Rezo automatisation. Yon ka soti nan lavi yon moun

Hey Habr!

Nan atik sa a nou ta renmen pale sou automatisation nan enfrastrikti rezo a. Y ap prezante yon dyagram k ap travay sou rezo a ki opere nan yon sèl ti konpayi ki trè fyè. Tout alimèt ak ekipman rezo reyèl yo o aza. Nou pral gade nan yon ka ki te fèt nan rezo sa a, ki te kapab mennen nan yon fèmen biznis pou yon tan long ak pèt finansye grav. Solisyon an nan ka sa a adapte trè byen nan konsèp nan "Otomatik nan enfrastrikti rezo". Sèvi ak zouti automatisation, nou pral montre ki jan ou ka efektivman rezoud pwoblèm konplèks nan yon ti tan, epi nou pral reflechi sou poukisa pwoblèm sa yo ta dwe rezoud nan fason sa a epi yo pa otreman (via konsole a).

Avètisman

Zouti prensipal nou yo pou automatisation yo se Ansible (kòm yon zouti automatisation) ak Git (kòm yon depo pou liv Ansible). Mwen ta renmen imedyatman fè yon rezèvasyon ke sa a se pa yon atik entwodiksyon, kote nou pale sou lojik Ansible oswa Git, epi eksplike bagay debaz yo (pa egzanp, kisa roltaskimodules, fichye envantè, varyab nan Ansible, oswa sa k ap pase lè. ou antre kòmandman git push oswa git commit). Istwa sa a se pa sou fason ou ka pratike Ansible ak konfigirasyon NTP oswa SMTP sou ekipman ou. Sa a se yon istwa sou fason ou ka byen vit epi de preferans rezoud yon pwoblèm rezo san erè. Li se tou rekòmande pou gen yon bon konpreyansyon sou ki jan rezo a ap travay, an patikilye sa ki TCP/IP, OSPF, BGP pile pwotokòl la. Nou pral tou pran chwa pou Ansible ak Git soti nan ekwasyon an. Si ou toujou bezwen chwazi yon solisyon espesifik, nou rekòmande anpil li liv la "Programabilite rezo ak automatisation. Skills for the Next-Generation Network Engineer" pa Jason Edelman, Scott S. Lowe, ak Matt Oswalt.

Koulye a, nan pwen an.

Deklarasyon sou pwoblèm nan

Ann imajine yon sitiyasyon: 3 è nan maten, ou ap dòmi byen vit ak rèv. Apèl telefòn. Direktè teknik la rele:

- Wi?
— ###, ####, #####, grap firewall la tonbe epi li pa monte!!!
Ou fwote je ou, ap eseye konprann sa k ap pase epi imajine ki jan sa a ka menm rive. Nan telefòn nan ou ka tande cheve nan tèt direktè a chire, epi li mande pou yo rele paske jeneral la ap rele l 'sou dezyèm liy lan.

Yon demi èdtan pita, ou kolekte premye nòt yo entwodiksyon nan chanjman nan devwa, leve tout moun ki te kapab leve. Kòm yon rezilta, direktè teknik la pa t 'manti, tout bagay se jan li ye, gwoup prensipal la nan firewall te tonbe, epi pa gen okenn mouvman kò debaz pote l' nan sans li. Tout sèvis ke konpayi an ofri pa travay.

Chwazi yon pwoblèm nan gou ou, tout moun ap sonje yon bagay diferan. Pou egzanp, apre yon aktyalizasyon lannwit lan nan absans la nan yon chaj lou, tout bagay te travay byen, ak tout moun te ale nan kabann kontan. Trafik te kòmanse koule, ak tanpon koòdone yo te kòmanse debòde akòz yon ensèk nan chofè kat rezo a.

Jackie Chan ka dekri sitiyasyon an byen.

Mèsi, Jackie.

Pa yon sitiyasyon trè bèl, pa vre?

