рд╣реЗ рд╣рдмрд░!
рд╣рд╛рд▓ рд╣реА рдореЗрдВ рдпрд╣рд╛рдБ рдПрдХ рд▓реЗрдЦ рдкреНрд░рдХрд╛рд╢рд┐рдд рд╣реБрдЖ рдЬрд╣рд╛рдВ рдЬреАрд╡рд╛рд╢реНрдо рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЗрд╕реА рдкреНрд░рдХрд╛рд░ рдХреА рд╕рдорд╕реНрдпрд╛ рдХрд╛ рд╕рдорд╛рдзрд╛рди рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдФрд░ рдпрджреНрдпрдкрд┐ рдпрд╣ рдХрд╛рд░реНрдп рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╣реИ, рд▓реЗрдХрд┐рди рд╣реИрдмрд░ рдкрд░ рдЗрд╕рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдХреЛрдИ рд╕рдорд╛рдирддрд╛ рдирд╣реАрдВ рд╣реИред рдореИрдВ рд╕рдореНрдорд╛рдирд┐рдд рдЖрдИрдЯреА рд╕рдореБрджрд╛рдп рдХреЛ рдЕрдкрдиреА рд╕рд╛рдЗрдХрд┐рд▓ рднреЗрдВрдЯ рдХрд░рдиреЗ рдХрд╛ рд╕рд╛рд╣рд╕ рдХрд░рддрд╛ рд╣реВрдВред
рдЗрд╕ рддрд░рд╣ рдХреЗ рдХрд╛рд░реНрдп рдХреЗ рд▓рд┐рдП рдпрд╣ рдкрд╣рд▓реА рдмрд╛рдЗрдХ рдирд╣реАрдВ рд╣реИред рдкрд╣рд▓рд╛ рд╡рд┐рдХрд▓реНрдк рдХрдИ рд╡рд░реНрд╖ рдкрд╣рд▓реЗ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ ansible рд╕рдВрд╕реНрдХрд░рдг 1.x.x. рд╕рд╛рдЗрдХрд┐рд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдмрд╣реБрдд рдХрдо рд╣реЛрддрд╛ рдерд╛ рдФрд░ рдЗрд╕рд▓рд┐рдП рдЙрд╕рдореЗрдВ рд▓рдЧрд╛рддрд╛рд░ рдЬрдВрдЧ рд▓рдЧрддреА рд░рд╣рддреА рдереАред рдЗрд╕ рдЕрд░реНрде рдореЗрдВ рдХрд┐ рдХрд╛рд░реНрдп рд╕реНрд╡рдпрдВ рдЙрддрдиреА рдмрд╛рд░ рдЙрддреНрдкрдиреНрди рдирд╣реАрдВ рд╣реЛрддрд╛ рд╣реИ, рдЬрд┐рддрдиреА рдмрд╛рд░ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЛ рдЕрджреНрдпрддрди рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ ansible. рдФрд░ рд╣рд░ рдмрд╛рд░ рдЬрдм рдЖрдкрдХреЛ рд╕рд╡рд╛рд░реА рдХрд░рдиреА рд╣реЛрддреА рд╣реИ, рддреЛ рдЪреЗрди рдЧрд┐рд░ рдЬрд╛рддреА рд╣реИ, рдпрд╛ рдкрд╣рд┐рдпрд╛ рдЧрд┐рд░ рдЬрд╛рддрд╛ рд╣реИред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдкрд╣рд▓рд╛ рднрд╛рдЧ, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЙрддреНрдкрдиреНрди рдХрд░рдирд╛, рд╣рдореЗрд╢рд╛ рдмрд╣реБрдд рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рд╕реМрднрд╛рдЧреНрдп рд╕реЗ jinja2 рдпрд╣ рдЗрдВрдЬрди рдХрд╛рдлреА рд╕рдордп рд╕реЗ рдореМрдЬреВрдж рд╣реИред рд▓реЗрдХрд┐рди рджреВрд╕рд░реЗ рднрд╛рдЧ - рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдХреЛ рд╢реБрд░реВ рдХрд░рдиреЗ рдореЗрдВ, рдЖрдорддреМрд░ рдкрд░ рдЖрд╢реНрдЪрд░реНрдп рдХреА рдмрд╛рдд рд╕рд╛рдордиреЗ рдЖрдИред рдФрд░ рдЪреВрдВрдХрд┐ рдореБрдЭреЗ рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдЖрдзреЗ рд╕реИрдХрдбрд╝рд╛ рдбрд┐рд╡рд╛рдЗрд╕реЛрдВ рдкрд░ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рд▓рд╛рдЧреВ рдХрд░рдирд╛ рд╣реИ, рдЬрд┐рдирдореЗрдВ рд╕реЗ рдХреБрдЫ рддреЛ рд╣рдЬрд╛рд░реЛрдВ рдХрд┐рд▓реЛрдореАрдЯрд░ рджреВрд░ рд╕реНрдерд┐рдд рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдореИрдВ рдЗрд╕ рдЯреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдореЗрдВ рдереЛрдбрд╝рд╛ рдбрд░рд╛ рд╣реБрдЖ рдерд╛ред
рдпрд╣рд╛рдБ рдореБрдЭреЗ рдпрд╣ рд╕реНрд╡реАрдХрд╛рд░ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдореЗрд░реА рдЕрдирд┐рд╢реНрдЪрд┐рддрддрд╛ рд╕рдВрднрд╡рддрдГ рдореЗрд░реЗ рдЕрдЬреНрдЮрд╛рди рдореЗрдВ рдирд┐рд╣рд┐рдд рд╣реИред ansible, рдЗрд╕рдХреА рдХрдорд┐рдпреЛрдВ рдХреА рддреБрд▓рдирд╛ рдореЗрдВред рдФрд░ рдпрд╣, рд╡реИрд╕реЗ, рдПрдХ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдмрд┐рдВрджреБ рд╣реИред ansible тАФ рдПрдХ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдЕрд▓рдЧ, рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдбреАрдПрд╕рдПрд▓ (рдбреЛрдореЗрди рд╡рд┐рд╢рд┐рд╖реНрдЯ рднрд╛рд╖рд╛) рдХреЗ рд╕рд╛рде рдЬреНрдЮрд╛рди рдХрд╛ рдЕрдкрдирд╛ рдХреНрд╖реЗрддреНрд░ рд╣реИ, рдЬрд┐рд╕реЗ рдПрдХ рдЖрддреНрдорд╡рд┐рд╢реНрд╡рд╛рд╕ рд╕реНрддрд░ рдкрд░ рд╕рдорд░реНрдерд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред рдЦреИрд░, рдФрд░ рд╡рд╣ рдХреНрд╖рдг, рд╡рд╣ ansible рдпрд╣ рдХрд╛рдлреА рддреЗрдЬреА рд╕реЗ рд╡рд┐рдХрд╕рд┐рдд рд╣реЛрддрд╛ рд╣реИ, рдФрд░ рдЗрд╕рдореЗрдВ рдкрд╢реНрдЪрдЧрд╛рдореА рд╕рдВрдЧрддрддрд╛ рдкрд░ рдЬреНрдпрд╛рджрд╛ рдзреНрдпрд╛рди рдирд╣реАрдВ рджрд┐рдпрд╛ рдЬрд╛рддрд╛, рдЬрд┐рд╕рд╕реЗ рдЖрддреНрдорд╡рд┐рд╢реНрд╡рд╛рд╕ рдирд╣реАрдВ рдмрдврд╝рддрд╛ред
рдЗрд╕рд▓рд┐рдП, рдХреБрдЫ рд╕рдордп рдкрд╣рд▓реЗ рд╣реА рд╕рд╛рдЗрдХрд┐рд▓ рдХрд╛ рджреВрд╕рд░рд╛ рд╕рдВрд╕реНрдХрд░рдг рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЧрдпрд╛ред рдЗрд╕ рдмрд╛рд░ рдЕрдЬрдЧрд░, рдпрд╛ рдЕрдзрд┐рдХ рд╕рдЯреАрдХ рд░реВрдк рд╕реЗ, рдореЗрдВ рд▓рд┐рдЦреЗ рдЧрдП рдврд╛рдВрдЪреЗ рдкрд░ рдЕрдЬрдЧрд░ рдФрд░ рдХреЗ рд▓рд┐рдП рдЕрдЬрдЧрд░ рд╣рдХрджрд╛рд░
