ការបង្កើតដោយស្វ័យប្រវត្តិ និងការបំពេញធាតុកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញដោយប្រើ Nornir

ហេហេ!

ថ្មីៗនេះ អត្ថបទមួយបានលេចឡើងនៅទីនេះ Mikrotik និង Linux ។ ទម្លាប់ និងស្វ័យប្រវត្តិកម្ម ដែលជាកន្លែងដែលបញ្ហាស្រដៀងគ្នានេះត្រូវបានដោះស្រាយដោយប្រើមធ្យោបាយហ្វូស៊ីល។ ហើយទោះបីជាភារកិច្ចមានលក្ខណៈធម្មតាក៏ដោយក៏គ្មានអ្វីស្រដៀងគ្នាអំពីវានៅលើ Habre ដែរ។ ខ្ញុំហ៊ានផ្តល់កង់របស់ខ្ញុំដល់សហគមន៍ IT ជាទីគោរព។

នេះ​មិន​មែន​ជា​កង់​ទី​មួយ​សម្រាប់​ការងារ​បែប​នេះ​ទេ។ ជម្រើសដំបូងត្រូវបានអនុវត្តជាច្រើនឆ្នាំមុន ansible កំណែ 1.x.x. កង់​នេះ​កម្រ​នឹង​ត្រូវ​បាន​គេ​ប្រើ​ណាស់​ហើយ​ហេតុ​នេះ​ហើយ​បាន​ច្រែះ​ជាប់​ជានិច្ច។ ក្នុងន័យថា ភារកិច្ចខ្លួនវាមិនកើតឡើងញឹកញាប់ដូចដែលកំណែត្រូវបានធ្វើបច្ចុប្បន្នភាព ansible. ហើយរាល់ពេលដែលអ្នកត្រូវការបើកបរ ខ្សែសង្វាក់ធ្លាក់ ឬកង់ធ្លាក់។ ទោះយ៉ាងណាក៏ដោយ ផ្នែកទីមួយ បង្កើត configs តែងតែដំណើរការយ៉ាងច្បាស់ សំណាងល្អ ជីនចា ២ ម៉ាស៊ីនត្រូវបានបង្កើតឡើងជាយូរមកហើយ។ ប៉ុន្តែ​ផ្នែក​ទី​ពីរ​ដែល​ដាក់​ចេញ​ការ​កំណត់​ជា​ធម្មតា​នាំ​ឱ្យ​មាន​ការ​ភ្ញាក់​ផ្អើល។ ហើយចាប់តាំងពីខ្ញុំត្រូវបញ្ចេញ config ពីចម្ងាយដល់ឧបករណ៍កន្លះរយ ដែលឧបករណ៍ខ្លះស្ថិតនៅចម្ងាយរាប់ពាន់គីឡូម៉ែត្រ ការប្រើឧបករណ៍នេះគឺគួរឱ្យធុញបន្តិច។

នៅទីនេះខ្ញុំត្រូវតែទទួលស្គាល់ថាភាពមិនប្រាកដប្រជារបស់ខ្ញុំទំនងជាស្ថិតនៅក្នុងការខ្វះខាតនៃការស្គាល់របស់ខ្ញុំ ansibleជាងការខ្វះខាតរបស់វា។ ហើយនេះ, ដោយវិធីនេះ, គឺជាចំណុចសំខាន់មួយ។ ansible គឺជាផ្នែកដាច់ដោយឡែកទាំងស្រុងនៃចំណេះដឹងរបស់ខ្លួនជាមួយនឹង DSL (Domain Specific Language) របស់ខ្លួនដែលត្រូវតែរក្សានៅកម្រិតដែលមានទំនុកចិត្ត។ មែនហើយ ពេលនោះ ansible វា​កំពុង​អភិវឌ្ឍ​យ៉ាង​ឆាប់​រហ័ស ហើយ​ដោយ​គ្មាន​ការ​ពិចារណា​ពិសេស​សម្រាប់​ភាព​ត្រូវ​គ្នា​ថយ​ក្រោយ វា​មិន​បន្ថែម​ទំនុក​ចិត្ត​ឡើយ។

ដូច្នេះមិនយូរប៉ុន្មានទេ កំណែទីពីរនៃកង់ត្រូវបានអនុវត្ត។ លើកនេះ។ ពស់ថ្លាន់ឬជាជាងនៅលើក្របខ័ណ្ឌដែលបានសរសេរនៅក្នុង ពស់ថ្លាន់ និងសម្រាប់។ ពស់ថ្លាន់ បានហៅ នរិន្ទ