Ann kite rezo nou bro ak panse tris li pou yon ti tan.

Ann diskite sou fason evènman yo pral devlope pi lwen.

Nou sijere lòd sa a nan prezantasyon materyèl la

1. Ann gade dyagram rezo a epi wè ki jan li fonksyone;
2. Nou pral dekri ki jan nou transfere anviwònman soti nan yon routeur nan yon lòt lè l sèvi avèk Ansible;
3. Ann pale sou automatisation enfrastrikti IT la kòm yon antye.

Dyagram rezo ak deskripsyon

Scheme

Ann konsidere dyagram lojik òganizasyon nou an. Nou pa pral nonmen manifakti ekipman espesifik; pou rezon atik sa a li pa enpòtan (Lektè atantif la ap devine ki kalite ekipman yo itilize). Sa a se jis youn nan avantaj ki genyen nan travay ak Ansible; lè nou mete kanpe, nou jeneralman pa pran swen ki kalite ekipman li ye. Jis konprann, sa a se ekipman ki soti nan machann byen li te ye, tankou Cisco, Juniper, Check Point, Fortinet, Palo Alto ... ou ka ranplase opsyon pwòp ou a.

Nou gen de travay prensipal pou deplase trafik:

1. Asire piblikasyon sèvis nou yo, ki se biznis konpayi an;
2. Bay kominikasyon ak branch, yon sant done aleka ak òganizasyon twazyèm pati (patnè ak kliyan), osi byen ke aksè nan branch nan entènèt la atravè biwo santral la.

Ann kòmanse ak eleman debaz yo:

1. De routeurs fwontyè (BRD-01, BRD-02);
2. Firewall Cluster (FW-CLUSTER);
3. Nwayo switch (L3-CORE);
4. Yon routeur ki pral vin yon liy lavi (tankou nou rezoud pwoblèm nan, nou pral transfere anviwònman rezo yo soti nan FW-CLUSTER nan IJANS) (IJANS);
5. Bouton pou jesyon enfrastrikti rezo (L2-MGMT);
6. Machin vityèl ak Git ak Ansible (VM-AUTOMATION);
7. Yon laptop ki te fè tès ak devlopman nan liv pou Ansible (Laptop-Automation).

Rezo a configuré ak yon pwotokòl routage OSPF dinamik ak zòn sa yo:

• Zòn 0 - zòn ki gen ladann routeurs ki responsab pou deplase trafik nan zòn ECHANGE a;
• Zòn 1 - zòn ki gen ladann routeurs responsab pou operasyon sèvis konpayi yo;
• Zòn 2 – zòn ki gen ladann routeurs ki responsab pou jesyon wout trafik;
• Zòn N - zòn nan rezo branch yo.

Sou routeurs fwontyè yo, yo kreye yon routeur vityèl (VRF-INTERNET), kote eBGP plen View enstale ak AS ki koresponn lan. iBGP se configuré ant VRF yo. Konpayi an gen yon pisin adrès blan ki pibliye sou VRF-INTERNET sa yo. Gen kèk nan adrès blan yo achemine dirèkteman nan FW-CLUSTER (adrès kote sèvis konpayi an opere), kèk yo ap dirije nan zòn nan ECHANGE (sèvis konpayi entèn ki mande adrès IP ekstèn, ak adrès NAT ekstèn pou biwo yo). Apre sa, trafik la ale nan routeurs vityèl ki te kreye sou L3-CORE ak adrès blan ak gri (zòn sekirite).

Rezo Jesyon an sèvi ak switch dedye epi li reprezante yon rezo fizikman devwe. Rezo jesyon an tou divize an zòn sekirite.
Routeur IJANS fizikman ak lojikman double FW-CLUSTER la. Tout koòdone sou li yo enfim eksepte sa yo ki gade nan rezo jesyon an.