рдЗрд╕рд▓рд┐рдП - рдиреЛрд░реНрдирд┐рд░ рдпрд╣ рдПрдХ рдорд╛рдЗрдХреНрд░реЛрдлреНрд░реЗрдорд╡рд░реНрдХ рд╣реИ рдЬреЛ рдирд┐рдореНрди рднрд╛рд╖рд╛ рдореЗрдВ рд▓рд┐рдЦрд╛ рдЧрдпрд╛ рд╣реИ: рдЕрдЬрдЧрд░ рдФрд░ рдХреЗ рд▓рд┐рдП рдЕрдЬрдЧрд░ рдФрд░ рд╕реНрд╡рдЪрд╛рд▓рди рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рд╣реБрдЖ ansibleрдпрд╣рд╛рдВ рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЛ рд╣рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдбреЗрдЯрд╛ рдХреА рд╕рдХреНрд╖рдо рддреИрдпрд╛рд░реА рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдпрд╛рдиреА рдореЗрдЬрдмрд╛рдиреЛрдВ рдФрд░ рдЙрдирдХреЗ рдорд╛рдкрджрдВрдбреЛрдВ рдХреА рд╕реВрдЪреА, рд▓реЗрдХрд┐рди рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдПрдХ рдЕрд▓рдЧ рдбреАрдПрд╕рдПрд▓ рдкрд░ рдирд╣реАрдВ рд▓рд┐рдЦреА рдЬрд╛рддреА рд╣реИрдВ, рд▓реЗрдХрд┐рди рдЙрд╕реА рдмрд╣реБрдд рдкреБрд░рд╛рдиреЗ рдирд╣реАрдВ, рд▓реЗрдХрд┐рди рдмрд╣реБрдд рдЕрдЪреНрдЫреЗ рдкрд╛рдпрдерди рдкрд░ред
рдЖрдЗрдпреЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЬреАрд╡рдВрдд рдЙрджрд╛рд╣рд░рдг рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рджреЗрдЦреЗрдВ рдХрд┐ рдпрд╣ рдХреНрдпрд╛ рд╣реИред
рдкреВрд░реЗ рджреЗрд╢ рдореЗрдВ рдореЗрд░реЗ рдХрдИ рджрд░реНрдЬрди рдХрд╛рд░реНрдпрд╛рд▓рдпреЛрдВ рдХрд╛ рд╢рд╛рдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ рд╣реИред рдкреНрд░рддреНрдпреЗрдХ рдХрд╛рд░реНрдпрд╛рд▓рдп рдореЗрдВ рдПрдХ WAN рд░рд╛рдЙрдЯрд░ рд╣реЛрддрд╛ рд╣реИ рдЬреЛ рд╡рд┐рднрд┐рдиреНрди рдСрдкрд░реЗрдЯрд░реЛрдВ рдХреЗ рдХрдИ рд╕рдВрдЪрд╛рд░ рдЪреИрдирд▓реЛрдВ рдХреЛ рд╕рдорд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред рд░реВрдЯрд┐рдВрдЧ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ - BGP. WAN рд░рд╛рдЙрдЯрд░ рджреЛ рдкреНрд░рдХрд╛рд░ рдХреЗ рд╣реЛрддреЗ рд╣реИрдВ: рд╕рд┐рд╕реНрдХреЛ ISG рдпрд╛ рдЬреБрдирд┐рдкрд░ SRXред
рдЕрдм рдХрд╛рд░реНрдп: рд╢рд╛рдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд╕рднреА WAN рд░рд╛рдЙрдЯрд░реЛрдВ рдкрд░ рдПрдХ рдЕрд▓рдЧ рдкреЛрд░реНрдЯ рдореЗрдВ рд╡реАрдбрд┐рдпреЛ рдирд┐рдЧрд░рд╛рдиреА рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рдорд░реНрдкрд┐рдд рд╕рдмрдиреЗрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ - BGP рдореЗрдВ рдЗрд╕ рд╕рдмрдиреЗрдЯ рдХреА рдШреЛрд╖рдгрд╛ рдХрд░реЗрдВ - рд╕рдорд░реНрдкрд┐рдд рдкреЛрд░реНрдЯ рдХреА рдЧрддрд┐ рд╕реАрдорд╛ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░реЗрдВред
рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рд╣рдореЗрдВ рдХреБрдЫ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рддреИрдпрд╛рд░ рдХрд░рдиреЗ рд╣реЛрдВрдЧреЗ, рдЬрд┐рдирдХреЗ рдЖрдзрд╛рд░ рдкрд░ рд╕рд┐рд╕реНрдХреЛ рдФрд░ рдЬреБрдирд┐рдкрд░ рдХреЗ рд▓рд┐рдП рдЕрд▓рдЧ-рдЕрд▓рдЧ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рддреИрдпрд╛рд░ рдХрд┐рдП рдЬрд╛рдПрдВрдЧреЗред рдкреНрд░рддреНрдпреЗрдХ рдмрд┐рдВрджреБ рдФрд░ рдХрдиреЗрдХреНрд╢рди рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рд▓рд┐рдП рдбреЗрдЯрд╛ рддреИрдпрд╛рд░ рдХрд░рдирд╛ рднреА рдЖрд╡рд╢реНрдпрдХ рд╣реИ, рдпрд╛рдиреА рдЙрд╕реА рд╕реВрдЪреА рдХреЛ рдЗрдХрдЯреНрдард╛ рдХрд░реЗрдВ
рд╕рд┐рд╕реНрдХреЛ рдХреЗ рд▓рд┐рдП рддреИрдпрд╛рд░ рдЯреЗрдореНрдкрд▓реЗрдЯ:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyрдЬреБрдирд┐рдкрд░ рдХреЗ рд▓рд┐рдП рдЯреЗрдореНрдкрд▓реЗрдЯ:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterрдирд┐рдГрд╕рдВрджреЗрд╣, рдЯреЗрдореНрдкрд▓реЗрдЯ рд╣рд╡рд╛ рд╕реЗ рдирд╣реАрдВ рдирд┐рдХрд╛рд▓реЗ рдЬрд╛рддреЗред рдпреЗ рдореВрд▓рддрдГ рд╡рд┐рднрд┐рдиреНрди рдореЙрдбрд▓реЛрдВ рдХреЗ рджреЛ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд░рд╛рдЙрдЯрд░реЛрдВ рдкрд░ рдХрд╛рд░реНрдп рдХреЛ рд╣рд▓ рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдФрд░ рдмрд╛рдж рдореЗрдВ рдХрд╛рд░реНрдпрд╢реАрд▓ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рдмреАрдЪ рдЕрдВрддрд░ рд╣реИрдВред
рд╣рдорд╛рд░реЗ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рд╕реЗ рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐ рдЬреБрдирд┐рдкрд░ рдХреЗ рд▓рд┐рдП рджреЛ рдкреИрд░рд╛рдореАрдЯрд░ рдФрд░ рд╕рд┐рд╕реНрдХреЛ рдХреЗ рд▓рд┐рдП рддреАрди рдкреИрд░рд╛рдореАрдЯрд░ рд╕рдорд╕реНрдпрд╛ рдХреЛ рд╣рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд░реНрдпрд╛рдкреНрдд рд╣реИрдВред рд╡реЗ рдпрд╣рд╛рдБ рд╣реИрдВ:
- ifname
- рдЗрдкреНрд╕рдлрд╝рд┐рдХреНрд╕
- ASN
рдЕрдм рд╣рдореЗрдВ рдкреНрд░рддреНрдпреЗрдХ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЗ рд▓рд┐рдП рдпреЗ рдкреИрд░рд╛рдореАрдЯрд░ рд╕реЗрдЯ рдХрд░рдиреЗ рд╣реЛрдВрдЧреЗ, рдпрд╛рдиреА рд╡рд╣реА рдХрд╛рдо рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рд╕реВрдЪреА.
рдХреЗ рд▓рд┐рдП рд╕реВрдЪреА рд╣рдо рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реЛрдВ рдХрд╛ рд╕рдЦреНрддреА рд╕реЗ рдкрд╛рд▓рди рдХрд░реЗрдВрдЧреЗ
рдпрд╛рдирд┐ рдЖрдЗрдП рд╣рдо рд╕рдорд╛рди рдлрд╝рд╛рдЗрд▓ рдврд╛рдВрдЪрд╛ рдмрдирд╛рдПрдВ:
.
