ProHoster > Blog > fitantanan-draharaha > automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Hey Habr!

Amin'ity lahatsoratra ity dia te hiresaka momba ny automation amin'ny fotodrafitrasa tambajotra izahay. Ny kisary miasa amin'ny tambajotra izay miasa amin'ny orinasa kely iray nefa tena mirehareha dia haseho. Ny lalao rehetra miaraka amin'ny fitaovana tambajotra tena izy dia kisendrasendra. Hojerentsika ny tranga nitranga tao amin'ity tambajotra ity, izay mety nitarika ho amin'ny fanakatonana orinasa nandritra ny fotoana ela sy fatiantoka ara-bola lehibe. Ny vahaolana amin'ity tranga ity dia mifanaraka tsara amin'ny foto-kevitra hoe "Automation of network infrastructure". Amin'ny fampiasana fitaovana automatique, hasehontsika ny fomba ahafahanao mamaha ny olana sarotra ao anatin'ny fotoana fohy, ary handinika ny antony tokony hamahana ireo olana ireo amin'izany fomba izany fa tsy amin'ny fomba hafa (amin'ny alàlan'ny console).

Disclaimer

Ny fitaovana fototra ho an'ny automatique dia Ansible (ho fitaovana automatique) ary Git (ho tahiry ho an'ny playbooks Ansible). Te hanao famandrihana avy hatrany aho fa tsy lahatsoratra fampidirana ity, izay iresahana momba ny lojikan'ny Ansible na Git, ary manazava ny zavatra fototra (ohatra, inona ny roletaskimodules, fisie inventory, variables amin'ny Ansible, na izay mitranga rehefa miditra ny baiko git push na git commit ianao). Ity tantara ity dia tsy momba ny fomba ahafahanao mampihatra Ansible sy manamboatra NTP na SMTP amin'ny fitaovanao. Ity dia tantara momba ny fomba ahafahanao mamaha haingana ny olan'ny tambajotra tsy misy hadisoana. Tsara ihany koa ny manana fahatakarana tsara ny fomba fiasan'ny tambajotra, indrindra fa ny TCP/IP, OSPF, BGP protocol stack. Horaisinay ihany koa ny safidy Ansible sy Git amin'ny equation. Raha mbola mila misafidy vahaolana manokana ianao dia manoro hevitra mafy izahay hamaky ny boky "Programmability and Automation Network. Skills for the Next-Generation Network Engineer" nataon'i Jason Edelman, Scott S. Lowe, ary Matt Oswalt.

Amin'izao fotoana izao.

Fanambarana olana

Alao sary an-tsaina ny toe-javatra iray: amin'ny 3 ora maraina, matory be ianao ary manonofy. Antso. Miantso ny tale teknika:

- Eny?
— ###, ####, #####, nianjera ny cluster firewall ary tsy miakatra!!!
Manosotra ny masonao ianao, miezaka ny hahatakatra ny zava-mitranga ary alaivo sary an-tsaina hoe ahoana no mety hitrangan'izany. Amin'ny finday dia henonao ny volo eo amin'ny lohan'ny tale mandrovitra, ary mangataka ny hiantso azy izy satria miantso azy amin'ny laharana faharoa ny jeneraly.

Atsasakadiny taty aoriana, nanangona ny naoty fampidirana voalohany avy amin'ny fifindran'ny adidy ianao, namoha ny rehetra izay mety ho fohazina. Vokatr'izany dia tsy nandainga ny talen'ny teknika, ny zava-drehetra dia araka ny zava-misy, nianjera ny vondron'ny firewall, ary tsy misy hetsika fototra amin'ny vatana mitondra azy ho tonga saina. Tsy mandeha ny tolotra rehetra atolotry ny orinasa.

Mifidiana olana amin'ny tsironao, ny tsirairay dia hahatsiaro zavatra hafa. Ohatra, taorian'ny fanavaozana nandritra ny alina noho ny tsy fisian'ny entana mavesatra, dia nandeha tsara ny zava-drehetra, ary nandeha natory ny rehetra faly. Nanomboka nivezivezy ny fifamoivoizana, ary nanomboka nihotsaka ny buffers interface tsara noho ny olana amin'ny mpamily karatra tambajotra.

Afaka mamaritra tsara ny zava-misy i Jackie Chan.

automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Misaotra anao, Jackie.

Tsy toe-javatra tena mahafinaritra, sa tsy izany?

Avelao kely ny reseau-tsika ry zalahy miaraka amin'ny eritreriny mampalahelo.