Otomatik ak deskripsyon li yo

Nou konnen ki jan rezo a ap travay. Koulye a, ann gade etap pa etap nan sa nou pral fè pou transfere trafik soti nan FW-CLUSTER nan IJANS:

1. Nou enfim interfaces sou switch nwayo a (L3-CORE) ki konekte li ak FW-CLUSTER la;
2. Nou enfim koòdone yo sou switch nwayo L2-MGMT ki konekte li ak FW-CLUSTER la;
3. Nou konfigure routeur IJANS la (pa default, tout koòdone yo enfim sou li, eksepte sa ki asosye ak L2-MGMT):

• Nou pèmèt interfaces sou IJANS;
• Nou konfigirasyon adrès IP ekstèn (pou NAT) ki te sou FW-Cluster la;
• Nou jenere demann gARP pou adrès poppy yo nan tab L3-CORE arp yo chanje soti nan FW-Cluster an IJANS;
• Nou anrejistre wout default kòm estatik BRD-01, BRD-02;
• Kreye règ NAT;
• Ogmante nan Zòn OSPF IJANS 1;
• Ogmante nan Zòn OSPF IJANS 2;
• Nou chanje pri wout yo nan Zòn 1 a 10;
• Nou chanje pri wout default la nan Zòn 1 a 10;
• Nou chanje adrès IP ki asosye ak L2-MGMT (nan sa yo ki te sou FW-CLUSTER);
• Nou jenere demann gARP pou adrès poppy yo nan tab arp L2-MGMT yo chanje soti nan FW-CLUSTER a IJANS.

Ankò, nou retounen nan fòmilasyon orijinal pwoblèm nan. Twa è nan maten, estrès menmen, yon erè nan nenpòt etap ka mennen nan nouvo pwoblèm. Pare pou tape kòmandman atravè CLI a? Wi? Oke, omwen ale rense figi ou, bwè yon ti kafe epi rasanble volonte ou.
Bruce, tanpri ede mesye yo.

Oke, nou kontinye amelyore automatisation nou an.
Anba la a se yon dyagram sou fason liv jwèt la travay an tèm Ansible. Konplo sa a reflete sa nou te dekri jis pi wo a, li se jis yon aplikasyon espesifik nan Ansible.


Nan etap sa a, nou reyalize sa ki bezwen fè, devlope yon liv, fè tès, epi kounye a nou pare pou lanse li.

Yon lòt ti digresyon lirik. Fasilite nan istwa a pa ta dwe twonpe ou. Pwosesis la nan ekri playbooks pa t 'tan senp ak rapid jan li ta ka sanble. Tès te pran anpil tan, yo te kreye yon kanpe vityèl, solisyon an te teste anpil fwa, apeprè 100 tès yo te pote soti.

Ann lanse... Gen yon santiman ke tout bagay ap pase trè dousman, gen yon erè yon kote, yon bagay pa pral mache nan fen. Santiman an nan sote ak yon parachit, men parachit la pa vle louvri touswit ... sa a se nòmal.

Apre sa, nou li rezilta operasyon yo fè nan liv jwèt Ansible (yo te ranplase adrès IP yo pou rezon sekrè):

[xxx@emergency ansible]$ ansible-playbook -i /etc/ansible/inventories/prod_inventory.ini /etc/ansible/playbooks/emergency_on.yml 

PLAY [------->Emergency on VCF] ********************************************************

TASK [vcf_junos_emergency_on : Disable PROD interfaces to FW-CLUSTER] *********************
changed: [vcf]

PLAY [------->Emergency on MGMT-CORE] ************************************************

TASK [mgmt_junos_emergency_on : Disable MGMT interfaces to FW-CLUSTER] ******************
changed: [m9-03-sw-03-mgmt-core]