тФЬтФАтФА config.yaml
тФЬтФАтФА inventory
тФВ тФЬтФАтФА defaults.yaml
тФВ тФЬтФАтФА groups.yaml
тФВ тФФтФАтФА hosts.yamlconfig.yaml рдлрд╝рд╛рдЗрд▓ рдбрд┐рдлрд╝реЙрд▓реНрдЯ nornir рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рд╣реИред
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"рд╣рдо рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдореБрдЦреНрдп рдкреИрд░рд╛рдореАрдЯрд░ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВрдЧреЗ рд╣реЛрд╕реНрдЯреНрд╕.yaml, рд╕рдореВрд╣ (рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпреЗ рд▓реЙрдЧрд┐рди/рдкрд╛рд╕рд╡рд░реНрдб рд╣реИрдВ) groups.yamlрдФрд░ рдореЗрдВ рдбрд┐рдлрд╝реЙрд▓реНрдЯ.yaml рд╣рдо рдХреБрдЫ рднреА рд╕рдВрдХреЗрдд рдирд╣реАрдВ рджреЗрдВрдЧреЗ, рд▓реЗрдХрд┐рди рд╡рд╣рд╛рдВ рддреАрди рдорд╛рдЗрдирд╕ рджрд░реНрдЬ рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ - рдпрд╣ рджрд░реНрд╢рд╛рддрд╛ рд╣реИ рдХрд┐ рдпрд╣ рд╣реИ рдпрдорд▓реЛ рд╣рд╛рд▓рд╛рдБрдХрд┐ рдлрд╝рд╛рдЗрд▓ рдЦрд╛рд▓реА рд╣реИ.
Hosts.yaml рдХреБрдЫ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рджрд┐рдЦрддрд╛ рд╣реИ:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111рдФрд░ рдпрд╣ groups.yaml рд╣реИ:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2рдореЗрд░реЗ рдкрд╛рд╕ рдмрд╕ рдпрд╣реА рд╣реИ рд╕реВрдЪреА рд╣рдорд╛рд░реЗ рдХрд╛рд░реНрдп рдХреЗ рд▓рд┐рдП. рдЖрд░рдВрднреАрдХрд░рдг рдХреЗ рджреМрд░рд╛рди, рдЗрдиреНрд╡реЗрдВрдЯреНрд░реА рдлрд╝рд╛рдЗрд▓реЛрдВ рд╕реЗ рдкреИрд░рд╛рдореАрдЯрд░реНрд╕ рдХреЛ рдСрдмреНрдЬреЗрдХреНрдЯ рдореЙрдбрд▓ рдкрд░ рдореИрдк рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЗрдиреНрд╡реЗрдВрдЯрд░реАрдПрд▓рд┐рдореЗрдВрдЯ.
рд╕реНрдкреЙрдЗрд▓рд░ рдХреЗ рдиреАрдЪреЗ рдЗрдиреНрд╡реЗрдВрдЯрд░реАрдПрд▓рд┐рдореЗрдВрдЯ рдореЙрдбрд▓ рдЖрд░реЗрдЦ рд╣реИ
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}рдпрд╣ рдореЙрдбрд▓ рдереЛрдбрд╝рд╛ рднреНрд░рд╛рдордХ рд▓рдЧ рд╕рдХрддрд╛ рд╣реИ, рд╡рд┐рд╢реЗрд╖рдХрд░ рдкрд╣рд▓реА рдмрд╛рд░ рдореЗрдВред рд╕рдордЭрдиреЗ рдХреЗ рд▓рд┐рдП рдЗрдВрдЯрд░реИрдХреНрдЯрд┐рд╡ рдореЛрдб рдмрд╣реБрдд рдЙрдкрдпреЛрдЧреА рд╣реИ рдЖрдИрдкреАрдереЙрди.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
рдЦреИрд░, рдЕрдВрдд рдореЗрдВ, рдЪрд▓рд┐рдП рдЕрдм рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреА рдУрд░ рдмрдврд╝рддреЗ рд╣реИрдВред рдпрд╣рд╛рдВ рдРрд╕реА рдХреЛрдИ рдмрд╛рдд рдирд╣реАрдВ рд╣реИ рдЬрд┐рд╕ рдкрд░ рдореБрдЭреЗ рд╡рд┐рд╢реЗрд╖ рдЧрд░реНрд╡ рд╣реЛред рдореИрдВрдиреЗ рдЕрднреА рдПрдХ рдмрдирд╛-рдмрдирд╛рдпрд╛ рдЙрджрд╛рд╣рд░рдг рд▓рд┐рдпрд╛ рд╣реИ рдФрд░ рд▓рдЧрднрдЧ рдмрд┐рдирд╛ рдХрд┐рд╕реА рдмрджрд▓рд╛рд╡ рдХреЗ рдЗрд╕рдХрд╛ рдкреНрд░рдпреЛрдЧ рдХрд┐рдпрд╛ред рддреИрдпрд╛рд░ рдХрд╛рд░реНрдпрд╢реАрд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рджрд┐рдЦрддреА рд╣реИ:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)рдкреИрд░рд╛рдореАрдЯрд░ рдкрд░ рдзреНрдпрд╛рди рджреЗрдВ dry_run=рд╕рддреНрдп рдСрдмреНрдЬреЗрдХреНрдЯ рдХрд╛ рдЗрди-рд▓рд╛рдЗрди рдЖрд░рдВрднреАрдХрд░рдг nr.