Andeha hodinihintsika hoe ahoana no hivoatra bebe kokoa.

Manolo-kevitra ny amin'ny filaharan'ny famelabelarana manaraka izahay

  1. Andeha hojerentsika ny kisary tambajotra ary hojerentsika ny fomba fiasa;
  2. Holazainay ny fomba hamindrana ny fikandrana avy amin'ny router iray mankany amin'ny iray hafa amin'ny fampiasana Ansible;
  3. Andao hiresaka momba ny automation amin'ny fotodrafitrasa IT amin'ny ankapobeny.

Diagram sy famaritana ny tambajotra

Ny tetika

automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Andeha hodinihintsika ny kisary lojika misy ny fandaminana misy antsika. Tsy hanonona anarana mpanamboatra fitaovana manokana izahay; ho an'ny tanjon'ity lahatsoratra ity dia tsy maninona izany (Ny mpamaky mahay dia hamantatra ny karazana fitaovana ampiasaina). Ity dia iray amin'ireo tombony tsara amin'ny fiaraha-miasa amin'ny Ansible; rehefa manangana dia tsy miraharaha izay karazana fitaovana izahay. Raha takatra fotsiny, dia fitaovana avy amin'ny mpivarotra malaza, toy ny Cisco, Juniper, Check Point, Fortinet, Palo Alto...azonao atao ny manolo ny safidinao manokana.

Manana andraikitra roa lehibe amin'ny fampihetsiketsehana ny fifamoivoizana izahay:

  1. Miantoka ny famoahana ny serivisintsika, izay asan'ny orinasa;
  2. Manome fifandraisana amin'ny sampana, foibe data lavitra ary fikambanana antoko fahatelo (mpiara-miasa sy mpanjifa), ary koa ny fidirana amin'ny sampana amin'ny Internet amin'ny alàlan'ny birao foibe.

Andeha isika hanomboka amin'ny singa fototra:

  1. Router sisintany roa (BRD-01, BRD-02);
  2. Firewall Cluster (FW-CLUSTER);
  3. Fametrahana fototra (L3-CORE);
  4. Ny router izay ho lasa lifeline (rehefa mamaha ny olana isika dia hamindra ny fikandrana tambajotra avy amin'ny FW-CLUSTER mankany amin'ny EMERGENCY) (EMERGENCY);
  5. Switches ho an'ny fitantanana fotodrafitrasa tambajotra (L2-MGMT);
  6. Masinina virtoaly miaraka amin'ny Git sy Ansible (VM-AUTOMATION);
  7. Solosaina iray izay anaovana fitiliana sy fampivoarana boky kilalao ho an'ny Ansible (Laptop-Automation).

Ny tambajotra dia namboarina miaraka amin'ny protocol routing OSPF mavitrika miaraka amin'ireto faritra manaraka ireto:

  • Faritra 0 - faritra ahitana ny router tompon'andraikitra amin'ny famindrana ny fifamoivoizana ao amin'ny faritra EXCHANGE;
  • Faritra 1 - faritra misy ny router tompon'andraikitra amin'ny fampandehanana ny serivisy orinasa;
  • Faritra 2 - faritra misy ny router tompon'andraikitra amin'ny fitantanana ny fifamoivoizana;
  • Faritra N - faritry ny tambajotran'ny sampana.

Ao amin'ny routers sisintany, misy router virtoaly (VRF-INTERNET) noforonina, izay ametrahana ny fijery feno eBGP miaraka amin'ny AS nomena azy. iBGP dia amboarina eo anelanelan'ny VRFs. Ny orinasa dia manana dobo adiresy fotsy izay avoaka amin'ireo VRF-INTERNET ireo. Ny sasany amin'ireo adiresy fotsy dia alefa mivantana mankany amin'ny FW-CLUSTER (adiresy iasan'ny orinasa), ny sasany dia alefa amin'ny faritra EXCHANGE (serivisy anatiny izay mitaky adiresy IP ivelany, ary adiresy NAT ivelany ho an'ny birao). Manaraka, ny fifamoivoizana dia mankany amin'ny router virtoaly noforonina amin'ny L3-CORE miaraka amin'ny adiresy fotsy sy fotsy (faritra fiarovana).

Ny tambajotra Management dia mampiasa switch natokana ary maneho tambajotra natokana ara-batana. Mizara ho faritra fiarovana ihany koa ny tambajotra fitantanana.
Ny router EMERGENCY dia mandika ara-batana sy ara-lojika ny FW-CLUSTER. Ny interface rehetra eo aminy dia kilemaina afa-tsy ireo izay mijery ny tambajotra fitantanana.