ដូច្នេះ - នរិន្ទ គឺជា microframework ដែលត្រូវបានសរសេរនៅក្នុង ពស់ថ្លាន់ និងសម្រាប់។ ពស់ថ្លាន់ និងត្រូវបានរចនាឡើងសម្រាប់ស្វ័យប្រវត្តិកម្ម។ ដូចគ្នានឹងករណីជាមួយ ansibleដើម្បីដោះស្រាយបញ្ហានៅទីនេះ ការរៀបចំទិន្នន័យមានសមត្ថកិច្ចគឺត្រូវបានទាមទារ, i.e. សារពើភ័ណ្ឌនៃម៉ាស៊ីន និងប៉ារ៉ាម៉ែត្ររបស់ពួកគេ ប៉ុន្តែស្គ្រីបមិនត្រូវបានសរសេរនៅក្នុង DSL ដាច់ដោយឡែកនោះទេ ប៉ុន្តែនៅក្នុងដូចគ្នានេះមិនចាស់ណាស់ ប៉ុន្តែល្អណាស់ p[i|i]ton ។

សូមក្រឡេកមើលអ្វីដែលវាកំពុងប្រើឧទាហរណ៍ផ្ទាល់ខាងក្រោម។

ខ្ញុំមានបណ្តាញសាខាដែលមានការិយាល័យរាប់សិបទូទាំងប្រទេស។ ការិយាល័យនីមួយៗមានរ៉ោតទ័រ WAN ដែលបិទបណ្តាញទំនាក់ទំនងជាច្រើនពីប្រតិបត្តិករផ្សេងៗគ្នា។ ពិធីការនាំផ្លូវគឺ BGP ។ រ៉ោតទ័រ WAN មានពីរប្រភេទគឺ Cisco ISG ឬ Juniper SRX ។

ឥឡូវនេះភារកិច្ច៖ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធបណ្តាញរងដែលខិតខំប្រឹងប្រែងសម្រាប់ការឃ្លាំមើលវីដេអូនៅលើច្រកដាច់ដោយឡែកនៅលើរ៉ោតទ័រ WAN ទាំងអស់នៃបណ្តាញសាខា - ផ្សព្វផ្សាយបណ្តាញរងនេះនៅក្នុង BGP - កំណត់ការកំណត់ល្បឿននៃច្រកដែលខិតខំប្រឹងប្រែង។

ជាដំបូង យើងត្រូវរៀបចំគំរូមួយចំនួន ដោយឈរលើមូលដ្ឋាននៃការកំណត់រចនាសម្ព័ន្ធដែលនឹងត្រូវបង្កើតដាច់ដោយឡែកសម្រាប់ Cisco និង Juniper ។ វាក៏ចាំបាច់ផងដែរក្នុងការរៀបចំទិន្នន័យសម្រាប់ចំណុចនីមួយៗ និងប៉ារ៉ាម៉ែត្រនៃការតភ្ជាប់ i.e. ប្រមូលសារពើភ័ណ្ឌដូចគ្នា។

គំរូរួចរាល់សម្រាប់ Cisco៖

$ cat templates/ios/base.j2 
class-map match-all VIDEO_SURV
 match access-group 111

policy-map VIDEO_SURV
 class VIDEO_SURV
    police 1500000 conform-action transmit  exceed-action drop

interface {{ host.task_data.ifname }}
  description VIDEOSURV
  ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
  service-policy input VIDEO_SURV

router bgp {{ host.task_data.asn }}
  network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0

access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 any

គំរូសម្រាប់ Juniper៖

$ cat templates/junos/base.j2 
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter

ជាការពិតណាស់គំរូមិនចេញពីខ្យល់ស្តើងទេ។ ទាំងនេះគឺជាភាពខុសគ្នាសំខាន់រវាងការកំណត់រចនាសម្ព័ន្ធការងារដែលមាន និងបន្ទាប់ពីបានដោះស្រាយភារកិច្ចនៅលើរ៉ោតទ័រជាក់លាក់ពីរនៃម៉ូដែលផ្សេងៗគ្នា។

ពីគំរូរបស់យើង យើងឃើញថា ដើម្បីដោះស្រាយបញ្ហា យើងត្រូវការតែប៉ារ៉ាម៉ែត្រពីរសម្រាប់ Juniper និង 3 ប៉ារ៉ាម៉ែត្រសម្រាប់ Cisco ។ ពួកគេនៅទីនេះ៖

• ifname
• ipsuffix
• អេន

ឥឡូវនេះយើងត្រូវកំណត់ប៉ារ៉ាម៉ែត្រទាំងនេះសម្រាប់ឧបករណ៍នីមួយៗ i.e. ធ្វើរឿងដូចគ្នា។ សារពើភ័ណ្ឌ.