рдпрд╣рд╛рдБ рднреА рд╡реИрд╕рд╛ рд╣реА рд╣реИ рдЬреИрд╕рд╛ рдкрд╣рд▓реЗ рдерд╛ ansible рдПрдХ рдкрд░реАрдХреНрд╖рдг рд░рди рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕рдХреЗ рджреМрд░рд╛рди рд░рд╛рдЙрдЯрд░ рд╕реЗ рдХрдиреЗрдХреНрд╢рди рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдПрдХ рдирдпрд╛ рд╕рдВрд╢реЛрдзрд┐рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рддреИрдпрд╛рд░ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕реЗ рддрдм рдбрд┐рд╡рд╛рдЗрд╕ рджреНрд╡рд╛рд░рд╛ рдорд╛рдиреНрдп рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ (рд▓реЗрдХрд┐рди рдпрд╣ рдирд┐рд╢реНрдЪрд┐рдд рдирд╣реАрдВ рд╣реИ; рдпрд╣ рдбрд┐рд╡рд╛рдЗрд╕ рд╕рдорд░реНрдерди рдФрд░ NAPALM рдореЗрдВ рдбреНрд░рд╛рдЗрд╡рд░ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддрд╛ рд╣реИ), рд▓реЗрдХрд┐рди рдирдпрд╛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╕реАрдзреЗ рд▓рд╛рдЧреВ рдирд╣реАрдВ рд╣реЛрддрд╛ рд╣реИред рдпреБрджреНрдз рдЙрдкрдпреЛрдЧ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдкреИрд░рд╛рдореАрдЯрд░ рд╣рдЯрд╛рдирд╛ рд╣реЛрдЧрд╛ рдкреВрд░реНрд╡рд╛рднреНрдпрд╛рд╕ рдпрд╛ рдЗрд╕рдХрд╛ рдорд╛рди рдмрджрд▓реЗрдВ рдЭреВрдард╛.
рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рддреЗ рд╕рдордп, рдиреЙрд░реНрдирд┐рд░ рдХрдВрд╕реЛрд▓ рдкрд░ рд╡рд┐рд╕реНрддреГрдд рд▓реЙрдЧ рдЖрдЙрдЯрдкреБрдЯ рдХрд░рддрд╛ рд╣реИред
рд╕реНрдкреЙрдЗрд▓рд░ рдХреЗ рдиреАрдЪреЗ рджреЛ рдкрд░реАрдХреНрд╖рдг рд░рд╛рдЙрдЯрд░реЛрдВ рдкрд░ рдЪрд▓рд╛рдП рдЧрдП рдпреБрджреНрдз рдХрд╛ рдЖрдЙрдЯрдкреБрдЯ рд╣реИ:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ansible_vault рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдб рдЫрд┐рдкрд╛рдирд╛
рд▓реЗрдЦ рдХреА рд╢реБрд░реБрдЖрдд рдореЗрдВ рдореИрдВ рдереЛрдбрд╝рд╛ рдЖрдЧреЗ рдмрдврд╝ рдЧрдпрд╛ ansible, рд▓реЗрдХрд┐рди рд╡рд╣рд╛рдВ рд╣рд╛рд▓рд╛рдд рдЗрддрдиреЗ рднреА рдмреБрд░реЗ рдирд╣реАрдВ рд╣реИрдВред рдореБрдЭреЗ рд╡реЗ рдмрд╣реБрдд рдкрд╕рдВрдж рд╣реИрдВ рдореЗрд╣рд░рд╛рдм рдЬреИрд╕реЗ рдХрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдЬрд╛рдирдХрд╛рд░реА рдХреЛ рдирдЬрд╝рд░реЛрдВ рд╕реЗ рджреВрд░ рдЫрд┐рдкрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реЛред рдФрд░ рд╢рд╛рдпрдж рдХрдИ рд▓реЛрдЧреЛрдВ рдиреЗ рдпрд╣ рджреЗрдЦрд╛ рд╣реЛрдЧрд╛ рдХрд┐ рд╣рдорд╛рд░реЗ рд╕рднреА рд▓реЙрдЧрд┐рди/рдкрд╛рд╕рд╡рд░реНрдб