PLAY [------->Emergency on] ****************************************************

TASK [mk_routeros_emergency_on : Enable EXT-INTERNET interface] **************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Generate gARP for EXT-INTERNET interface] ****************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Enable static default route to EXT-INTERNET] ****************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change NAT rule to EXT-INTERNET interface] ****************
changed: [m9-04-r-04] => (item=12)
changed: [m9-04-r-04] => (item=14)
changed: [m9-04-r-04] => (item=15)
changed: [m9-04-r-04] => (item=16)
changed: [m9-04-r-04] => (item=17)

TASK [mk_routeros_emergency_on : Enable OSPF Area 1 PROD] ******************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Enable OSPF Area 2 MGMT] *****************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change OSPF Area 1 interfaces costs to 10] *****************
changed: [m9-04-r-04] => (item=VLAN-1001)
changed: [m9-04-r-04] => (item=VLAN-1002)
changed: [m9-04-r-04] => (item=VLAN-1003)
changed: [m9-04-r-04] => (item=VLAN-1004)
changed: [m9-04-r-04] => (item=VLAN-1005)
changed: [m9-04-r-04] => (item=VLAN-1006)
changed: [m9-04-r-04] => (item=VLAN-1007)
changed: [m9-04-r-04] => (item=VLAN-1008)
changed: [m9-04-r-04] => (item=VLAN-1009)
changed: [m9-04-r-04] => (item=VLAN-1010)
changed: [m9-04-r-04] => (item=VLAN-1011)
changed: [m9-04-r-04] => (item=VLAN-1012)
changed: [m9-04-r-04] => (item=VLAN-1013)
changed: [m9-04-r-04] => (item=VLAN-1100)

TASK [mk_routeros_emergency_on : Change OSPF area1 default cost for to 10] ******************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change MGMT interfaces ip addresses] ********************
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n.254', u'name': u'VLAN-803'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+1.254', u'name': u'VLAN-805'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+2.254', u'name': u'VLAN-807'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+3.254', u'name': u'VLAN-809'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+4.254', u'name': u'VLAN-820'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+5.254', u'name': u'VLAN-822'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+6.254', u'name': u'VLAN-823'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+7.254', u'name': u'VLAN-824'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+8.254', u'name': u'VLAN-850'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+9.254', u'name': u'VLAN-851'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+10.254', u'name': u'VLAN-852'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+11.254', u'name': u'VLAN-853'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+12.254', u'name': u'VLAN-870'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+13.254', u'name': u'VLAN-898'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+14.254', u'name': u'VLAN-899'})

TASK [mk_routeros_emergency_on : Generate gARPs for MGMT interfaces] *********************
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n.254', u'name': u'VLAN-803'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+1.254', u'name': u'VLAN-805'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+2.254', u'name': u'VLAN-807'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+3.254', u'name': u'VLAN-809'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+4.254', u'name': u'VLAN-820'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+5.254', u'name': u'VLAN-822'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+6.254', u'name': u'VLAN-823'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+7.254', u'name': u'VLAN-824'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+8.254', u'name': u'VLAN-850'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+9.254', u'name': u'VLAN-851'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+10.254', u'name': u'VLAN-852'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+11.254', u'name': u'VLAN-853'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+12.254', u'name': u'VLAN-870'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+13.254', u'name': u'VLAN-898'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+14.254', u'name': u'VLAN-899'})

PLAY RECAP ************************************************************************

Fè!

An reyalite, li pa byen pare, pa bliye sou dirèksyon nan pwotokòl routage dinamik ak chaje yon gwo kantite wout nan FIB la. Nou pa kapab enfliyanse sa nan okenn fason. Nou tann. Li te travay deyò. Koulye a, li pare.

Ak nan vilaj Vilabajo (ki pa vle otomatize konfigirasyon rezo a) yo kontinye lave asyèt yo. Bruce (ki vre, deja diferan, men pa mwens fre) ap eseye konprann ki jan plis manyèl rekonfigirasyon ekipman an pral pran plas.