សម្រាប់ សារពើភ័ណ្ឌ យើងនឹងអនុវត្តតាមឯកសារយ៉ាងតឹងរ៉ឹង ការចាប់ផ្តើម Nornir

នោះគឺ ចូរយើងបង្កើតគ្រោងឯកសារដូចគ្នា៖

.
├── config.yaml
├── inventory
│   ├── defaults.yaml
│   ├── groups.yaml
│   └── hosts.yaml

ឯកសារ config.yaml គឺជាឯកសារកំណត់រចនាសម្ព័ន្ធ nonir ស្តង់ដារ

$ cat config.yaml 
---
core:
    num_workers: 10

inventory:
    plugin: nornir.plugins.inventory.simple.SimpleInventory
    options:
        host_file: "inventory/hosts.yaml"
        group_file: "inventory/groups.yaml"
        defaults_file: "inventory/defaults.yaml"

យើងនឹងចង្អុលបង្ហាញប៉ារ៉ាម៉ែត្រសំខាន់នៅក្នុងឯកសារ hosts.yaml, ក្រុម (ក្នុងករណីរបស់ខ្ញុំទាំងនេះគឺជាការចូល / ពាក្យសម្ងាត់) នៅក្នុង ក្រុម.yamlនិងក្នុង។ defaults.yaml យើងនឹងមិនបង្ហាញអ្វីនោះទេ ប៉ុន្តែអ្នកត្រូវបញ្ចូល minuses បីនៅទីនោះ - បង្ហាញថាវាគឺ យ៉ាមល ឯកសារគឺទទេ។

នេះជាអ្វីដែល hosts.yaml មើលទៅ៖

---
srx-test:
    hostname: srx-test
    groups: 
        - juniper
    data:
        task_data:
            ifname: fe-0/0/2
            ipsuffix: 111

cisco-test:
    hostname: cisco-test
    groups: 
        - cisco
    data:
        task_data:
            ifname: GigabitEthernet0/1/1
            ipsuffix: 222
            asn: 65111

ហើយនេះគឺជា group.yaml៖

---
cisco:
    platform: ios
    username: admin1
    password: cisco1

juniper:
    platform: junos
    username: admin2
    password: juniper2

នេះជាអ្វីដែលបានកើតឡើង សារពើភ័ណ្ឌ សម្រាប់កិច្ចការរបស់យើង។ កំឡុងពេលចាប់ផ្តើម ប៉ារ៉ាម៉ែត្រពីឯកសារសារពើភ័ណ្ឌត្រូវបានផ្គូផ្គងទៅនឹងគំរូវត្ថុ ធាតុសារពើភ័ណ្ឌ.

ខាងក្រោម spoiler គឺជាដ្យាក្រាមនៃ InventoryElement model

print(json.dumps(InventoryElement.schema(), indent=4))
{
    "title": "InventoryElement",
    "type": "object",
    "properties": {
        "hostname": {
            "title": "Hostname",
            "type": "string"
        },
        "port": {
            "title": "Port",
            "type": "integer"
        },
        "username": {
            "title": "Username",
            "type": "string"
        },
        "password": {
            "title": "Password",
            "type": "string"
        },
        "platform": {
            "title": "Platform",
            "type": "string"
        },
        "groups": {
            "title": "Groups",
            "default": [],
            "type": "array",
            "items": {
                "type": "string"
            }
        },
        "data": {
            "title": "Data",
            "default": {},
            "type": "object"
        },
        "connection_options": {
            "title": "Connection_Options",
            "default": {},
            "type": "object",
            "additionalProperties": {
                "$ref": "#/definitions/ConnectionOptions"
            }
        }
    },
    "definitions": {
        "ConnectionOptions": {
            "title": "ConnectionOptions",
            "type": "object",
            "properties": {
                "hostname": {
                    "title": "Hostname",
                    "type": "string"
                },
                "port": {
                    "title": "Port",
                    "type": "integer"
                },
                "username": {
                    "title": "Username",
                    "type": "string"
                },
                "password": {
                    "title": "Password",
                    "type": "string"
                },
                "platform": {
                    "title": "Platform",
                    "type": "string"
                },
                "extras": {
                    "title": "Extras",
                    "type": "object"
                }
            }
        }
    }
}

ម៉ូដែលនេះអាចមើលទៅមានការភាន់ច្រលំបន្តិច ជាពិសេសនៅពេលដំបូង។ ក្នុងគោលបំណងដើម្បីដោះស្រាយវា, របៀបអន្តរកម្មនៅក្នុង អាយភីថុន.