рд╕рднреА рд▓рдбрд╝рд╛рдХреВ рд░рд╛рдЙрдЯрд░реЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдЦреБрд▓реЗ рдореЗрдВ рдкреНрд░рджрд░реНрд╢рд┐рдд рд╣реЛрддреЗ рд╣реИрдВ gorups.yaml. рдмреЗрд╢рдХ, рдпрд╣ рд╕реБрдиреНрджрд░ рдирд╣реАрдВ рд╣реИред рдЖрдЗрдпреЗ рдЗрд╕ рдбреЗрдЯрд╛ рдХреЛ рд╕реБрд░рдХреНрд╖рд┐рдд рд░рдЦреЗрдВ рдореЗрд╣рд░рд╛рдм.
рдЖрдЗрдП рдкреИрд░рд╛рдореАрдЯрд░реНрд╕ рдХреЛ groups.yaml рд╕реЗ creds.yaml рдореЗрдВ рд▓реЗ рдЬрд╛рдПрдВ, рдФрд░ рдЗрд╕реЗ 256-рдЕрдВрдХреАрдп рдкрд╛рд╕рд╡рд░реНрдб рдХреЗ рд╕рд╛рде AES20 рд╕реЗ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рдХрд░реЗрдВ:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435рдпрд╣ рдЗрддрдирд╛ рдЖрд╕рд╛рди рд╣реИред рдмрд╕ рдЕрдм рдмрд╛рдХреА рд╣реИ рд╣рдореЗрдВ рд╕рд┐рдЦрд╛рдирд╛ рдиреЛрд░реНрдирд┐рд░-рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЗрд╕ рдбреЗрдЯрд╛ рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдФрд░ рд▓рд╛рдЧреВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдПред
рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдорд╛рд░реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ рдЖрд░рдВрднреАрдХрд░рдг рдкрдВрдХреНрддрд┐ рдХреЗ рдмрд╛рдж nr = InitNornir(config_file=тАж рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХреЛрдб рдЬреЛрдбрд╝реЗрдВ:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...рдмреЗрд╢рдХ vault.passwd рдХреЛ creds.yaml рдХреЗ рдмрдЧрд▓ рдореЗрдВ рд╕реНрдерд┐рдд рдирд╣реАрдВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП рдЬреИрд╕рд╛ рдХрд┐ рдореЗрд░реЗ рдЙрджрд╛рд╣рд░рдг рдореЗрдВ рд╣реИред рд▓реЗрдХрд┐рди рдпрд╣ рдЦреЗрд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╛рдлреА рдЕрдЪреНрдЫрд╛ рд╣реИред
рдЕрднреА рдХреЗ рд▓рд┐рдП рдЗрддрдирд╛ рд╣реАред рд╕рд┐рд╕реНрдХреЛ + рдЬрд╝реИрдмрд┐рдХреНрд╕ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдХреБрдЫ рдФрд░ рд▓реЗрдЦ рдЖрдиреЗ рд╡рд╛рд▓реЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпрд╣ рд╕реНрд╡рдЪрд╛рд▓рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдирд╣реАрдВ рд╣реИред рдФрд░ рдирд┐рдХрдЯ рднрд╡рд┐рд╖реНрдп рдореЗрдВ рдореИрдВ рд╕рд┐рд╕реНрдХреЛ рдореЗрдВ RESTCONF рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓рд┐рдЦрдиреЗ рдХреА рдпреЛрдЬрдирд╛ рдмрдирд╛ рд░рд╣рд╛ рд╣реВрдВред
рд╕реНрд░реЛрдд: www.habr.com
