Hej Habr!
Nedavno se ovdje pojavio članak gdje je sličan problem riješen korištenjem fosilnih sredstava. I premda je zadatak potpuno tipičan, na Habréu nema ničeg sličnog. Usuđujem se ponuditi svoj bicikl poštovanoj IT zajednici.
Ovo nije prvi bicikl za takav zadatak. Prva opcija implementirana je prije nekoliko godina u ansible verzija 1.x.x. Bicikl je rijetko korišten i stoga je stalno hrđao. U smislu da se sam zadatak ne pojavljuje toliko često koliko se verzije ažuriraju ansible. I svaki put kad trebaš voziti, lanac padne ili kotač. Međutim, prvi dio, generiranje konfiguracija, uvijek radi vrlo jasno, na sreću jinja2 Motor je dugo korišten. Ali drugi dio - izbacivanje konfiguracija - obično je donosio iznenađenja. A budući da moram daljinski postaviti konfiguraciju na pola stotine uređaja, od kojih su neki udaljeni tisućama kilometara, korištenje ovog alata bilo je pomalo dosadno.
Ovdje moram priznati da moja nesigurnost najvjerojatnije leži u nedostatku poznavanja ansiblenego u svojim nedostacima. A ovo je, usput, važna točka. ansible je potpuno zasebno, vlastito područje znanja s vlastitim DSL-om (Domain Specific Language), koji se mora održavati na pouzdanoj razini. Pa taj trenutak taj ansible Razvija se prilično brzo i bez posebnog obzira na kompatibilnost s prethodnim verzijama, ne dodaje povjerenje.
Stoga je ne tako davno implementirana druga verzija bicikla. Ovaj put uključeno piton, odnosno na okviru napisanom u piton i za piton pravo
dakle - Nornir je mikrookvir napisan u piton i za piton i dizajniran za automatizaciju. Isto kao u slučaju sa ansible, za rješavanje problema ovdje je potrebna kompetentna priprema podataka, tj. inventar hostova i njihovih parametara, ali skripte nisu napisane u zasebnom DSL-u, već u istom ne baš starom, ali vrlo dobrom p[i|i]tonu.
Pogledajmo što je to koristeći sljedeći živi primjer.
Imam mrežu podružnica s nekoliko desetaka ureda diljem zemlje. Svaki ured ima WAN usmjerivač koji završava nekoliko komunikacijskih kanala različitih operatera. Protokol usmjeravanja je BGP. WAN usmjerivači dolaze u dvije vrste: Cisco ISG ili Juniper SRX.
Sada zadatak: morate konfigurirati namjensku podmrežu za videonadzor na zasebnom priključku na svim WAN usmjerivačima mreže podružnica - reklamirati ovu podmrežu u BGP-u - konfigurirati ograničenje brzine namjenskog priključka.
Prvo trebamo pripremiti par predložaka na temelju kojih će se generirati konfiguracije posebno za Cisco i Juniper. Također je potrebno pripremiti podatke za svaku točku i parametre priključka, tj. prikupiti isti inventar
Spremni predložak za Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyPredložak za Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterPredlošci, naravno, ne dolaze iz zraka. To su u biti razlike između radnih konfiguracija koje su bile i koje su bile nakon rješavanja zadatka na dva specifična routera različitih modela.
Iz naših predložaka vidimo da su nam za rješavanje problema potrebna samo dva parametra za Juniper i 3 parametra za Cisco. Evo ih:
- ifname
- ipsufiks
- ASN
Sada moramo postaviti ove parametre za svaki uređaj, tj. učiniti istu stvar popis.
za popis Strogo ćemo se pridržavati dokumentacije
to jest, stvorimo isti kostur datoteke:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlDatoteka config.yaml standardna je nornir konfiguracijska datoteka
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"U datoteci ćemo navesti glavne parametre domaćini.yaml, grupa (u mom slučaju to su prijave/lozinke) u grupe.yaml, i u zadane postavke.yaml Nećemo ništa označavati, ali tamo morate unijeti tri minusa - što znači da jest yaml datoteka je ipak prazna.
Ovako izgleda hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111A evo i groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Evo što se dogodilo popis za naš zadatak. Tijekom inicijalizacije, parametri iz datoteka inventara preslikavaju se na objektni model InventarElement.
Ispod spojlera nalazi se dijagram modela InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ovaj model može izgledati pomalo zbunjujuće, pogotovo na prvu. Kako bismo to shvatili, interaktivni način rada u ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
I na kraju, prijeđimo na sam scenarij. Ovdje nemam čime biti posebno ponosan. Upravo sam uzeo gotov primjer iz i koristio ga gotovo nepromijenjenog. Ovako izgleda gotov radni skript:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Obratite pažnju na parametar dry_run=Istina inicijalizacija linijskog objekta nr.
Ovdje isto kao u ansible proveden je testni rad u kojem se uspostavlja veza s routerom, priprema se nova modificirana konfiguracija koju zatim uređaj potvrđuje (ali to nije sigurno; ovisi o podršci uređaja i implementaciji drajvera u NAPALM-u) , ali nova konfiguracija nije izravno primijenjena. Za borbenu upotrebu, morate ukloniti parametar testno pokretanje ili promijeniti njegovu vrijednost u Lažan.
Kada se skripta izvrši, Nornir šalje detaljne zapise na konzolu.
Ispod spojlera nalazi se rezultat borbene vožnje na dva testna usmjerivača:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Skrivanje lozinki u ansible_vault
Na početku članka sam malo pretjerao ansible, ali nije sve tako loše. baš mi se sviđaju svod poput, koji je dizajniran za skrivanje osjetljivih informacija izvan vidokruga. Vjerojatno su mnogi primijetili da sve prijave/lozinke za sve borbene rutere svjetlucaju u otvorenom obliku u datoteci gorups.yaml. Nije lijepo, naravno. Zaštitimo ove podatke s svod.
Prenesimo parametre iz groups.yaml u creds.yaml i šifrirajmo ga s AES256 s lozinkom od 20 znamenki:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Tako je jednostavno. Ostaje da naučimo naše Nornir-skripta za dohvaćanje i primjenu ovih podataka.
Da biste to učinili, u našoj skripti nakon inicijalizacijske linije nr = InitNornir(config_file=… dodajte sljedeći kod:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Naravno, vault.passwd ne bi trebao biti smješten pored creds.yaml kao u mom primjeru. Ali u redu je za igranje.
To je sve za sada. Dolazi još nekoliko članaka o Cisco + Zabbixu, ali ovo nije malo o automatizaciji. A u bliskoj budućnosti planiram pisati o RESTCONF-u u Ciscu.
Izvor: www.habr.com