Ola Habr!
Recentemente apareceu aquí un artigo
Esta non é a primeira bicicleta para tal tarefa. A primeira opción implementouse hai varios anos ansible versión 1.x.x. A bicicleta se usaba poucas veces e, polo tanto, se oxidaba constantemente. No sentido de que a tarefa en si non xorde tantas veces como se actualizan as versións ansible. E cada vez que necesites conducir, cae a cadea ou a roda. Porén, a primeira parte, xerando configuracións, sempre funciona moi claramente, afortunadamente jinja2 O motor está establecido dende hai moito tempo. Pero a segunda parte -desarrollar configuracións- adoitaba levar sorpresas. E como teño que implementar a configuración de forma remota a medio centenar de dispositivos, algúns dos cales están situados a miles de quilómetros de distancia, usar esta ferramenta foi un pouco aburrido.
Aquí debo admitir que a miña incerteza reside probablemente na miña falta de familiaridade ansibleque nas súas carencias. E este, por certo, é un punto importante. ansible é unha área de coñecemento completamente separada, cunha propia DSL (Domain Specific Language), que debe manterse nun nivel de confianza. Ben, ese momento que ansible Estase a desenvolver con bastante rapidez e, sen ter especial en conta a compatibilidade con versións anteriores, non engade confianza.
Polo tanto, non hai moito tempo implantouse unha segunda versión da bicicleta. Desta vez python, ou mellor dito nun marco escrito python e para python chamado
Entón - Nornir é un microframe escrito en python e para python e deseñado para a automatización. O mesmo que no caso de ansible, para resolver problemas aquí, requírese unha preparación de datos competente, é dicir. inventario de hosts e os seus parámetros, pero os scripts non están escritos nun DSL separado, pero no mesmo non moi antigo, pero moi bo p[i|i]ton.
Vexamos o que é usando o seguinte exemplo en directo.
Teño unha rede de sucursais con varias ducias de oficinas en todo o país. Cada oficina ten un router WAN que remata varias canles de comunicación de diferentes operadores. O protocolo de enrutamento é BGP. Os enrutadores WAN veñen en dous tipos: Cisco ISG ou Juniper SRX.
Agora a tarefa: cómpre configurar unha subrede dedicada para a vixilancia de vídeo nun porto separado en todos os enrutadores WAN da rede de sucursais - anunciar esta subrede en BGP - configurar o límite de velocidade do porto dedicado.
En primeiro lugar, necesitamos preparar un par de modelos, en función dos cales se xerarán configuracións por separado para Cisco e Juniper. Tamén é necesario preparar datos para cada punto e parámetros de conexión, é dicir. recoller o mesmo inventario
Modelo listo para Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 any
Modelo para Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
Os modelos, por suposto, non saen da nada. Estas son esencialmente diferenzas entre as configuracións de traballo que foron e foron despois de resolver a tarefa en dous enrutadores específicos de modelos diferentes.
Nos nosos modelos vemos que para resolver o problema, só necesitamos dous parámetros para Juniper e 3 parámetros para Cisco. aquí están:
- ifname
- ipsufixo
- asn
Agora necesitamos establecer estes parámetros para cada dispositivo, é dicir. facer o mesmo inventario.
Para inventario Seguiremos rigorosamente a documentación
é dicir, creemos o mesmo esqueleto de ficheiros:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yaml
O ficheiro config.yaml é o ficheiro de configuración estándar de nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"
Indicaremos os principais parámetros do ficheiro hosts.yaml, grupo (no meu caso son inicios de sesión/contrasinais) en grupos.yaml, e dentro predeterminados.yaml Non indicaremos nada, pero cómpre introducir tres menos alí, indicando que é así xaml aínda que o ficheiro está baleiro.
Este é o aspecto de hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111
E aquí está groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2
Isto foi o que pasou inventario para a nosa tarefa. Durante a inicialización, os parámetros dos ficheiros de inventario son asignados ao modelo de obxectos Elemento de inventario.
Debaixo do spoiler hai un diagrama do modelo InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}
Este modelo pode parecer un pouco confuso, especialmente ao principio. Para descubrilo, o modo interactivo en ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
E para rematar, pasemos ao propio guión. Non teño nada do que estar especialmente orgulloso aquí. Só tomei un exemplo xa feito de
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)
Preste atención ao parámetro dry_run=Verdade inicialización de obxectos en liña nr.
Aquí o mesmo que en ansible púxose en marcha unha proba na que se realiza unha conexión co enrutador, prepárase unha nova configuración modificada, que despois é validada polo dispositivo (pero isto non é seguro; depende do soporte do dispositivo e da implementación do controlador en NAPALM) , pero a nova configuración non se aplica directamente. Para o uso en combate, debes eliminar o parámetro carreira_seca ou cambiar o seu valor a Falso.
Cando se executa o script, Nornir envía rexistros detallados á consola.
Debaixo do spoiler está a saída dun combate en dous enrutadores de proba:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ocultando contrasinais en ansible_vault
Ao comezo do artigo paseime un pouco pola borda ansible, pero non é tan malo. Gústanme moito bóveda como, que está deseñado para ocultar información sensible fóra da vista. E probablemente moitos se decataron de que temos todos os inicios de sesión/contrasinais para todos os enrutadores de combate brillando en forma aberta nun ficheiro grupos.yaml. Non é bonito, claro. Protexamos estes datos con bóveda.
Transfiremos os parámetros de groups.yaml a creds.yaml e cifrémoso con AES256 cun contrasinal de 20 díxitos:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435
Así de sinxelo. Queda por ensinar o noso Nornir-script para recuperar e aplicar estes datos.
Para iso, no noso script despois da liña de inicialización nr = InitNornir(config_file=… engade o seguinte código:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...
Por suposto, vault.passwd non debería estar situado xunto a creds.yaml como no meu exemplo. Pero está ben para xogar.
Iso é todo por agora. Hai un par de artigos máis sobre Cisco + Zabbix, pero non se trata un pouco de automatización. E nun futuro próximo penso escribir sobre RESTCONF en Cisco.
Fonte: www.habr.com