Mwen ta renmen rete tou sou yon pwen enpòtan. Ki jan nou ka jwenn tout bagay tounen? Apre kèk tan, nou pral pote FW-CLUSTER nou an tounen nan lavi. Sa a se ekipman prensipal la, pa backup, rezo a dwe kouri sou li.

Èske ou santi jan rezo yo ap kòmanse boule? Direktè teknik la pral tande mil diskisyon poukisa sa pa ta dwe fèt, poukisa sa ka fèt pita. Malerezman, sa a se ki jan rezo a travay nan yon pakèt moun sou plak, moso, ak rès nan liks ansyen li yo. Li sanble yon lenn patchwork. Travay nou an jeneral, pa nan sitiyasyon espesifik sa a, men an jeneral nan prensip, kòm espesyalis IT, se pote travay la nan rezo a nan bèl mo angle "konsistans la", li trè miltip, li ka tradui kòm: koerans. , konsistans, lojik, koyerans, sistematisite, konparab, koyerans. Se tout sou li. Se sèlman nan eta sa a se rezo a jere, nou klèman konprann sa ki travay ak ki jan, nou klèman konprann sa ki bezwen chanje, si sa nesesè, nou klèman konnen ki kote yo gade si pwoblèm rive. Epi sèlman nan yon rezo konsa ou ka fè ke trik nouvèl tankou sa yo nou te jis dekri.

Aktyèlman, yon lòt liv te prepare, ki te retounen anviwònman yo nan eta orijinal yo. Lojik nan operasyon li yo se menm bagay la (li enpòtan sonje ke lòd la nan travay trè enpòtan), yo nan lòd yo pa alonje yon atik ki deja long, nou deside pa afiche yon lis nan ekzekisyon an playbook. Apre ou fin fè egzèsis sa yo, ou pral santi w pi kalm ak plis konfyans nan lavni an, Anplis de sa, nenpòt beki ke ou anpile la pral imedyatman revele tèt yo.

Nenpòt moun ka ekri nou epi resevwa sous yo nan tout kòd ekri a, ansanm ak tout palybooks yo. Kontak nan pwofil.

Jwenn

Nan opinyon nou an, pwosesis ki ka otomatize poko kristalize. Dapre sa nou te rankontre ak sa kòlèg Lwès nou yo ap diskite, tèm sa yo vizib jiskaprezan:

• Pwovizyon pou aparèy;
• Koleksyon done;
• Rapò;
• Depanaj;
• Konfòmite.

Si gen enterè, nou ka kontinye diskisyon an sou youn nan sijè yo bay yo.

Mwen ta renmen tou pale yon ti kras sou automatisation. Ki sa li ta dwe nan konpreyansyon nou an:

• Sistèm nan dwe viv san yon moun, pandan y ap amelyore pa yon moun. Sistèm nan pa ta dwe depann sou moun;
• Operasyon yo dwe ekspè. Pa gen okenn klas espesyalis ki fè travay woutin. Gen ekspè ki te otomatize woutin an antye ak rezoud sèlman pwoblèm konplèks;
• Travay estanda woutin yo fè otomatikman "nan manyen yon bouton", pa gen okenn resous yo gaspiye. Rezilta travay sa yo toujou previzib ak konprann.

Ak ki sa pwen sa yo ta dwe mennen nan:

• Transparans nan enfrastrikti IT (Mwens risk nan operasyon, modènizasyon, aplikasyon. Mwens D 'pa ane);
• Kapasite pou planifye resous IT (Sistèm planifikasyon kapasite - ou ka wè konbyen lajan yo konsome, ou ka wè konbyen resous ki nesesè nan yon sèl sistèm, epi yo pa lèt ak vizit nan depatman an tèt yo);
• Posiblite pou redwi kantite anplwaye IT.

Otè atik la: Alexander Chelovekov (CCIE RS, CCIE SP) ak Pavel Kirillov. Nou enterese nan diskite ak pwopoze solisyon sou sijè a nan IT automatisation enfrastrikti.


Sous: www.habr.com