Automation sy ny famaritana azy

Hitanay ny fomba fiasan'ny tambajotra. Andeha hojerentsika tsikelikely ny zavatra hataontsika hamindrana ny fifamoivoizana avy amin'ny FW-CLUSTER mankany amin'ny EMERGENCY:

  1. Esory ny fifandraisana amin'ny switch core (L3-CORE) izay mampifandray azy amin'ny FW-CLUSTER;
  2. Esory ny fifandraisana amin'ny switch kernel L2-MGMT izay mampifandray azy amin'ny FW-CLUSTER;
  3. Izahay dia manamboatra ny router EMERGENCY (amin'ny alàlan'ny default, ny interface rehetra dia kilemaina eo aminy, afa-tsy ireo mifandray amin'ny L2-MGMT):

  • Izahay dia mamela fifandraisana amin'ny EMERGENCY;
  • Izahay dia manamboatra ny adiresy IP ivelany (ho an'ny NAT) izay tao amin'ny FW-Cluster;
  • Mamorona fangatahana gARP izahay mba hanovana ny adiresy poppy ao amin'ny tabilao L3-CORE arp avy amin'ny FW-Cluster ho EMERGENCY;
  • Nosoratanay ho static amin'ny BRD-01, BRD-02 ny zotra default;
  • Mamorona fitsipika NAT;
  • Ampiakaro ho EMERGENCY OSPF Faritra 1;
  • Ampiakaro ho EMERGENCY OSPF Faritra 2;
  • Ovainay ny saran-dalana ao amin'ny Faritra 1 ho 10;
  • Ovainay ho 1 ny saran'ny lalana mahazatra ao amin'ny Faritra 10;
  • Ovainay ny adiresy IP mifandray amin'ny L2-MGMT (ho an'ireo izay tao amin'ny FW-CLUSTER);
  • Mamorona fangatahana gARP izahay mba hanovana ny adiresin'ny poppy ao amin'ny tabilao arp L2-MGMT avy amin'ny FW-CLUSTER ho EMERGENCY.

Miverina amin'ny fandrafetana voalohany ny olana indray isika. Amin'ny telo maraina, adin-tsaina goavana, ny fahadisoana amin'ny dingana rehetra dia mety hiteraka olana vaovao. Vonona ny hanoratra baiko amin'ny alalan'ny CLI? Eny? Ok, fara faharatsiny, sasao ny tavanao, misotro kafe ary manangona ny finiavanao.
Bruce, mba ampio ry zalahy.

automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Eny, manohy manatsara ny automatique izahay.
Ity ambany ity ny diagram ny fomba fiasan'ny playbook amin'ny teny Ansible. Ity tetika ity dia taratry ny nofaritanay tetsy ambony, fampiharana manokana fotsiny ao amin'ny Ansible.
automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Tamin'ity dingana ity dia nahatsapa izay tokony hatao izahay, namolavola boky filalaovana, nanao fitiliana, ary vonona ny hanomboka izany izahay.

Digression tononkira kely hafa. Ny fahamoran'ny tantara dia tsy tokony hamitaka anao. Tsy mora sy haingana araka ny mety ho hita ny fizotran'ny fanoratana boky filalaovana. Naharitra ela ny fitiliana, nisy ny fijoroana virtoaly noforonina, notsapaina imbetsaka ny vahaolana, fitiliana 100 teo ho eo no natao.

Aleo atomboka... Misy ny fahatsapana fa miadana be ny zava-drehetra, misy lesoka any ho any, misy zavatra tsy mandeha amin'ny farany. Ny fahatsapana mitsambikina amin'ny parachute, fa ny parachute tsy te hisokatra avy hatrany ... normal izany.

Manaraka izany dia mamaky ny vokatry ny asa vita amin'ny playbook Ansible (nosoloina ny adiresy IP ho an'ny tsiambaratelo):

[xxx@emergency ansible]$ ansible-playbook -i /etc/ansible/inventories/prod_inventory.ini /etc/ansible/playbooks/emergency_on.yml 

PLAY [------->Emergency on VCF] ********************************************************

TASK [vcf_junos_emergency_on : Disable PROD interfaces to FW-CLUSTER] *********************
changed: [vcf]

PLAY [------->Emergency on MGMT-CORE] ************************************************

TASK [mgmt_junos_emergency_on : Disable MGMT interfaces to FW-CLUSTER] ******************
changed: [m9-03-sw-03-mgmt-core]