 $ ipython3
Python 3.6.9 (default, Nov  7 2019, 10:44:02) 
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.

In [1]: from nornir import InitNornir                                                                           

In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)                                                

In [3]: nr.inventory.hosts                                                                                      
Out[3]: 
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}

In [4]: nr.inventory.hosts['srx-test'].data                                                                                    
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}

In [5]: nr.inventory.hosts['srx-test']['task_data']                                                     
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}

In [6]: nr.inventory.hosts['srx-test'].platform                                                                                
Out[6]: 'junos'

ហើយចុងក្រោយ សូមបន្តទៅស្គ្រីបខ្លួនឯង។ ខ្ញុំ​មិន​មាន​អ្វី​ដែល​ត្រូវ​មាន​មោទនភាព​ពិសេស​នៅ​ទី​នេះ​ទេ។ ខ្ញុំគ្រាន់តែយកឧទាហរណ៍ដែលត្រៀមរួចជាស្រេចពី ការបង្រៀន ហើយបានប្រើវាស្ទើរតែមិនផ្លាស់ប្តូរ។ នេះជាអ្វីដែលស្គ្រីបដែលបានបញ្ចប់មើលទៅដូច៖

from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result

def config_and_deploy(task):
    # Transform inventory data to configuration via a template file
    r = task.run(task=text.template_file,
                 name="Base Configuration",
                 template="base.j2",
                 path=f"templates/{task.host.platform}")

    # Save the compiled configuration into a host variable
    task.host["config"] = r.result

    # Save the compiled configuration into a file
    with open(f"configs/{task.host.hostname}", "w") as f:
        f.write(r.result)

    # Deploy that configuration to the device using NAPALM
    task.run(task=networking.napalm_configure,
             name="Loading Configuration on the device",
             replace=False,
             configuration=task.host["config"])

nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again

# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)

យកចិត្តទុកដាក់លើប៉ារ៉ាម៉ែត្រ dry_run=ពិត នៅក្នុងការចាប់ផ្តើមវត្ថុបន្ទាត់ nr.
នៅទីនេះដូចគ្នានឹងនៅក្នុង ansible ដំណើរការសាកល្បងត្រូវបានអនុវត្តដែលការតភ្ជាប់ទៅរ៉ោតទ័រត្រូវបានធ្វើឡើង ការកំណត់រចនាសម្ព័ន្ធដែលបានកែប្រែថ្មីត្រូវបានរៀបចំ ដែលបន្ទាប់មកត្រូវបានបញ្ជាក់ដោយឧបករណ៍ (ប៉ុន្តែមិនប្រាកដទេ វាអាស្រ័យលើការគាំទ្រឧបករណ៍ និងការអនុវត្តកម្មវិធីបញ្ជានៅក្នុង NAPALM) ប៉ុន្តែការកំណត់រចនាសម្ព័ន្ធថ្មីមិនត្រូវបានអនុវត្តដោយផ្ទាល់ទេ។ សម្រាប់ការប្រើប្រាស់ប្រយុទ្ធ អ្នកត្រូវតែដកប៉ារ៉ាម៉ែត្រចេញ dry_run ឬប្តូរតម្លៃរបស់វាទៅជា មិនពិត.

នៅពេលដែលស្គ្រីបត្រូវបានប្រតិបត្តិ Nornir បញ្ចេញកំណត់ហេតុលម្អិតទៅកាន់កុងសូល។

ខាងក្រោម spoiler គឺជាលទ្ធផលនៃដំណើរការប្រយុទ្ធនៅលើ Router សាកល្បងពីរ៖

config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
 match access-group 111

policy-map VIDEO_SURV
 class VIDEO_SURV
    police 1500000 conform-action transmit  exceed-action drop

interface GigabitEthernet0/1/1
  description VIDEOSURV
  ip address 10.10.222.254 255.255.255.0
  service-policy input VIDEO_SURV

