Hei Habr!
Äskettäin tänne ilmestyi artikkeli jossa samanlainen ongelma ratkaistiin fossiilisilla keinoilla. Ja vaikka tehtävä on täysin tyypillinen, ei siinä Habressa ole mitään vastaavaa. Uskallan tarjota pyöräni arvostetulle IT-yhteisölle.
Tämä ei ole ensimmäinen pyörä tällaiseen tehtävään. Ensimmäinen vaihtoehto otettiin käyttöön useita vuosia sitten ansible versio 1.x.x. Pyörää oli vähän käytetty ja siksi jatkuvasti ruostunut. Siinä mielessä, että itse tehtävää ei esiinny niin usein kuin versioita päivitetään ansible. Ja aina kun sinun täytyy ajaa, ketju putoaa tai pyörä putoaa. Kuitenkin ensimmäinen osa, konfiguraatioiden luominen, toimii onneksi aina erittäin selkeästi jinja2 Moottori on pitkäaikainen. Mutta toinen osa - asetusten käyttöönotto - toi yleensä yllätyksiä. Ja koska joudun konfiguroimaan etäyhteyden puoleensadalle laitteelle, joista osa sijaitsee tuhansien kilometrien päässä, tämän työkalun käyttö oli hieman tylsää.
Tässä minun on myönnettävä, että epävarmuuteni johtuu todennäköisesti tuntemattomuudestani ansiblekuin sen puutteissa. Ja tämä on muuten tärkeä seikka. ansible on täysin erillinen, oma osaamisalue, jolla on oma DSL (Domain Specific Language), joka on ylläpidettävä luotettavalla tasolla. No, se hetki ansible Se kehittyy melko nopeasti, ja ilman erityistä huomiota taaksepäin yhteensopivuus, se ei lisää luottamusta.
Siksi ei niin kauan sitten pyörän toinen versio toteutettiin. Tällä kertaa päälle pytonkäärmetai pikemminkin kehykseen, joka on kirjoitettu sisään pytonkäärme ja pytonkäärme oikeutettu
Joten - Nornir on sisään kirjoitettu mikrokehys pytonkäärme ja pytonkäärme ja suunniteltu automaatioon. Sama kuin tapauksessa ansible, ongelmien ratkaisemiseksi tarvitaan asiantuntevaa tietojen valmistelua, ts. isäntien ja niiden parametrien luettelo, mutta skriptejä ei kirjoiteta erilliseen DSL:ään, vaan samaan ei kovin vanhaan, mutta erittäin hyvään p[i|i]toniin.
Katsotaanpa, mitä se on käyttämällä seuraavaa live-esimerkkiä.
Minulla on konttoriverkosto, jossa on useita kymmeniä toimipisteitä eri puolilla maata. Jokaisessa toimistossa on WAN-reititin, joka päättää useiden eri operaattoreiden viestintäkanavia. Reititysprotokolla on BGP. WAN-reitittimiä on kahta tyyppiä: Cisco ISG tai Juniper SRX.
Nyt tehtävä: sinun on määritettävä videovalvontaa varten oma aliverkko erilliseen porttiin haaraverkon kaikissa WAN-reitittimissä - mainosta tätä aliverkkoa BGP:ssä - määritä erillisen portin nopeusrajoitus.
Ensin on valmisteltava pari mallipohjaa, joiden perusteella luodaan konfiguraatiot erikseen Ciscolle ja Juniperille. Jokaiselle pisteelle ja yhteysparametreille on myös valmisteltava tiedot, ts. kerätä sama inventaario
Valmis malli Ciscolle:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyJuniperin malli:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterMallit eivät tietenkään tule tyhjästä. Nämä ovat pohjimmiltaan eroja toimivien konfiguraatioiden välillä, jotka olivat ja olivat tehtävän ratkaisemisen jälkeen kahdessa tietyssä eri mallin reitittimessä.
