Szia Habr!
Nemrég felbukkant itt egy cikk ahol egy hasonló problémát fosszilis eszközökkel oldottak meg. És bár a feladat teljesen tipikus, a Habrén semmi hasonló nincs benne. Bátran merem ajánlani a kerékpáromat a tisztelt informatikai közösségnek.
Nem ez az első kerékpár ilyen feladatra. Az első lehetőséget néhány évvel ezelőtt alkalmazták ansible 1.x.x verzió. A kerékpár ritkán volt használva, ezért folyamatosan rozsdásodott. Abban az értelemben, hogy maga a feladat nem merül fel olyan gyakran, mint a verziók frissítése ansible. És minden alkalommal, amikor vezetni kell, leesik a lánc vagy a kerék. Az első rész, a konfigurációk generálása azonban szerencsére mindig nagyon egyértelműen működik jinja2 A motor régóta bevált. De a második rész, a konfigok kigörgetése általában hozott meglepetéseket. És mivel félszáz eszközre kell távolról kiteregetnem a konfigurációt, amelyek egy része több ezer kilométerre található, így az eszköz használata kicsit unalmas volt.
Itt be kell vallanom, hogy a bizonytalanságom nagy valószínűséggel abban rejlik, hogy nem ismerem ansiblemint hiányosságaiban. És ez egyébként egy fontos szempont. ansible egy teljesen különálló, saját tudásterület saját DSL-lel (Domain Specific Language), amelyet magabiztos szinten kell tartani. Nos, abban a pillanatban ansible Elég gyorsan fejlődik, és a visszamenőleges kompatibilitás különösebb figyelembevétele nélkül nem ad magabiztosságot.
Ezért nem is olyan régen a kerékpár második változatát is megvalósították. Ezúttal tovább piton, vagy inkább egy ben írt kereten piton és a piton hívott
Így - Nornir beírt mikrokeret piton és a piton és automatizálásra tervezték. Ugyanaz, mint abban az esetben ansible, az itteni problémák megoldásához hozzáértő adatelőkészítés szükséges, pl. hostok és paramétereik leltárát, de a szkripteket nem külön DSL-ben írják, hanem ugyanabban a nem túl régi, de nagyon jó p[i|i]tonban.
Nézzük meg, mi ez a következő élő példa segítségével.
Országszerte több tucat irodával rendelkezem fiókhálózattal. Minden irodában van egy WAN router, amely több kommunikációs csatornát zár le a különböző szolgáltatóktól. Az útválasztási protokoll a BGP. A WAN routereknek két típusa van: Cisco ISG vagy Juniper SRX.
Most a feladat: konfigurálnia kell egy dedikált alhálózatot a Video Surveillance számára egy külön porton a fiókhálózat összes WAN-útválasztóján - hirdetje meg ezt az alhálózatot a BGP-ben - konfigurálja a dedikált port sebességkorlátját.
Először is el kell készítenünk pár sablont, amelyek alapján külön konfigurációk generálódnak a Cisco és a Juniper számára. Szükséges továbbá az egyes pontokhoz és a csatlakozási paraméterekhez adatok előkészítése, pl. ugyanazt a leltárt gyűjtsük össze
Kész sablon a Cisco számára:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyJuniper sablon:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterA sablonok természetesen nem légből kapottak. Ezek lényegében különbségek azon működő konfigurációk között, amelyek a feladat megoldása után voltak és voltak két különböző modellű routeren.
Sablonjainkból azt látjuk, hogy a probléma megoldásához mindössze két paraméterre van szükségünk a Junipernél, és 3 paraméterre a Ciscónál. itt vannak:
- ifname
- ipsuffix
- ASN
Most be kell állítanunk ezeket a paramétereket minden egyes eszközhöz, pl. csináld ugyanezt leltár.
mert leltár Szigorúan követjük a dokumentációt
vagyis hozzuk létre ugyanazt a fájlvázat:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlA config.yaml fájl a szabványos nornir konfigurációs fájl
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"A fájlban feltüntetjük a fő paramétereket házigazdák.yaml, csoport (esetemben ezek bejelentkezési/jelszavak) be csoportok.yaml, és be alapértelmezettek.yaml Nem jelezünk semmit, de három mínuszt kell beírnia - jelezve, hogy igen yaml a fájl azonban üres.
Így néz ki a hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111És itt van a groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Ez történt leltár feladatunkra. Az inicializálás során a leltárfájlok paraméterei leképeződnek az objektummodellre InventoryElement.
A spoiler alatt az InventoryElement modell diagramja látható
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ez a modell kissé zavarónak tűnhet, különösen elsőre. Ennek kiderítéséhez az interaktív módot be kell kapcsolni ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
És végül térjünk át magára a forgatókönyvre. Nincs itt semmi, amire különösebben büszkének lennék. Csak egy kész példát vettem innen és szinte változatlanul használta. Így néz ki a kész működő szkript:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Ügyeljen a paraméterre dry_run=Igaz sorobjektum inicializálásban nr.
Itt ugyanaz, mint bent ansible tesztüzemet valósítottak meg, amelyben létrejön a kapcsolat a routerrel, egy új módosított konfiguráció készül, amelyet az eszköz validál (de ez nem biztos, ez az eszköz támogatásától és a NAPALM-ban lévő illesztőprogram implementációjától függ) , de az új konfigurációt nem alkalmazzák közvetlenül. Harci használathoz el kell távolítani a paramétert szárazon futás vagy módosítsa az értékét Hamis.
A parancsfájl végrehajtásakor a Nornir részletes naplókat ad ki a konzolra.
A spoiler alatt két tesztrouteren végzett harc kimenete látható:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Jelszavak elrejtése az ansible_vaultban
A cikk elején kicsit túlzásba estem ansible, de nem olyan rossz. igazán kedvelem őket boltozat mint, amely az érzékeny információk szem elől való elrejtésére szolgál. És valószínűleg sokan észrevették, hogy az összes harci útválasztóhoz tartozó összes bejelentkezési név/jelszó nyílt formában egy fájlban csillog. gorups.yaml. Persze nem szép. Védjük meg ezeket az adatokat boltozat.
Vigyük át a paramétereket a groups.yaml-ből a creds.yaml-be, és titkosítsuk AES256-tal 20 számjegyű jelszóval:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Ez ennyire egyszerű. Továbbra is meg kell tanítani a mieinket Nornir-script az adatok lekéréséhez és alkalmazásához.
Ehhez a szkriptünkben az inicializálási sor után nr = InitNornir(config_file=… add hozzá a következő kódot:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Természetesen a vault.passwd nem lehet a creds.yaml mellett, mint az én példámban. De játszani jó.
Ez minden most. Jön még néhány cikk a Cisco + Zabbixról, de ez nem egy kicsit az automatizálásról szól. A közeljövőben pedig azt tervezem, hogy a RESTCONF-ról írok a Cisco-ban.
Forrás: will.com