router bgp 65001
  network 10.10.222.0 mask 255.255.255.0

access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+  description VIDEOSURV
+  ip address 10.10.222.254 255.255.255.0
+  service-policy input VIDEO_SURV
+router bgp 65001
+  network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+   fe-0/0/2 {
+       unit 0 {
+           description "Video surveillance";
+           family inet {
+               filter {
+                   input limit-in;
+               }
+               address 10.10.111.254/24;
+           }
+       }
+   }
[edit]
+  policy-options {
+      policy-statement export2bgp {
+          term 1 {
+              from {
+                  route-filter 10.10.111.0/24 exact;
+              }
+          }
+      }
+  }
[edit security zones]
     security-zone test-vpn { ... }
+    security-zone WAN {
+        interfaces {
+            fe-0/0/2.0;
+        }
+    }
[edit]
+  firewall {
+      policer policer-1m {
+          if-exceeding {
+              bandwidth-limit 1m;
+              burst-size-limit 187k;
+          }
+          then discard;
+      }
+      policer policer-1.5m {
+          if-exceeding {
+              bandwidth-limit 1500000;
+              burst-size-limit 280k;
+          }
+          then discard;
+      }
+      filter limit-in {
+          term 1 {
+              then {
+                  policer policer-1.5m;
+                  count limiter;
+              }
+          }
+      }
+  }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

លាក់ពាក្យសម្ងាត់នៅក្នុង ansible_vault

នៅដើមអត្ថបទ ខ្ញុំបានឆ្លងកាត់បន្តិច ansibleប៉ុន្តែវាមិនមែនអាក្រក់ទាំងអស់នោះទេ។ ខ្ញុំពិតជាចូលចិត្តពួកគេ។ តុដេក ដូចជា ដែលត្រូវបានរចនាឡើងដើម្បីលាក់ព័ត៌មានរសើបចេញពីការមើលឃើញ។ ហើយប្រហែលជាមានមនុស្សជាច្រើនបានកត់សម្គាល់ឃើញថា យើងមានរាល់ការចូល/ពាក្យសម្ងាត់សម្រាប់រ៉ោតទ័រប្រយុទ្ធទាំងអស់ដែលមានពន្លឺនៅក្នុងទម្រង់បើកចំហនៅក្នុងឯកសារមួយ។ gorups.yaml. ពិតណាស់វាមិនស្អាតទេ។ តោះការពារទិន្នន័យនេះជាមួយ តុដេក.

តោះផ្ទេរប៉ារ៉ាម៉ែត្រពី groups.yaml ទៅ creds.yaml ហើយអ៊ិនគ្រីបវាជាមួយ AES256 ជាមួយនឹងពាក្យសម្ងាត់ 20 ខ្ទង់៖

$ cd inventory
$ cat creds.yaml
---
cisco:
    username: admin1
    password: cisco1

juniper:
    username: admin2
    password: juniper2

$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd  
Encryption successful
$ cat creds.yaml 
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435

វាសាមញ្ញណាស់។ វានៅសល់ដើម្បីបង្រៀនរបស់យើង។ នរិន្ទ-script ដើម្បីទាញយក និងអនុវត្តទិន្នន័យនេះ។
ដើម្បីធ្វើដូចនេះនៅក្នុងស្គ្រីបរបស់យើងបន្ទាប់ពីបន្ទាត់ចាប់ផ្តើម nr = InitNornir(config_file=… បន្ថែមកូដខាងក្រោម៖

...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again

# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
    password = fp.readline().strip()   
    vault = Vault(password)
    vaultdata = vault.load(open(vault_file).read())

for a in nr.inventory.hosts.keys():
    item = nr.inventory.hosts[a]
    item.username = vaultdata[item.groups[0]]['username']
    item.password = vaultdata[item.groups[0]]['password']
    #print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))

# run tasks
...

ជាការពិតណាស់ vault.passwd មិនគួរមានទីតាំងនៅជាប់ creds.yaml ដូចក្នុងឧទាហរណ៍របស់ខ្ញុំទេ។ ប៉ុន្តែវាមិនអីទេសម្រាប់ការលេង។

នោះហើយជាទាំងអស់សម្រាប់ពេលនេះ។ មានអត្ថបទពីរបីទៀតអំពី Cisco + Zabbix នឹងមកដល់ ប៉ុន្តែនេះមិនមែនជាបន្តិចអំពីស្វ័យប្រវត្តិកម្មទេ។ ហើយនាពេលខាងមុខនេះ ខ្ញុំមានគម្រោងសរសេរអំពី RESTCONF នៅក្នុង Cisco។

ប្រភព: www.habr.com