرا شده است که در آن یک اتصال به روتر برقرار شده است، یک پیکربندی اصلاح شده جدید آماده می شود، که سپس توسط دستگاه تایید می شود (اما این قطعی نیست؛ بستگی به پشتیبانی دستگاه و اجرای درایور در NAPALM دارد) ، اما پیکربندی جدید به طور مستقیم اعمال نمی شود. برای استفاده رزمی، باید پارامتر را حذف کنید dry_run یا مقدار آن را به تغییر دهید غلط.
هنگامی که اسکریپت اجرا می شود، نورنیر گزارش های دقیق را به کنسول خروجی می دهد.
در زیر اسپویلر خروجی یک عملیات رزمی روی دو روتر آزمایشی وجود دارد:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^مخفی کردن رمزهای عبور در ansible_vault
در ابتدای مقاله کمی زیاده روی کردم ansible، اما همه چیز آنقدرها هم بد نیست. من واقعا از آنها خوشم می آد طاق مانند، که برای پنهان کردن اطلاعات حساس از دید طراحی شده است. و احتمالاً بسیاری متوجه شدهاند که ما همه لاگینها/گذرواژههای همه مسیریابهای رزمی را داریم که به شکل باز در یک فایل درخشان هستند. gorups.yaml. البته قشنگ نیست بیایید از این داده ها محافظت کنیم طاق.
بیایید پارامترها را از group.yaml به creds.yaml منتقل کنیم و آن را با AES256 با یک رمز عبور 20 رقمی رمزگذاری کنیم:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435ساده است. باقی مانده است که به ما آموزش دهیم نورنیر-اسکریپت برای بازیابی و اعمال این داده ها.
برای انجام این کار، در اسکریپت ما پس از خط مقداردهی اولیه nr = InitNornir(config_file=… کد زیر را اضافه کنید:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...البته مانند مثال من، vault.passwd نباید در کنار creds.yaml قرار گیرد. اما برای بازی خوب است.
فعلاً همین است. چند مقاله دیگر در مورد Cisco + Zabbix در راه است، اما این کمی در مورد اتوماسیون نیست. و در آینده نزدیک قصد دارم در مورد RESTCONF در سیسکو بنویسم.
منبع: www.habr.com