Malleistamme näemme, että ongelman ratkaisemiseksi tarvitsemme vain kaksi parametria Juniperille ja kolme parametria Ciscolle. täällä he ovat:
- ifname
- ip-liite
- asn
Nyt meidän on asetettava nämä parametrit jokaiselle laitteelle, ts. tee sama asia inventaario.
varten inventaario Noudatamme tarkasti dokumentaatiota
eli luodaan sama tiedostorunko:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlConfig.yaml-tiedosto on tavallinen nornir-määritystiedosto
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Ilmoitamme tiedostossa tärkeimmät parametrit hosts.yaml, ryhmä (minun tapauksessani nämä ovat kirjautumistunnuksia / salasanoja) sisään ryhmät.yamlja sisään oletusasetukset.yaml Emme ilmoita mitään, mutta sinun on syötettävä sinne kolme miinusta - mikä osoittaa, että se on yaml tiedosto on kuitenkin tyhjä.
Tältä hosts.yaml näyttää:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Ja tässä groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Näin tapahtui inventaario tehtäväämme varten. Alustamisen aikana varastotiedostojen parametrit kartoitetaan objektimalliin InventoryElement.
Spoilerin alla on kaavio InventoryElement-mallista
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Tämä malli voi näyttää hieman hämmentävältä, varsinkin aluksi. Selvittääksesi sen, interaktiivinen tila otetaan käyttöön python.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Ja lopuksi siirrytään itse käsikirjoitukseen. Minulla ei ole täällä mitään erityistä ylpeyden aihetta. Otin vain valmiin esimerkin ja käytti sitä lähes ennallaan. Valmis työskripti näyttää tältä:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Kiinnitä huomiota parametriin dry_run=Totta riviobjektin alustuksessa nr.
Tässä sama kuin sisällä ansible on toteutettu testiajo, jossa muodostetaan yhteys reitittimeen, valmistetaan uusi muokattu konfiguraatio, jonka laite sitten vahvistaa (mutta tämä ei ole varmaa; se riippuu laitetuesta ja ajurin toteutuksesta NAPALMissa) , mutta uutta kokoonpanoa ei sovelleta suoraan. Taistelukäyttöä varten sinun on poistettava parametri kuivaharjoittelu tai muuta sen arvoksi Väärä.
Kun komentosarja suoritetaan, Nornir tulostaa yksityiskohtaiset lokit konsoliin.
Spoilerin alla on tulos taistelusta kahdella testireitittimellä:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Salasanojen piilottaminen ansible_vaultissa
Artikkelin alussa menin hieman yli laidan ansible, mutta se ei ole niin paha. Pidän niistä todella holvi kuten, joka on suunniteltu piilottamaan arkaluontoiset tiedot poissa näkyvistä. Ja luultavasti monet ovat huomanneet, että meillä on kaikkien taistelureitittimien kirjautumistunnukset/salasanat avoimessa muodossa tiedostossa gorups.yaml. Se ei tietenkään ole kaunista. Suojataan nämä tiedot holvi.
Siirretään parametrit osoitteesta groups.yaml tiedostoon creds.yaml ja salataan se AES256:lla 20-numeroisella salasanalla:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Se on niin yksinkertaista. Meidän on vielä opetettava Nornir-komentosarja näiden tietojen hakemiseksi ja käyttämiseksi.
Voit tehdä tämän skriptissämme alustusrivin jälkeen nr = InitNornir(config_file=… lisää seuraava koodi:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Tietenkään vault.passwd ei saa sijaita creds.yaml:n vieressä, kuten esimerkissäni. Mutta pelaamiseen kelpaa.
Tässä kaikki tältä erää. Pari muuta artikkelia Cisco + Zabbixista on tulossa, mutta tässä ei ole kyse automaatiosta. Ja lähitulevaisuudessa aion kirjoittaa RESTCONFista Ciscossa.
Lähde: will.com