Hæ Habr!
Nýlega birtist hér grein þar sem svipað vandamál var leyst með steingervingum. Og þó verkefnið sé algjörlega dæmigert er ekkert svipað við það á Habré. Ég þori að bjóða hinu virta upplýsingatæknisamfélagi hjólið mitt.
Þetta er ekki fyrsta hjólið í slíkt verkefni. Fyrsti kosturinn var innleiddur fyrir nokkrum árum aftur í ansible útgáfa 1.x.x. Hjólið var lítið notað og því stöðugt ryðgað. Í þeim skilningi að verkefnið sjálft kemur ekki upp eins oft og útgáfur eru uppfærðar ansible. Og í hvert skipti sem þú þarft að keyra, dettur keðjan af eða hjólið dettur af. Hins vegar virkar fyrsti hlutinn, að búa til stillingar, alltaf mjög skýrt, sem betur fer jinja2 Vélin er löngu komin í lag. En seinni hlutinn - að rúlla út stillingum - kom venjulega á óvart. Og þar sem ég þarf að rúlla út stillingunni úr fjarlægri fjarlægð í hálft hundrað tæki, sem sum hver eru staðsett í þúsundum kílómetra fjarlægð, var það svolítið leiðinlegt að nota þetta tól.
Hér verð ég að viðurkenna að óvissa mín felst líklega í skorti á kunnugleika mínum ansibleen í göllum sínum. Og þetta, við the vegur, er mikilvægt atriði. ansible er algjörlega aðskilið, eigið þekkingarsvæði með sínu eigin DSL (Domain Specific Language), sem verður að viðhalda á öruggu stigi. Jæja, það augnablik það ansible Það er að þróast nokkuð hratt og án sérstakrar tillits til afturábaks eindrægni eykur það ekki sjálfstraust.
Þess vegna var ekki svo langt síðan önnur útgáfa af hjólinu var innleidd. Að þessu sinni á python, eða öllu heldur á ramma sem skrifaður er í python og fyrir python kallað
Svo - Nornir er örrammi skrifaður í python og fyrir python og hannað fyrir sjálfvirkni. Sama og í málinu með ansible, til að leysa vandamál hér þarf hæfan gagnaundirbúning, þ.e. skrá yfir vélar og færibreytur þeirra, en forskriftir eru ekki skrifaðar í sérstökum DSL, heldur í sama ekki mjög gömlu, en mjög góðu p[i|i]ton.
Við skulum skoða hvað það er að nota eftirfarandi lifandi dæmi.
Ég er með útibúanet með nokkra tugi starfsstöðva um allt land. Hver skrifstofa er með WAN-beini sem stöðvar nokkrar samskiptaleiðir frá mismunandi rekstraraðilum. Leiðarlýsingin er BGP. WAN beinar koma í tveimur gerðum: Cisco ISG eða Juniper SRX.
Nú er verkefnið: þú þarft að stilla sérstakt undirnet fyrir myndbandseftirlit á sérstakri höfn á öllum WAN beinum útibúanetsins - auglýsa þetta undirnet í BGP - stilla hraðatakmarkanir sérstaka tengisins.
Í fyrsta lagi þurfum við að útbúa nokkur sniðmát, á grundvelli þess sem stillingar verða búnar til sérstaklega fyrir Cisco og Juniper. Einnig þarf að útbúa gögn fyrir hvern punkt og tengibreytur, þ.e. safna sömu birgðum
Tilbúið sniðmát fyrir Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anySniðmát fyrir Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterSniðmát koma auðvitað ekki úr lausu lofti gripið. Þetta eru í meginatriðum munur á vinnustillingunum sem voru og voru eftir að hafa leyst verkefnið á tveimur sérstökum beinum af mismunandi gerðum.
Af sniðmátunum okkar sjáum við að til að leysa vandamálið þurfum við aðeins tvær breytur fyrir Juniper og 3 breytur fyrir Cisco. hér eru þau:
- efnafn
- ipsuffix
- asn
Nú þurfum við að stilla þessar breytur fyrir hvert tæki, þ.e. gera það sama skrá.
Fyrir skrá Við munum fylgja skjölunum nákvæmlega
það er að segja, búum til sömu skráarbeinagrind:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlConfig.yaml skráin er staðlaða nornir stillingarskráin
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Við munum gefa til kynna helstu færibreytur í skránni hosts.yaml, hópur (í mínu tilfelli eru þetta innskráningar/lykilorð) inn hópar.yaml, og inn defaults.yaml Við munum ekki gefa til kynna neitt, en þú þarft að slá inn þrjá mínus þar - sem gefur til kynna að svo sé jamml skráin er samt tóm.
Svona lítur hosts.yaml út:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Og hér er groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Þetta er það sem gerðist skrá fyrir verkefni okkar. Við frumstillingu eru færibreytur úr birgðaskrám kortlagðar á hlutlíkanið InventoryElement.
Fyrir neðan spoilerinn er skýringarmynd af InventoryElement líkaninu
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Þetta líkan getur verið svolítið ruglingslegt, sérstaklega í fyrstu. Til að átta sig á því er gagnvirki hamurinn í ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Og að lokum skulum við halda áfram að handritinu sjálfu. Ég hef ekkert að vera sérstaklega stoltur af hérna. Ég tók bara tilbúið dæmi frá og notaði það nánast óbreytt. Svona lítur fullbúið vinnuforrit út:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Gefðu gaum að færibreytunni dry_run=Satt frumstilling á hlut í línu nr.
Hér það sama og í ansible hefur verið innleidd prufukeyrsla þar sem tenging við beini er gerð, ný breytt stilling er útbúin, sem síðan er staðfest af tækinu (en þetta er ekki víst; það fer eftir stuðningi tækisins og útfærslu ökumanns í NAPALM) , en nýju uppsetningunni er ekki beitt beint. Fyrir bardaganotkun verður þú að fjarlægja færibreytuna þurrt hlaup eða breyta gildi þess í False.
Þegar handritið er keyrt gefur Nornir út nákvæma annála á stjórnborðið.
Fyrir neðan spoilerinn er framleiðsla bardagahlaups á tveimur prófunarbeinum:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Felur lykilorð í ansible_vault
Í upphafi greinarinnar fór ég aðeins yfir höfuð ansible, en það er ekki allt svo slæmt. Mér líkar mjög vel við þá Vault like, sem er hannað til að fela viðkvæmar upplýsingar úr augsýn. Og líklega hafa margir tekið eftir því að við höfum öll innskráningar/lykilorð fyrir alla bardagabeina glitrandi á opnu formi í skrá gorups.yaml. Það er auðvitað ekki fallegt. Við skulum vernda þessi gögn með Vault.
Við skulum flytja færibreyturnar frá groups.yaml til creds.yaml og dulkóða þær með AES256 með 20 stafa lykilorði:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Svo einfalt er það. Það er eftir að kenna okkar Nornir-skrift til að sækja og nota þessi gögn.
Til að gera þetta, í handritinu okkar eftir upphafslínuna nr = InitNornir(config_file=… bæta við eftirfarandi kóða:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Auðvitað ætti vault.passwd ekki að vera staðsett við hlið creds.yaml eins og í mínu dæmi. En það er allt í lagi að spila.
Það er allt í bili. Það eru nokkrar greinar í viðbót um Cisco + Zabbix að koma, en þetta snýst ekki lítið um sjálfvirkni. Og á næstunni ætla ég að skrifa um RESTCONF í Cisco.
Heimild: www.habr.com