PLAY [------->Emergency on] ****************************************************

TASK [mk_routeros_emergency_on : Enable EXT-INTERNET interface] **************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Generate gARP for EXT-INTERNET interface] ****************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Enable static default route to EXT-INTERNET] ****************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change NAT rule to EXT-INTERNET interface] ****************
changed: [m9-04-r-04] => (item=12)
changed: [m9-04-r-04] => (item=14)
changed: [m9-04-r-04] => (item=15)
changed: [m9-04-r-04] => (item=16)
changed: [m9-04-r-04] => (item=17)

TASK [mk_routeros_emergency_on : Enable OSPF Area 1 PROD] ******************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Enable OSPF Area 2 MGMT] *****************************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change OSPF Area 1 interfaces costs to 10] *****************
changed: [m9-04-r-04] => (item=VLAN-1001)
changed: [m9-04-r-04] => (item=VLAN-1002)
changed: [m9-04-r-04] => (item=VLAN-1003)
changed: [m9-04-r-04] => (item=VLAN-1004)
changed: [m9-04-r-04] => (item=VLAN-1005)
changed: [m9-04-r-04] => (item=VLAN-1006)
changed: [m9-04-r-04] => (item=VLAN-1007)
changed: [m9-04-r-04] => (item=VLAN-1008)
changed: [m9-04-r-04] => (item=VLAN-1009)
changed: [m9-04-r-04] => (item=VLAN-1010)
changed: [m9-04-r-04] => (item=VLAN-1011)
changed: [m9-04-r-04] => (item=VLAN-1012)
changed: [m9-04-r-04] => (item=VLAN-1013)
changed: [m9-04-r-04] => (item=VLAN-1100)

TASK [mk_routeros_emergency_on : Change OSPF area1 default cost for to 10] ******************
changed: [m9-04-r-04]

TASK [mk_routeros_emergency_on : Change MGMT interfaces ip addresses] ********************
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n.254', u'name': u'VLAN-803'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+1.254', u'name': u'VLAN-805'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+2.254', u'name': u'VLAN-807'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+3.254', u'name': u'VLAN-809'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+4.254', u'name': u'VLAN-820'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+5.254', u'name': u'VLAN-822'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+6.254', u'name': u'VLAN-823'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+7.254', u'name': u'VLAN-824'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+8.254', u'name': u'VLAN-850'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+9.254', u'name': u'VLAN-851'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+10.254', u'name': u'VLAN-852'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+11.254', u'name': u'VLAN-853'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+12.254', u'name': u'VLAN-870'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+13.254', u'name': u'VLAN-898'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+14.254', u'name': u'VLAN-899'})

TASK [mk_routeros_emergency_on : Generate gARPs for MGMT interfaces] *********************
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n.254', u'name': u'VLAN-803'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+1.254', u'name': u'VLAN-805'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+2.254', u'name': u'VLAN-807'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+3.254', u'name': u'VLAN-809'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+4.254', u'name': u'VLAN-820'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+5.254', u'name': u'VLAN-822'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+6.254', u'name': u'VLAN-823'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+7.254', u'name': u'VLAN-824'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+8.254', u'name': u'VLAN-850'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+9.254', u'name': u'VLAN-851'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+10.254', u'name': u'VLAN-852'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+11.254', u'name': u'VLAN-853'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+12.254', u'name': u'VLAN-870'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+13.254', u'name': u'VLAN-898'})
changed: [m9-04-r-04] => (item={u'ip': u'х.х.n+14.254', u'name': u'VLAN-899'})

PLAY RECAP ************************************************************************

Nataon'i!

Raha ny marina, tsy dia vonona loatra izany, aza adino ny fifandonan'ny protocoles dynamic routing sy ny fampidirana lalana marobe ao amin'ny FIB. Tsy afaka mitaona an'izany amin'ny fomba rehetra isika. Miandry izahay. Nahomby izany. Efa vonona izao.

Ary ao an-tanànan'i Vilabajo (izay tsy te-hanao automatique ny fananganana tambajotra) dia manohy manasa lovia izy ireo. Bruce (ekena fa efa samy hafa, fa tsy latsa-danja kokoa) dia miezaka ny hahatakatra ny fomba bebe kokoa manual reconfiguration ny fitaovana.

automatique ny tambajotra. Tranga avy amin'ny fiainan'ny olona iray

Hevitra lehibe iray koa no tiako horesahina. Ahoana no hamerenana ny zava-drehetra? Rehefa afaka kelikely, dia haverinay ny FW-CLUSTER-nay. Io no fitaovana fototra, fa tsy backup, ny tambajotra dia tsy maintsy mandeha eo aminy.

