Ehi Habr!
Recentemente è apparso un articolo qui dove un problema simile è stato risolto utilizzando mezzi fossili. E sebbene il compito sia del tutto tipico, su Habré non c'è nulla di simile. Oserei offrire la mia bicicletta alla rispettata comunità informatica.
Questa non è la prima bici per un compito del genere. La prima opzione è stata implementata diversi anni fa ansible versione 1.x.x. La bicicletta è stata usata raramente e quindi costantemente arrugginita. Nel senso che il compito in sé non si pone con la stessa frequenza con cui le versioni vengono aggiornate ansible. E ogni volta che devi guidare, cade la catena o cade la ruota. Tuttavia, la prima parte, la generazione delle configurazioni, funziona sempre in modo molto chiaro, per fortuna Jinja2 Il motore è consolidato da tempo. Ma la seconda parte, ovvero l'implementazione delle configurazioni, di solito portava sorprese. E poiché devo implementare la configurazione da remoto su un centinaio di dispositivi, alcuni dei quali si trovano a migliaia di chilometri di distanza, l'utilizzo di questo strumento è stato un po' noioso.
Qui devo ammettere che la mia incertezza molto probabilmente risiede nella mia scarsa dimestichezza ansibleche nei suoi difetti. E questo, tra l'altro, è un punto importante. ansible è un'area di conoscenza completamente separata, con un proprio DSL (Domain Specific Language), che deve essere mantenuta a un livello sicuro. Bene, quel momento ansible Si sta sviluppando abbastanza rapidamente e, senza particolare riguardo per la compatibilità con le versioni precedenti, non aggiunge fiducia.
Pertanto, non molto tempo fa è stata implementata una seconda versione della bicicletta. Questa volta su python, o meglio su un quadro scritto in python e per python dal titolo
COSÌ - Nornir è un microframework scritto in python e per python e progettato per l'automazione. Lo stesso del caso con ansible, per risolvere i problemi qui, è necessaria una preparazione competente dei dati, ad es. inventario degli host e dei loro parametri, ma gli script non sono scritti in un DSL separato, ma nello stesso p[i|i]ton non molto vecchio, ma molto buono.
Diamo un'occhiata a cosa sta usando il seguente esempio dal vivo.
Ho una rete di filiali con diverse dozzine di uffici in tutto il paese. Ogni ufficio dispone di un router WAN che termina diversi canali di comunicazione di diversi operatori. Il protocollo di instradamento è BGP. I router WAN sono di due tipi: Cisco ISG o Juniper SRX.
Ora il compito: è necessario configurare una sottorete dedicata per la videosorveglianza su una porta separata su tutti i router WAN della rete della filiale - pubblicizzare questa sottorete in BGP - configurare il limite di velocità della porta dedicata.
Per prima cosa dobbiamo preparare un paio di modelli, sulla base dei quali verranno generate separatamente le configurazioni per Cisco e Juniper. È inoltre necessario preparare i dati per ciascun punto e i parametri di connessione, ad es. raccogliere lo stesso inventario
Modello pronto per Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyModello per Ginepro:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterI modelli, ovviamente, non nascono dal nulla. Queste sono essenzialmente differenze tra le configurazioni di lavoro che erano e erano dopo aver risolto l'attività su due router specifici di modelli diversi.
Dai nostri modelli vediamo che per risolvere il problema abbiamo bisogno solo di due parametri per Juniper e 3 parametri per Cisco. Eccoli:
- ifnome
- ipsuffisso
- ASN
Ora dobbiamo impostare questi parametri per ciascun dispositivo, ad es. fare la stessa cosa inventario.
per inventario Seguiremo rigorosamente la documentazione
ovvero, creiamo lo stesso scheletro di file:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlIl file config.yaml è il file di configurazione standard di nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Indicheremo i parametri principali nel file host.yaml, group (nel mio caso si tratta di login/password) in groups.yaml, mentre in defaults.yaml Non indicheremo nulla, ma è necessario inserire tre aspetti negativi lì, a indicare che lo è YAML il file è vuoto però.
Questo è l'aspetto di host.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Ed ecco groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Questo è quello che è successo inventario per il nostro compito. Durante l'inizializzazione, i parametri dei file di inventario vengono mappati al modello a oggetti ElementoInventario.
Sotto lo spoiler c'è un diagramma del modello InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Questo modello può sembrare un po’ confuso, soprattutto all’inizio. Per capirlo, la modalità interattiva in pitone.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
E infine, passiamo alla sceneggiatura stessa. Non ho nulla di cui essere particolarmente orgoglioso qui. Ho appena preso un esempio già pronto da e l'ho usato quasi senza modifiche. Questo è l'aspetto dello script funzionante finito:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Prestare attenzione al parametro dry_run=Vero inizializzazione dell'oggetto in linea nr.
Qui lo stesso di in ansible è stato implementato un test in cui viene effettuata una connessione al router, viene preparata una nuova configurazione modificata, che viene poi validata dal dispositivo (ma questo non è certo; dipende dal supporto del dispositivo e dall'implementazione del driver in NAPALM) , ma la nuova configurazione non viene applicata direttamente. Per l'uso in combattimento, è necessario rimuovere il parametro funzionamento a secco o cambiarne il valore in Falso.
Quando lo script viene eseguito, Nornir invia registri dettagliati alla console.
Sotto lo spoiler c'è l'output di un combattimento eseguito su due router di prova:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Nascondere le password in ansible_vault
All'inizio dell'articolo ho continuato un po' ansible, ma non è poi così male. mi piacciono veramente volta like, che è progettato per nascondere alla vista le informazioni sensibili. E probabilmente molti hanno notato che abbiamo tutti i login/password per tutti i router da combattimento scintillanti in forma aperta in un file gorups.yaml. Non è carino, ovviamente. Proteggiamo questi dati con volta.
Trasferiamo i parametri da groups.yaml a creds.yaml e criptiamolo con AES256 con una password di 20 cifre:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435È così semplice. Resta da insegnare il ns Nornir-script per recuperare e applicare questi dati.
Per fare ciò, nel nostro script dopo la riga di inizializzazione nr = InitNornir(file_config=… aggiungi il seguente codice:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Naturalmente, vault.passwd non dovrebbe trovarsi accanto a creds.yaml come nel mio esempio. Ma va bene per giocare.
È tutto per ora. Sono in arrivo un altro paio di articoli su Cisco + Zabbix, ma non si tratta affatto di automazione. E nel prossimo futuro ho intenzione di scrivere su RESTCONF in Cisco.
Fonte: habr.com