Tsapanao ve fa manomboka mirehitra ny mpiserasera? Ny tale teknika dia handre hevitra arivo hoe nahoana no tsy tokony hatao izany, nahoana izany no azo atao any aoriana. Indrisy anefa fa toy izao ny fomba fiasan'ny tambajotra avy amin'ny fitambaran'ny paty, sombintsombiny ary ny sisa tavela tamin'ny haitrany taloha. Dia hita fa lamban-tsabatra. Ny andraikitray amin'ny ankapobeny, tsy amin'ity toe-javatra manokana ity, fa amin'ny ankapobeny, amin'ny maha manam-pahaizana momba ny IT, dia ny hitondra ny asan'ny tambajotra amin'ny teny anglisy tsara tarehy "fifanarahana", dia tena maro karazana, azo adika hoe: coherence , firindrana, lojika, firindrana, rafitra, fampitoviana, firindrana. Momba azy daholo izany. Amin'ity fanjakana ity ihany no azo fehezina ny tambajotra, takatsika mazava tsara izay miasa sy ny fomba, takatsika mazava tsara izay tokony hovana, raha ilaina, fantatsika mazava tsara hoe aiza no hijerena raha misy olana. Ary amin'ny tambajotra toy izany ihany no ahafahanao manao fika tahaka ireo voalazanay ireo.

Raha ny marina dia nisy boky filalaovana iray hafa nomanina, izay namerina ny toe-javatra ho amin'ny toerany voalohany. Ny lojikan'ny asany dia mitovy (zava-dehibe ny mitadidy fa ny filaharan'ny asa dia tena zava-dehibe), mba tsy hanalava ny lahatsoratra efa somary lava, dia nanapa-kevitra ny tsy hametraka lisitra ny famonoana ny playbook. Rehefa avy manao fanazaran-tena toy izany ianao dia hahatsapa ho tony kokoa sy hatoky tena kokoa amin'ny ho avy, ankoatra izany, izay tehina izay nanangonao tao dia hiseho avy hatrany.

Na iza na iza dia afaka manoratra aminay ary mahazo ny loharanon'ny kaody voasoratra rehetra, miaraka amin'ny palybook rehetra. Fifandraisana ao amin'ny profil.

hitany

Araka ny hevitray, ny dingana azo automatique dia mbola tsy vita kristaly. Miorina amin'ny zavatra sendra anay sy izay resahin'ireo mpiara-miasa aminay tandrefana, ireto lohahevitra manaraka ireto no hita hatreto:

  • Famatsiana fitaovana;
  • Fanangonana angona;
  • Reporting;
  • Fanamboarana;
  • Fanajana.

Raha misy fahalianana, dia afaka manohy ny fifanakalozan-kevitra momba ny iray amin'ireo lohahevitra nomena.

Te hiresaka kely momba ny automation ihany koa aho. Inona no tokony ho ao amin'ny fahatakarantsika:

  • Ny rafitra dia tsy maintsy miaina tsy misy olona, ​​raha hatsarain'ny olona iray. Tsy tokony hiankina amin’ny olombelona ny rafitra;
  • Tsy maintsy manam-pahaizana ny fandidiana. Tsy misy kilasy manam-pahaizana manokana manao asa mahazatra. Misy manam-pahaizana izay nanao automatique ny fahazarana manontolo ary tsy mamaha olana sarotra ihany;
  • Ny asa mahazatra mahazatra dia vita ho azy "amin'ny fikitihana bokotra", tsy misy loharanon-karena very maina. Ny vokatry ny asa toy izany dia azo vinavinaina sy azo takarina foana.

Ary inona no tokony hitarika ireto teboka ireto:

  • Mangarahara amin'ny fotodrafitrasa informatika (Mihena ny risika amin'ny asa, ny fanavaozana, ny fampiharana. Kely ny fotoana fiatoana isan-taona);
  • Ny fahaiza-mandrafitra ny loharanon-karena IT (System Planning Capacity - azonao jerena hoe ohatrinona no lany, azonao jerena ny habetsaky ny loharano ilaina amin'ny rafitra tokana, fa tsy amin'ny taratasy sy fitsidihana any amin'ireo departemanta ambony);
  • Mety hampihena ny isan'ny mpiasa IT.

Mpanoratra ny lahatsoratra: Alexander Chelovekov (CCIE RS, CCIE SP) sy Pavel Kirillov. Liana ny miresaka sy manolotra vahaolana momba ny automatique fotodrafitrasa IT.


Source: www.habr.com

Add a comment